Transparent Data Encryption Oracleyyo.com



Documentos relacionados
Backup & Recovery Oracle 9i. Las copias físicas offline, conocidas como Backups en frío, se realizan cuando la Base de Datos está parada.

SEPARAR Y ADJUNTAR UNA BASE DE DATOS. Separar una base de datos

Instalación. Interfaz gráfico. Programación de Backups. Anexo I: Gestión de la seguridad. Manual de Usuario de Backup Online 1/21.

LABORATORIO 10. ADMINISTRACIÓN DE COPIAS DE SEGURIDAD EN SQL SERVER

LABORATORIO 10. COPIAS DE SEGURIDAD, RESTAURACIÓN Y RECUPERACIÓN DE UNA BD

5.4. Manual de usuario

Soporte y mantenimiento de base de datos y aplicativos

Instituto Profesional DuocUC Escuela de Ingeniería Control File

V i s i t a V i r t u a l e n e l H o s p i t a l

6.0 Funcionalidades Adicionales

MANUAL COPIAS DE SEGURIDAD

Token ikey 2032 de Rainbow. Guía instalación y uso para Internet Explorer

Para detalles y funcionalidades ver Manual para el Administrador

Consultas con combinaciones

SQL (Structured Query Language)

Accede a su DISCO Virtual del mismo modo como lo Hace a su disco duro, a través de:

DBSURE. Disponemos de una copia de la base de datos de forma remota, que podemos contabilizar como segundo juego de copias.

Guía Rápida de uso de ZBox Backup Configuración y uso del servicio de respaldo en la nube.

ISEC Labs #11. Despliegue y restauración segura de volúmenes cifrados con TrueCrypt. Javier Moreno jmoreno<arroba>isecauditors.com

Actualización de versión a Bizagi 10.x

GUIA COMPLEMENTARIA PARA EL USUARIO DE AUTOAUDIT. Versión N 02 Fecha: 2011-Febrero Apartado: Archivos Anexos ARCHIVOS ANEXOS

Plataforma e-ducativa Aragonesa. Manual de Administración. Bitácora

1

Conceptos básicos Oracle 10g Introducción - Administración de Oracle - Orasite.com

Apéndice 5 Manual de usuario de ColeXión. ColeXión 1.0. Manual de usuario

Escuela de Ingeniería Electrónica CAPITULO 11. Administración avanzada de los NOS

Un nombre de usuario de 30 caracteres o menos, sin caracteres especiales y que inicie con una letra.

Capítulo 9. Archivos de sintaxis

Base de datos relacional

Base de Datos Práctica 1.

Realización de Backups

Manual Utilización. Gemelo Backup Online WEB I N D I C E. Cómo ingresar a la cuenta. Funcionalidades Gemelo Backup Online WEB > Control de la Cuenta

Sistemas Manejadores de Bases de Datos ( Postgres)

MANUAL DE USUARIO LION FILE PROTECTOR 2015

UNIDAD EJECUTORA DE CONSERVACION VIAL MANUAL DEL USUARIO DEL SISTEMA INTEGRAL DE CONTROL DE PROYECTOS

Maxpho Commerce 11. Gestión CSV. Fecha: 20 Septiembre 2011 Versión : 1.1 Autor: Maxpho Ltd

MANUAL DE USUARIO PARA LA INSTALACION DE LOS AGENTES COMMVAULT SIMPANA 9.0

Instalación 07/07/2010. Sesión sobre SQL Server. Gestión de Datos

MANUAL PARA LA ADMINISTRACIÓN DE ARCHIVOS Y CORREO ELECTRÓNICO

Curso Online de Microsoft

Alcance y descripción del servicio BACKUP IPLAN

MANUAL SINCRONIZADOR LEKOMMERCE FACTUSOL

Introducción a la Firma Electrónica en MIDAS

INSTALACIÓN DE ORACLE 8i (8.1.7) SOBRE NT

Gemelo Backup Online P E R S O N A L I N D I C E. Qué es Gemelo Backup Online Personal. Gemelo Backup Online WEB

Escrito por Beatriz Hernández Jueves, 13 de Octubre de :47 - Actualizado Jueves, 13 de Octubre de :04

PROYECTOS, FORMULACIÓN Y CRITERIOS DE EVALUACIÓN

Base de datos en Excel

Modificación y parametrización del modulo de Solicitudes (Request) en el ERP/CRM Compiere.

ARQUITECTURA DE DISTRIBUCIÓN DE DATOS

Optimizar base de datos WordPress

Manual de Procedimiento. CREACION-ADMINISTRACION, RESPALDO DE DATOS Y CONTINUIDAD DEL NEGOCIO Procesos y Responsabilidades ECR Evaluadora Prefin S.A.

