Informačná bezpečnosť

Softvérové riešenia na transparentné šifrovanie dát

Ochra­na dát ne­sú­vi­sí len s or­ga­ni­zo­va­ným zlo­či­nom, ale aj kon­ku­ren­čným zá­pa­som, kde os­trý boj o zá­kaz­ní­ka ob­čas ve­die k in­di­vi­duál­nym zly­ha­niam jed­not­liv­cov a me­tó­dam, pri kto­rých neop­ráv­ne­ný prís­tup k dá­tam mô­že zna­me­nať prá­ve tú kri­tic­kú vý­ho­du.

Uve­de­ná si­tuácia je spo­loč­ná pre väč­ši­nu vy­spe­lých kra­jín, Slo­ven­sko ne­vy­ní­ma­júc, a jej po­cho­pi­teľ­ným dôs­led­kom je ras­tú­ca re­gu­lá­cia aj v ob­las­ti ochra­ny osob­ných úda­jov. Od 1. 7. 2013 je účin­ný no­vý zá­kon o ochra­ne osob­ných úda­jov č. 122/2013 Z. z. a spo­lu s ním aj vy­ko­ná­va­cí pred­pis - vy­hláš­ka č. 164/2013 Z. z. o roz­sa­hu a do­ku­men­tá­cii bez­peč­nos­tných opat­re­ní. Tie­to pred­pi­sy na roz­diel od mi­nu­los­ti ove­ľa de­tail­nej­šie sta­no­vu­jú nie­len ad­mi­nis­tra­tív­ne, ale aj kon­krét­ne tech­nic­ké opat­re­nia, kto­ré sú pre­vádz­ko­va­te­lia in­for­mač­ných sys­té­mov po­vin­ní reali­zo­vať. Ich po­mer­ne roz­siah­ly zoz­nam tvo­rí sú­časť spo­mí­na­nej vy­hláš­ky, pri­čom oso­bit­nú po­zor­nosť si za­slu­hu­je bod 1.2.1, kto­rý uk­la­dá po­vin­nosť reali­zá­cie šif­ro­vej ochra­ny ob­sa­hu dá­to­vých no­si­čov a šif­ro­vej ochra­ny dát pre­mies­tňo­va­ných pros­tred­níc­tvom po­čí­ta­čo­vých sie­tí. Zá­ko­no­dar­ca pos­ky­tol pre­vádz­ko­va­te­ľom pre­chod­né de­väť­me­sač­né ob­do­bie na reali­zá­ciu po­ža­do­va­ných opat­re­ní.

Ta­ká­to po­vin­nosť ot­vá­ra pre IT a bez­peč­nos­tných ma­na­žé­rov zá­sad­né tech­nic­ké otáz­ky. Šif­ro­va­nie dát sa­mo ose­be nie je kom­pli­ko­va­ná úlo­ha, al­go­rit­my sú dob­re opí­sa­né, da­ta­bá­zo­vé sys­té­my ob­sa­hu­jú šif­ro­va­cie fun­kcie. Čo však s exis­tu­jú­ci­mi ap­li­ká­cia­mi? Šesť me­sia­cov nie je dl­hý čas na im­ple­men­tá­ciu zá­sad­ne no­vej fun­kcio­na­li­ty. Do­dá­va­teľ ap­li­ká­cie ne­mu­sí byť už k dis­po­zí­cii. A v ne­pos­led­nom ra­de aj nák­la­dy na zme­nu ap­li­ká­cie, kto­ré nie sú z tých naj­niž­ších, ne­bo­li kal­ku­lo­va­né v toh­to­roč­nom roz­poč­te.

Od­po­ve­ďou mô­že byť reali­zá­cia tran­spa­ren­tné­ho šif­ro­va­nia nad da­ta­bá­za­mi a sú­bor­mi. Väč­ši­na do­dá­va­te­ľov sof­tvé­ro­vých da­ta­bá­zo­vých rie­še­ní má vo svo­jom por­tfó­liu pro­duk­ty, kto­ré sa ve­nu­jú bez­peč­nos­ti da­ta­bá­zo­vých sys­té­mov. Rie­še­niam da­ta­ba­se ac­cess ma­na­ge­ment a vul­ne­ra­bi­li­ty as­ses­sment už bo­li v In­foware ve­no­va­né sa­mos­tat­né člán­ky. O tran­spa­ren­tnom šif­ro­va­ní sa zmie­ňu­je­me po pr­výk­rát, keď­že ad­re­su­je pot­re­by zá­kaz­ní­kov vy­vo­la­né prá­ve naj­nov­šou re­gu­lá­ciou v tej­to ob­las­ti.

