Cifrado de datos transparente

Este artículo incluye una lista de referencias generales , pero permanece en gran parte sin verificar porque carece de suficientes citas en línea correspondientes . Ayude a mejorar este artículo introduciendo citas más precisas. ( Marzo de 2015 ) ( Obtenga información sobre cómo y cuándo eliminar este mensaje de plantilla )

El cifrado de datos transparente (a menudo abreviado como TDE ) es una tecnología empleada por Microsoft , IBM y Oracle para cifrar archivos de bases de datos. TDE ofrece cifrado a nivel de archivo. TDE resuelve el problema de proteger los datos en reposo , encriptando las bases de datos tanto en el disco duro como en consecuencia en los medios de respaldo . No protege los datos en tránsito ni los datos en uso . Las empresas suelen emplear TDE para resolver problemas de cumplimiento, como PCI DSS, que requieren la protección de los datos en reposo.

Microsoft ofrece TDE como parte de su Microsoft SQL Server 2008, 2008 R2, 2012, 2014, 2016, 2017 y 2019. ^[1] TDE solo se admitía en las ediciones Evaluation, Developer, Enterprise y Datacenter de Microsoft SQL Server, hasta que fue también disponible en la edición estándar para 2019. ^[2] SQL TDE es compatible con módulos de seguridad de hardware de Thales e-Security, Townsend Security y SafeNet, Inc.

IBM ofrece TDE como parte de Db2 a partir de la versión 10.5 fixpack 5. ^[3] También se admite en las versiones en la nube del producto de forma predeterminada, Db2 on Cloud y Db2 Warehouse on Cloud.

Oracle requiere la opción Oracle Advanced Security para Oracle 10g y 11g para habilitar TDE. ^{[ cita requerida ]} Oracle TDE aborda los requisitos de cifrado asociados con los mandatos de seguridad y privacidad públicos y privados, como PCI y California SB 1386 . El cifrado de columna de Oracle Advanced Security TDE se introdujo en Oracle Database 10g Release 2. El cifrado de espacio de tabla de Oracle Advanced Security TDE y la compatibilidad con módulos de seguridad de hardware (HSM) se introdujeron con Oracle Database 11gR1. Las claves para TDE se pueden almacenar en un HSM para administrar claves entre servidores, proteger claves con hardware e introducir una separación de tareas.

La misma clave se utiliza para cifrar columnas en una tabla, independientemente del número de columnas que se cifrarán. Estas claves de cifrado se cifran utilizando la clave maestra del servidor de la base de datos y se almacenan en una tabla de diccionario en la base de datos.

TDE de Microsoft SQL Server

SQL Server utiliza una jerarquía de cifrado que permite compartir bases de datos dentro de un clúster o migrar a otras instancias sin volver a cifrarlas. La jerarquía consta de una combinación de cifrados simétricos y asimétricos: ^[4]

La API de protección de datos de Windows (DPAPI) protege una única clave maestra de servicio (SMK) para toda la instancia.
La clave maestra del servicio cifra la clave maestra de la base de datos (DMK).
La clave maestra de la base de datos se utiliza junto con un certificado para cifrar la clave de cifrado de la base de datos.
La clave de cifrado de la base de datos se utiliza para cifrar los archivos de la base de datos subyacente con el cifrado AES o 3DES .
La base de datos maestra que contiene información a nivel de sistema, cuentas de usuario y servicios de administración no está encriptada.

Durante las copias de seguridad de la base de datos, la compresión se produce después del cifrado. Debido al hecho de que los datos fuertemente cifrados no se pueden comprimir significativamente, las copias de seguridad de las bases de datos cifradas TDE requieren recursos adicionales.

Para habilitar el arranque automático, SQL Server almacena las claves de cifrado de nivel más bajo en almacenamiento persistente (usando el almacén DPAPI ). Esto presenta un problema de seguridad potencial porque las claves almacenadas se pueden recuperar directamente de un sistema en vivo o de copias de seguridad y usarse para descifrar las bases de datos. ^[5]

Ver también

Referencias

^ "SQL Server TDE vs CLE" . Consultado el 2 de junio de 2017 .
^ Comunidad tecnológica de Microsoft "SQL Server 2019 Standard Edition"
^ https://www.ibm.com/support/knowledgecenter/SSEPGG_10.5.0/com.ibm.db2.luw.wn.doc/doc/c0061179.html
^ "Cifrado transparente de datos (TDE)" Microsoft TechNet
^ Simon McAuliffe, "La anatomía y la (in) seguridad del cifrado de datos transparente (TDE) de Microsoft SQL Server" , 19 de marzo de 2016

enlaces externos

Solución alternativa de terceros para todas las ediciones de SQL Server
Otra solución alternativa de terceros para todas las ediciones de SQL Server
Funciones de seguridad empresarial compatibles con las ediciones Microsoft SQL Server 2008 R2
Funciones de seguridad compatibles con las ediciones de Microsoft SQL Server 2012
Comprensión del cifrado transparente de datos (TDE) (Microsoft)
Uso de cifrado de datos transparente en Oracle Database 11g
Mejores prácticas de cifrado transparente de datos de Oracle
Cifrado de columna TDE y cifrado de espacio de tabla TDE en Oracle Database 11gR1
http://download.oracle.com/docs/cd/B19306_01/network.102/b14268/asotrans.htm#BABDFHHH
Proveedor PKCS # 11 de P6R y Oracle TDE
[1]

[1] "SQL Server TDE vs CLE" . Consultado el 2 de junio de 2017 .

[2] Comunidad tecnológica de Microsoft "SQL Server 2019 Standard Edition"

[3] ttps://www.ibm.com/support/knowledgecenter/SSEPGG_10.5.0/com.ibm.db2.luw.wn.doc/doc/c0061179.html

[4] "Cifrado transparente de datos (TDE)" Microsoft TechNet

[5] Simon McAuliffe, "La anatomía y la (in) seguridad del cifrado de datos transparente (TDE) de Microsoft SQL Server" , 19 de marzo de 2016

[1]