EL ENTORNO DE TRABAJO SQL ORACLE

Instalación Software Administrador de Videoclub

Oracle 12c DISEÑO Y PROGRAMACIÓN

Toda base de datos relacional se basa en dos objetos

MANUAL DE USUARIO DE LA APLICACIÓN DE ACREDITACION DE ACTIVIDADES DE FORMACION CONTINUADA. Perfil Entidad Proveedora

Creación y administración de grupos de dominio

Manual de Usuario De Respaldo y Restauración de Información

Dando nuestros primeros pasos con 3DS Max. 1. Objetivos

MANUAL DE AYUDA TAREA PROGRAMADA COPIAS DE SEGURIDAD

PowerPoint 2010 Manejo de archivos

GESTIÓN DOCUMENTAL PARA EL SISTEMA DE CALIDAD

Manual de operación Tausend Monitor

Guías _SGO. Gestione administradores, usuarios y grupos de su empresa. Sistema de Gestión Online

Manual AGENDA DE RESPALDO

- Bases de Datos - - Diseño Físico - Luis D. García

Windows Embedded Standard 7

D- Realiza un informe sobre los diferentes programas que existen en el mercado informático que permite crear imágenes de respaldo de tu equipo.

COPIAS DE SEGURIDAD AUTOMÁTICAS DE DIRECCIONES CALLEÇPAÑA

Instantáneas o Shadow Copy

Acronis License Server. Guía del usuario

Manual Oficina Web de Clubes (FBM)

EDC Invoice V6. Guía de Migración a la versión 6. Diciembre 2010

Antivirus PC (motor BitDefender) Manual de Usuario

HP Backup and Recovery Manager

Preguntas y respuestas sobre el cifrado de la información personal. La guía para aprender a cifrar tu información

Certificados Digitales Tributarios. Guía de Instalación En Estaciones de Trabajo Microsoft Internet Explorer Versión 1.3s

, Desarrollos Informáticos SHM, S.L. - Gran Vía, 69 7ª planta Of Madrid - España

GENERACIÓN DE TRANSFERENCIAS

Manual de usuario de Parda Programa de Almacenamiento y Recuperación de Datos Automático

Guía de instalación de la carpeta Datos de IslaWin

Conservar los datos del ordenador en caso de apagón

Recuperacion de Desastre en SQL Server Mejoras

Informática 4º ESO Tema 1: Sistemas Informáticos. Sistemas Operativos (Parte 2)

Guía de Inicio Respaldo Cloud

Iniciando con Oracle. Índice de contenido. Ingresando a Oracle. Cambiando Su Contraseña. Ingresando un Comando SQL en SQL*Plus

Software Criptográfico FNMT-RCM

Operación Microsoft Access 97

Estrategia de Backup para los Sistemas SAP R/3 GOBERNACIÓN DE CUNDINAMARCA

Capítulo VI. Estudio de Caso de Aplicación del Integrador de Información Desarrollado

COMO HACER UNA COPIA DE SEGURIDAD DE TU SOFTWARE?

PSI Gestión es un sistema multiusuario que le permite 2 tipos de configuraciones:

T12 Vistas y tablas temporales

Transcripción:

Transparent Data Encryption Oracleyyo.com

ÍNDICE 1 INTRODUCCIÓN... 3 2 FUNCIONAMIENTO DE TDE... 4 2.1 ESQUEMA DEL TDE... 4 2.2 MANEJO DE LAS LLAVES EN TDE... 5 3 IMPLEMENTACIÓN DEL TDE... 6 3.1 IDENTIFICAR LA LLAVE MAESTRA... 6 3.1.1 Apertura y cierre del Oracle Wallet... 6 3.2 CAMBIANDO LA MASTER KEY... 6 3.3 VERIFICAR EL SOPORTE DE DATOS PARA TDE Y CHEQUEAR EL USO DE LAS LLAVES FORÁNEAS... 7 3.3.1 Chequear el uso de las llaves foráneas... 7 3.4 ENCRIPTAR LOS DATOS SENSITIVOS USANDO TDE... 8 3.4.1 Cambiando la Table/Column key... 8 4 RESPALDOS ENCRIPTADOS Y RMAN... 10 5 MÉTODOS DE ENCRIPTACIÓN DISPONIBLES... 11 6 DIFERENCIAS ENTRE TDE Y LOS PACKAGES DE ENCRIPTACIÓN... 12 7 CONSIDERACIONES DE PERFORMANCE Y STORAGE... 13 8 RESTRICCIONES PARA EL USO DE TDE... 14 9 REFERENCIAS... 15 Introducción a TDE para http://www.oracleyyo.com Página 2 de 15