Pri vý­be­re bez­peč­nos­tné­ho sof­tvé­ro­vé­ho pro­duk­tu na tran­spa­ren­tné šif­ro­va­nie je vhod­né hľa­dať en­terpri­se rie­še­nie šif­ro­va­nia ulo­že­ných cit­li­vých dát na­prieč ce­lým pod­ni­ko­vým in­for­mač­ným sys­té­mom. V prí­pa­de da­ta­bá­zo­vých sys­té­mov je pod­stat­né šif­ro­va­nie ta­buľ­ko­vých pries­to­rov, lo­go­vých zá­zna­mov a iných da­ta­bá­zo­vých sú­bo­rov. Pro­duk­ty niek­to­rých vý­rob­cov sú oso­bit­ne vhod­né pri he­te­ro­gén­nych da­ta­bá­zo­vých pros­tre­diach vďa­ka pod­po­re ši­ro­kej šká­ly da­ta­bá­zo­vých sys­té­mov vrá­ta­ne Orac­le DB, Mic­ro­soft SQL Server, IBM DB2, IBM In­for­mix, ale aj Sy­ba­se ale­bo MySQL. Za­ují­ma­vá vlas­tnosť je prí­pad­ná mož­nosť na­sa­de­nia aj na neš­truk­tú­ro­va­né dá­to­vé zdro­je a šif­ro­va­nie jed­not­li­vých sú­bo­rov na plat­for­mách Li­nux, Unix ale­bo Win­dows. Sú­bo­ry sa da­jú ur­čiť kon­krét­ne, pod­ľa ad­re­sá­rov, ale aj pou­ži­tím wil­dcar­dov. Oso­bit­ný prí­nos rie­še­ní mož­no vi­dieť pri čo­raz po­pu­lár­nej­ších clou­do­vých pros­tre­diach, kde hlav­ne v prí­pa­de ve­rej­ných clou­dov ma­jú pod­ni­ky od­ôvod­ne­né oba­vy o bez­peč­nosť svo­jich dát. Vhod­né rie­še­nie by ma­lo ve­dieť za­bez­pe­čiť tran­spa­ren­tné za­šif­ro­va­nie dát uk­la­da­ných do vzdia­le­ných clou­do­vých úlo­žísk.

Po­kiaľ ide o tech­nic­ké cha­rak­te­ris­ti­ky rie­še­ní, tran­spa­ren­tné šif­ro­va­nie sa naj­čas­tej­šie na­sa­dzu­je v agen­to­vom mó­de, kde na kaž­dý da­ta­bá­zo­vý ale­bo sú­bo­ro­vý host sys­tém sa in­šta­lu­je agent, kto­rý vy­ko­ná­va šif­ro­va­cie a de­šif­ro­va­cie úlo­hy. Agent by vo väč­ši­ne prí­pa­dov mal pod­po­ro­vať všet­ky bež­ne dos­tup­né plat­for­my vrá­ta­ne ko­mer­čných unixových sys­té­mov. Pri svo­jej pre­vádz­ke od­chy­tá­va vo­la­nia da­ta­bá­zy do sú­bo­ro­vé­ho sys­té­mu a na tej­to úrov­ni za­bez­pe­ču­je en­kryp­ciu. Vďa­ka to­mu­to prís­tu­pu do­ká­že od­chy­tiť aj vo­la­nia bac­kup fun­kcií, čo za­bez­pe­ču­je aj se­pa­rát­ne šif­ro­va­nie bac­ku­pov. Ob­dob­ne sú za­bez­pe­če­né aj on-li­ne rep­li­ky slú­žia­ce na za­is­te­nie vy­so­kej dos­tup­nos­ti da­ta­bá­zo­vých pros­tried­kov. Ví­ta­ná je mož­nosť gra­nu­lár­ne de­fi­no­vať šif­ro­va­né ob­jek­ty. Niek­to­rí vý­rob­co­via in­teg­ro­va­li do svo­jich rie­še­ní aj tech­no­ló­giu Me­taC­lear, vďa­ka kto­rej zos­tá­va­jú me­ta­dá­ta voľ­ne či­ta­teľ­né, čo zni­žu­je ob­jem šif­ro­va­ných dát a zá­ro­veň uľah­ču­je orien­tá­ciu v za­šif­ro­va­ných dá­tach.

Pri pou­ži­tí agen­to­vé­ho rie­še­nia sú jed­not­li­ví agen­ti ria­de­ní z cen­trál­nej ria­dia­cej kon­zo­ly, kto­rá za­bez­pe­ču­je po­li­cy ma­na­ge­ment, ako aj ge­ne­ro­va­nie, dis­tri­bú­ciu a sprá­vu šif­ro­va­cích kľú­čov. V niek­to­rých prí­pa­doch agen­ti ok­rem šif­ro­va­cej úlo­hy sčas­ti pl­nia aj audit­né fun­kcie, a tak mož­no aj ur­čiť, kto­rí pri­vi­le­go­va­ní ale­bo bež­ní pou­ží­va­te­lia pris­tu­po­va­li ku kto­rým dá­tam. Sprá­vu sys­té­mu je vhod­né od­de­liť od IT od­de­le­nia, vďa­ka čo­mu sa tra­dič­ní da­ta­bá­zo­ví ad­mi­nis­trá­to­ri ne­mu­sia za­obe­rať na­sa­de­ním šif­ro­va­cej po­li­ti­ky, kto­rá zos­tá­va do­mé­nou bez­peč­nos­tných ad­mi­nis­trá­to­rov. Ta­ká­to se­pa­rá­cia ro­lí zvy­šu­je bez­peč­nosť aj vnút­ri pod­ni­ku.

