Este artículo incluye una lista de referencias generales , pero permanece en gran parte sin verificar porque carece de suficientes citas en línea correspondientes . ( Marzo de 2015 ) |
El cifrado de datos transparente (a menudo abreviado como TDE ) es una tecnología empleada por Microsoft , IBM y Oracle para cifrar archivos de bases de datos. TDE ofrece cifrado a nivel de archivo. TDE resuelve el problema de proteger los datos en reposo , encriptando las bases de datos tanto en el disco duro como en consecuencia en los medios de respaldo . No protege los datos en tránsito ni los datos en uso . Las empresas suelen emplear TDE para resolver problemas de cumplimiento, como PCI DSS, que requieren la protección de los datos en reposo.
Microsoft ofrece TDE como parte de su Microsoft SQL Server 2008, 2008 R2, 2012, 2014, 2016, 2017 y 2019. [1] TDE solo se admitía en las ediciones Evaluation, Developer, Enterprise y Datacenter de Microsoft SQL Server, hasta que fue también disponible en la edición estándar para 2019. [2] SQL TDE es compatible con módulos de seguridad de hardware de Thales e-Security, Townsend Security y SafeNet, Inc.
IBM ofrece TDE como parte de Db2 a partir de la versión 10.5 fixpack 5. [3] También se admite en las versiones en la nube del producto de forma predeterminada, Db2 on Cloud y Db2 Warehouse on Cloud.
Oracle requiere la opción Oracle Advanced Security para Oracle 10g y 11g para habilitar TDE. [ cita requerida ] Oracle TDE aborda los requisitos de cifrado asociados con los mandatos de seguridad y privacidad públicos y privados, como PCI y California SB 1386 . El cifrado de columna de Oracle Advanced Security TDE se introdujo en Oracle Database 10g Release 2. El cifrado de espacio de tabla de Oracle Advanced Security TDE y la compatibilidad con módulos de seguridad de hardware (HSM) se introdujeron con Oracle Database 11gR1. Las claves para TDE se pueden almacenar en un HSM para administrar claves entre servidores, proteger claves con hardware e introducir una separación de tareas.
La misma clave se utiliza para cifrar columnas en una tabla, independientemente del número de columnas que se cifrarán. Estas claves de cifrado se cifran utilizando la clave maestra del servidor de la base de datos y se almacenan en una tabla de diccionario en la base de datos.
SQL Server utiliza una jerarquía de cifrado que permite compartir bases de datos dentro de un clúster o migrar a otras instancias sin volver a cifrarlas. La jerarquía consta de una combinación de cifrados simétricos y asimétricos: [4]
Durante las copias de seguridad de la base de datos, la compresión se produce después del cifrado. Debido al hecho de que los datos fuertemente cifrados no se pueden comprimir significativamente, las copias de seguridad de las bases de datos cifradas TDE requieren recursos adicionales.
Para habilitar el arranque automático, SQL Server almacena las claves de cifrado de nivel más bajo en almacenamiento persistente (usando el almacén DPAPI ). Esto presenta un problema de seguridad potencial porque las claves almacenadas se pueden recuperar directamente de un sistema en vivo o de copias de seguridad y usarse para descifrar las bases de datos. [5]