1 INTRODUCCIÓN. La pieza más sensible e importante en una empresa son los datos, cualquier mal uso de está información puede desencadenar una debacle dentro de una empresa, por eso se le da tanta importancia al proteger los datos de ataques externos e internos en una empresa. En ese tenor de gravedad, se utilizan los métodos de encriptación, que en Oracle tienen su máximo exponente en el Oracle Advanced Security Transparent Data Encryption (TDE), que tuvo su primera versión en Oracle10gr2, la principal ventaja de este tipo de encriptación física de datos es que las aplicaciones (código) no deben ser modificadas en lo absoluto, por lo cual el impacto sobre los sistemas empresariales es mínimo. Nunca se debe dejar de lado que TDE es solamente una solución a nivel físico, no se realizan encriptaciones a nivel de cliente, sino, que a nivel de data almacenada. Además dentro del documento se analizarán los pasos básicos para comenzar con el TDE, se explican sus principales características y un párrafo dedicado a la performance y el como se ve afectado un sistema OLTP cuando se implementa TDE. Además en la referencia se dejan las notas para acompañar la buena instalación y comprendimiento del TDE. Introducción a TDE para http://www.oracleyyo.com Página 3 de 15

2 Funcionamiento de TDE TDE encripta los datos antes de que sean escritos a disco y los desencripta antes de que sean retornados a la aplicación, lo cual provoca que el impacto en el desarrollo/modificación de las aplicaciones sea mínimo. Todo lo que sea respaldo físico de las bases de datos estarán afectos a esta encriptación, opcionalmente TDE puede ser usado en conjunto con Recovery Manager (RMAN). Cabe mencionar que TDE forma parte del Oracle Advanced Security Option, por lo tanto se debe considerar ante temas de licenciamiento. Un dato importante a tener en cuenta es que para encriptar o desencriptar una tabla con columnas encriptadas, Oracle almacena la llave de encriptación en la SGA. 2.1 Esquema del TDE Recordar que el Wallet se genera en disco y es un archivo el cual se debiese siempre respaldar Introducción a TDE para http://www.oracleyyo.com Página 4 de 15

2.2 Manejo de las llaves en TDE TDE automáticamente crea una llave de encriptación cuando una columna de una tabla es encriptada. La llave de encriptación (table key) se usará para todas las columnas de esa tabla, por ende una tabla con 10 mil columnas encriptadas, solamente generará una llave, cada una de estas table key es almacenada en el diccionario de datos (dentro de la base de datos) y encriptada usando la llave maestra de encriptación del TDE (TDE Master Encryption key). El TDE Master Encryption Key es almacenado fuera de la base de datos, en un Oracle Wallet, este Wallet es un archivo encriptado según el nombre ingresado por el DBA durante la creación del Wallet, está clave también puede ser modificada con el Oracle Wallet Manager. Este Wallet solamente debiese ser accedido por el usuario Oracle y la llave de creación del Wallet debiese tener un mìnimo de 8 caracteres. Introducción a TDE para http://www.oracleyyo.com Página 5 de 15

3 Implementación del TDE Para llevar a cabo la implementación de TDE, se debiesen seguir los siguientes pasos : 3.1 Identificar la llave maestra Una llave maestra sólo se puede utilizar para una sola base de datos a la vez, esta master key debe ser creada antes de encriptar las columnas de las tablas, la sintaxis para inicializar la master key es SQL> alter system set key identified by password Este commando crea el Wallet y usa ese nombre para encriptarlo basado en las recomendaciones del estándar PKCS#5. El wallet queda por defecto en las siguientes ruta para Linux y Unix /etc/oracle/wallets/<usuario dueño de la instalación : oracle> Lo directorios indicados, deben ser creados por root y deben ser asignados como carpetas del usuario dueño de la instalación. A parte de poder encriptar las tablas comunes y corrientes (heap organizad) Oracle también puede encriptar tablas externas. 3.1.1 Apertura y cierre del Oracle Wallet El Wallet contiene la Master Encryption Key, que debe ser abierta antes de que la base de datos pueda desencriptar los datos en las tablas, la idea principal es que el Wallet permanezca abierto, ya que un Wallet cerrado implica que no se tiene acceso a los datos en ese momento. SQL> alter system set encryption wallet open identified by password ; Para cerrar el Wallet SQL> alter system set encryption wallet open identified by password ; Si el Wallet se encuentra cerrado, no hay acceso a los datos encriptados, o dicho de otra forma, si no hay Wallet, no hay datos. 3.2 Cambiando la Master Key Introducción a TDE para http://www.oracleyyo.com Página 6 de 15

La Master Key puede ser cambiada usando el siguiente comando SQL> alter system set key identified by password El hecho de cambiar la llave maestra implica que se van a reencriptar las tables keys en el diccionario de datos Oracle. 3.3 Verificar el soporte de datos para TDE y chequear el uso de las llaves foráneas TDE soporta casi todos los tipos de datos en Oracle, estos incluyen VARCHAR2 NUMBER RAW BINARY_DOUBLE CHAR NVARCHAR2 BINARY_FLOAT DATE NCHAR SECUREFILES (LOBS) 3.3.1 Chequear el uso de las llaves foráneas TDE está imposibilitado de encriptar columnas que estén siendo usadas como llaves foráneas, lo cual implica una restricción bastante grande al momento de implementar TDE en cualquier industria. Para identificar aquellas columnas que forman parte de una Foreign Key, se puede utilizar la siguiente consulta select A.owner, A.table_name, A.column_name, A.constraint_name from dba_cons_columns A, dba_constraints B Introducción a TDE para http://www.oracleyyo.com Página 7 de 15

where A.table_name = B.table_name and A.column_name = 'NOMBRE DE LA COLUMNA' and B.constraint_type = 'R'; 3.4 Encriptar los datos sensitivos usando TDE Para encriptar una columna mediante TDE, se utiliza el siguiente comando SQL> alter table customers modify (columna encrypt); Un punto importante a tener en cuenta es que mientras se esté encriptando la columna se mantiene en todo momento una lectura consistente del dato, esto no es menor si consideramos que el dato está siendo modificado fisicamente. El algoritmo por defecto al momento de encriptar una columna es el AES192 La encriptación de columnas de índices, representa el mismo esquema de búsquedas que columnas no encriptadas, las búsquedas son similares, la creación del índice es exactamente igual que en columnas no encriptadas. Se debe proporcionar una acotación si se desea encriptar una columna que ya posee un índice, está consiste en encriptar la columna, borrar el índice y recrearlo. Cuando ya se ha encriptado una columna, esta columna puede hacer join con una columna sin o con encriptación, pues por todo lo expresado anteriormente las aplicaciones no se ven afectadas por el TDE. Los datos una vez encriptados con TDE, sólo se encriptan a nivel físico, pero si los datos deben viajar por la red, en la capa de la network los datos viajan en forma limpia y clara, por ello se recomienda que tambièn se puedan encriptar los datos mediante certificados creados en el Oracle Net. Incluso se puede crear una tabla con columnas encriptadas, ejemplo de DDL SQL> CREATE TABLE ejemplo ( id NUMBER(5) PRIMARY KEY nombre VARCHAR2(15) NOT NULL, rut NUMBER(9) ENCRYPT ) 3.4.1 Cambiando la Table/Column key La Table o Column key (es una por tabla independiente de la cantidad de columnas encriptadas), el tamaño de la llave y el algoritmo de encriptación pueden ser modificados de forma independiente ejecutando cualquiera de estos comandos Introducción a TDE para http://www.oracleyyo.com Página 8 de 15

SQL> alter table nombre_tabla rekey; SQL> alter table nombre_tabla rekey using AES256 ; SQL> alter table nombre_tabla encrypt using AES128 ; Cambiando el Table/Column key, implica que se van a reasignar y re-encriptar todos los datos en la tabla. Introducción a TDE para http://www.oracleyyo.com Página 9 de 15

4 Respaldos encriptados y RMAN Por motivos de seguridad, los respaldos siempre debiesen tener un grado de respaldo, los backup sets de RMAN por ende siempre debiesen estar encriptados usando el Oracle Advanced Security. Cualquier backup sets de RMAN puede ser encriptado, no asì los backups copies. Esto implica por ende, que cuando se hace un respaldo de datos que ya físicamente estaban respaldados, el resultado final, serán archivos con 2 grados de encriptación. En todas las operaciones de restauración y recuperación, los datos se desencriptan de forma automática, por ende cumple con todas las normas de seguridad básicas relacionadas con los respaldos. A pesar de llevar a cabo respaldos con RMAN, para que los datos sean legibles (se puedan abrir y consultar las tablas), se necesita del Wallet, este archivo se debe respaldar como una copia fìsica, si por motivo de alguna pérdida o corrupción, este archivo se pierde, se pierden también todos los datos que han sido encriptados. Introducción a TDE para http://www.oracleyyo.com Página 10 de 15