Pri vý­be­re rie­še­nia na reali­zá­ciu šif­ro­va­nia sa vzhľa­dom na krát­kosť ča­su a eli­mi­ná­ciu zby­toč­ných nák­la­dov tre­ba za­me­rať aj na jed­no­du­chosť na­sa­de­nia. Tran­spa­ren­tnosť op­ro­ti sie­ti, dis­ko­vým úlo­žis­kám a ap­li­ká­ciám bez pot­re­by sys­té­mo­vých zmien je to, čo zá­sad­ne skrá­ti reali­zač­ný čas. V prí­pa­de na­sa­dzo­va­nia šif­ro­va­nia do pros­tre­dia SAP je vhod­né si pre­ve­riť, či je da­né rie­še­nie cer­ti­fi­ko­va­né aj na pou­ži­tie v pros­tre­diach SAP.

Ako z uve­de­né­ho vy­plý­va, prob­le­ma­ti­ka da­ta­bá­zo­vej bez­peč­nos­ti je stá­le ak­tuál­nej­šia a kom­plexnej­šia. So sil­ne­jú­cou re­gu­lá­ciou zo stra­ny štá­tov aj tre­ťos­tran­ných or­ga­ni­zá­cií pri­ná­ša no­vé vý­zvy IT a bez­peč­nos­tným ma­na­žé­rom. Rie­še­nia sof­tvé­ro­vých ven­do­rov na tran­spa­ren­tné šif­ro­va­nie umož­ňu­jú po­koj­ný spá­nok a spo­ľah­li­vú ochra­nu pred ne­že­la­ný­mi náv­štev­ník­mi da­ta­báz. Ako svo­je dá­ta chrá­ni­te vy?

Fi­lip Uram, Autor pra­cu­je ako In­for­ma­tion Ma­na­ge­ment Sa­les Lea­der v IBM Slo­ven­sko.

Zdroj: IW 8-9/2013


Ohodnoťte článok:
   
 

24 hodín

týždeň

mesiac

Najnovšie články

Mo­bil­né ap­li­ká­cie pre biz­nis – od­po­rú­ča­nia pre fir­my. Preh­ľad fi­rem­ných mo­bil­ných ap­li­ká­cií v SR
Firmy a organizácie sa snažia reagovať na mobilitu, jeden z vlajkových trendov v IT podpore biznisu. Sú pod rastúcim tlakom, aby nasadzovali, prípadne aj vyvíjali mobilné aplikácie. Väčšina mobilných aplikácií sa nasadzuje do segmentu business-to-employee (B2E) a do interakcie podnikateľskej sféry so spotrebiteľmi (B2C).  čítať »
 
TCO: Nao­zaj vie­te, aká je ce­na pre­vádz­ky váš­ho IT?
Dobrá otázka, ale ťažká odpoveď. Že nie? V tom prípade patríte k tým šikovnejším. Prvý krok na ceste k lepšej efektivite vášho IT by mal spočívať v pochopení všetkých položiek, ktoré spolu tvoria celkové náklady na prevádzku IT. čítať »
 
Prog­ra­mu­je­me GPU 24
V tejto časti seriálu sa zameriame na popis algoritmu shadera „tieňov“ (shadows). Rovnako ako v ostatných prípadoch by sme aj k tomuto shaderu mohli napísať menšiu knihu. Preto bude náš popis iba heslovitý s uvedením najzákladnejších čŕt použitého algoritmu. čítať »
 
Dá­to­vý mo­del pre ap­li­ká­cie ty­pu Grid a Split
V minulej časti sme predstavili sablóny Grid App a Split App pre tvorbu aplikácií na prezentáciu údajov. čítať »
 
Do­main Na­me Sys­tem – re­verz­ný prek­lad a re­verz­ný zá­znam
V predchádzajúcej časti sme si popísali konfiguračný súbor named.conf, vysvetlili sme si, čo je to zóna, aké má sekcie, aké môže mať položky, akého typu môže byť a podobne. Zároveň sme si vytvorili vzorový zápis zóny pre primárny a sekundárny DNS server. čítať »
 
Zdie­ľa­nie zdro­jov me­dzi OS Win­dows a OS Li­nux / 13. časť
V tejto časti seriálu sa zameriame na postup zabezpečenia poštového servera Postfix pomocou autentifikácie SMTP a protokolu TLS. čítať »
 
Da­ta­bá­za SQL Server 2014
Prioritou používateľov databázových platforiem je už desiatky rokov „data-driven" rozhodovanie, no v súčasnosti do hry vstupuje nutnosť ukladania, spracúvania a analýz obrovských objemov údajov (big data). čítať »
 
Sof­tvé­ro­vé rie­še­nia na tran­spa­ren­tné šif­ro­va­nie dát
Ochrana dát nesúvisí len s organizovaným zločinom, ale aj konkurenčným zápasom, kde ostrý boj o zákazníka občas vedie k individuálnym zlyhaniam jednotlivcov a metódam, pri ktorých neoprávnený prístup k dátam môže znamenať práve tú kritickú výhodu. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter