Les failles de sécurité croissantes font que la sécurité attire plus d'attention et de budget que jamais. Le cryptage des données est, avec authentification, autorisation et audit, un des 4 piliers de la sécurité des bases de données.
Crédits photos: je stocke CrulUA
Le renforcement de la sécurité des bases de données nécessite une expertise technique et des privilèges élevés. De nombreux aspects de la sécurité des bases de données nécessitent différents utilitaires, procédures système et implémentation des commandes. Mais lorsque les utilisateurs ont besoin d'accéder à plusieurs bases de données sur plusieurs serveurs, répartis dans différents emplacements physiques, la sécurité des bases de données devient encore plus compliquée. Toute mesure de sécurité prise au niveau de l'utilisateur doit être répétée dans chacune des bases de données et il n'y a pas de référentiel central où il est facile de modifier et de supprimer les paramètres de sécurité des utilisateurs.
Qu'est-ce que le cryptage des données?
D'un point de vue de haut niveau, la sécurité de la base de données se résume à répondre 4 des questions:
- Qui est-ce? -> Authentification des utilisateurs
- Qui peut le faire? -> Autorisation aux utilisateurs
- Qui l'a fait? -> Auditer
- Qui peut le voir? -> Cryptage des données
Le cryptage est la procédure d'obscurcissement des données grâce à l'utilisation d'une clé ou d'un mot de passe qui garantit que ceux qui y accèdent sans le bon mot de passe, ne leur trouve aucune utilité. car il est impossible de déchiffrer son contenu. Par exemple, dans le cas où l'ordinateur hôte de la base de données a été mal configuré et que des données confidentielles ont été obtenues par un pirate informatique, que les informations volées seraient totalement inutiles si elles étaient cryptées.
Lorsque vous envisagez le cryptage des données, tu devrais faire attention à ça:
- Le cryptage ne résout pas les problèmes de contrôle d'accès.
- Cette option améliore la sécurité en limitant la perte de données même si ces contrôles ont été contournés.
Ces limitations sont couvertes par une autre technique, le de masquage des données, qui à cet effet offre une plus grande couverture de sécurité.
Gestion des clés de chiffrement des données
Le chiffrement dans une base de données peut être appliqué à:
- Procédures stockées.
Pour que le cryptage des données soit efficace, lors de sa gestion, il faut faire attention 4 clés:
une stratégie.
Le cryptage des données n'est pas aussi efficace s'il n'est pas compris dans le cadre d'une stratégie de sécurité de l'information. Dans ce régime, la gestion des clés doit être au cœur de l'infrastructure de sécurité informatique de l'organisation, puisque le cryptage est incassable. Le système de gestion des clés devient une cible naturelle pour ceux qui recherchent un moyen d'accéder aux actifs informationnels de l'entreprise... Certaines des meilleures pratiques sont:
- Évitez d'utiliser un logiciel pour le stockage des clés et remplacez-le par du matériel.
- Conservez une copie papier des politiques de sécurité papier.
- N'oubliez pas la pertinence des audits de sécurité.
b) Authentification.
La menace vient de l'intérieur dans plus de cas qu'on ne l'imagine et, pourtant, doit authentifier les administrateurs et assurer la séparation des tâches. Ne sois pas trop confiant puisque même un système de gestion de clés physiquement sécurisé peut être compromis si les contrôles d'accès administrateur ne sont pas assez forts. Dans cet aspect, les établissements devraient:
- Trouver des alternatives pour augmenter la fiabilité et la force des techniques d'authentification pour les administrateurs.
- Utiliser différents contrôles d'accès administrateur pour les données chiffrées et fournir aux contrôleurs un accès aux clés.
c) Automatisation.
Il y a de plus en plus de clés, plus de mots de passe et, au lieu de renforcer la sécurité, peut être affaibli par une complexité croissante, si cela implique l'apparition d'erreurs. L'automatisation des tâches de gestion des clés permet de réduire les coûts et d'augmenter la protection des informations, une solution facile à appliquer, puisque la plupart des tâches de gestion des mots de passe se concentrent sur les procédures établies.
Cette décision garantit de très bons résultats et Les exceptions ne devraient s'appliquer que, en cas de situation d'urgence ou lorsqu'il s'agit d'une demande urgente d'accès aux données.. Dans ce genre de circonstances, une stratégie globale de gestion des clés doit être utilisée, pour faciliter la localisation des mots de passe pour les sauvegardes créées semaines, mois ou plusieurs années avant.
ré) Record.
Tenir un journal des activités de gestion des clés est essentiel pour éviter les problèmes potentiels liés à la destruction des clés. Habituellement, les appareils contenant des informations confidentielles se détériorent jusqu'à devenir inutilisables. Malgré cela, ce statut n'implique pas qu'ils ne sont plus une source potentielle de perte de données.. La destruction physique du matériel ne peut pas détruire les informations qu'il contient et, Dans ce but, le cryptage des données fournit un moyen très efficace d'assurer la protection des actifs informationnels de l'entreprise puisque, détruire la clé c'est effectivement détruire les données.
Le compromis est que, de toute façon, Il est impératif que l'organisation puisse démontrer que chaque copie de la clé qui a été faite a été détruite, et devrait être en mesure de le prouver, quelque chose qui n'est faisable que si vous avez une piste d'audit solide. Pour éviter les conséquences de la perte de données ou de clés, il faut agir à trois niveaux:
- Faire une bonne gestion des clés.
- Tenir un registre qui permet le suivi de toutes les activités liées à la gestion des clés.
- N'oubliez jamais de détruire la clé lorsque vous souhaitez effacer définitivement les données associées.