5 Métodos de encriptación disponibles Los métodos disponibles de encriptación que provee el TDE son AES 192 (valor por omisión) AES 256 AES 128 3DES (2 and 3 keys; 168 bits) No es posible utilizar ningún algoritmo que no este en el listado Introducción a TDE para http://www.oracleyyo.com Página 11 de 15

6 Diferencias entre TDE y los packages de encriptación La encriptación fue introducida por Oracle en la versión Oracle8i, esta encriptación era llevada a cabo mediante el package DBMS_OBFUSCATION_TOOLKIT. En Oracle10gr1, aparece un nuevo package, mucho más potente, llamado DBMS_CRYPTO. Las anteriores APIs sirven para encriptar, pero tienen una gran desventaja, implican cambio de código, toda la encriptación se debe hacer de forma manual y cada vez que se genera una encriptación, se debe guardar la llave de está encriptación para poder desencriptar los datos, el hecho de extraviarla implica inmediatamente la pérdida de información. A diferencia de los anteriores métodos, el TDE no necesita, bajo ningún punto de vista, la modificación del còdigo existente, sólo la alteración de las columnas de la tabla. Introducción a TDE para http://www.oracleyyo.com Página 12 de 15

7 Consideraciones de performance y storage Una de las cosas a tener en cuenta cuando se implementa TDE es el grado de exigencia extra (OverHead) que puede tener una actividad normal. El OverHead para la encriptación de columnas apunta al momento de encriptar y desencriptar los datos (dato que viaja desde la aplicación a la base de datos y viceversa), se estima que las actividades normales ven incrementado su trabajo en un 5%, este porcentaje puede variar de acuerdo a la cantidad de columnas encriptadas dentro de una tabla, el largo de la columna, etc. Por lo anterior se debe considerar que solamente un nùmero muy reducido de columnas debiese ser candidata a la encriptación, a mayor seguridad, es menor la performance y a menor seguridad, la performance se ve incrementada. Oracle extiende un cálculo basado en todas las experiencias recopiladas en años e indica que en un sistema no debiesen exitir mñas de 0.3% de columnas encriptadas. Ya que la performance se ve afectada por el TDE, se recomienda siempre instalar un motor Oracle10gr2 (10.2.0.4), lo anterior se debe a que los algoritmos internos de manejo de TDE se han visto mejorados con respecto a las versiones anteriores. En cuanto al tamaño de las columnas una vez han sido encriptadas, bordean el orden de los 36bytes a 51bytes (dependiendo de variados factores, entre ellos la opción SALT) por columna, lo que implica que se debiesen tomar los resguardos necesarios para tablas con enorme cantidad de filas Introducción a TDE para http://www.oracleyyo.com Página 13 de 15

8 Restricciones para el uso de TDE No se puede utilizar en ambientes distribuidos, pues esta última utiliza SQL Asincrónicos En arquitecturas de RAC en una base de datos, las llaves tienen que ser creadas a través de las instancias Los utilitarios export e import no pueden trabajar sobre columnas encriptadas, solamente lo pueden hacer los utilitarios expdp e impdp, de Datapump En el mecánismo de Transportable Tablespaces, no se puede utilizar TDE Las tablas externas solamente pueden tener acceso a datos encriptados si utilizan el driver de DataPump Las tablas particionadas, no pueden tener columnas encriptadas La encriptación no puede ser realizada en columnas tipo LOB Las llaves foráneas en una tabla no pueden ser encriptadas Cualquier índice que no sea del tipo B*Tree puede ser encriptado Los tipos de objetos (object type) tampoco pueden ser creados en base a una columna encriptada Si por ABC motivo, se llegase a cumplir cualquiera de los puntos expuestos, se puede buscar una alternativa que es el package DBMS_CRYPTO Introducción a TDE para http://www.oracleyyo.com Página 14 de 15

9 Referencias Overview Transparent Data Encryption Oracle Advanced Security Technical White Paper Transparent Data Encryption (TDE) Frequently Asked Questions Step by step : Implementation TDE 10gR2: How to Export/Import with Data Encrypted with Transparent Data Encryption (TDE) Best Practices for having indexes on encrypted columns using TDE in 10gR2 10g R2 New Feature TDE (Transparent Data Encryption) Usage with Oracle Label Security How To Generate A New Master Encryption Key for the TDE 10gr2 New feature TDE : Transparent Data Encryption Introducción a TDE para http://www.oracleyyo.com Página 15 de 15

2026 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback