Una guida completa per la protezione dei dati mediante la

WHITE PAPER
Una guida completa per la
protezione dei dati mediante
la crittografia del database
Nelle aziende di oggi i team responsabili della sicurezza hanno il compito di supportare la crittografia
del database che sta vivendo una rapida espansione. Il presente documento spiega dettagliatamente
perché la domanda della crittografia del database stia diventando sempre più cruciale e rappresenti
una sfida da affrontare. Lo studio offre una panoramica degli approcci chiave necessari per rispondere a
questa crescente domanda e spiega i principali metodi di crittografia mostrando le differenze tra gli uni
e gli altri - con lo scopo di aiutare i dirigenti a scegliere lo strumento adatto in ogni circostanza. Infine,
viene presentato il portafoglio con le soluzioni Gemalto SafeNet dedicate alla protezione dei dati (SafeNet
Data Protection), dimostrando come tali soluzioni permettono ai team responsabili della sicurezza di
occuparsi della protezione dei dati in modo efficiente e olistico.
Perché la richiesta della crittografia del
database cresce e diventa sempre più complicata
Oggigiorno nelle aziende moderne, praticamente ogni asset
digitale importante viene archiviato nel database aziendale. Non
c’è da stupirsi quindi se queste repository spesso siano l’obiettivo
più ambito dei malicious insiders e dei cyber attack. Un database
messo a repentaglio rappresenta per le aziende la più devastante
penalizzazione, sia strategica che finanziaria.
Alla luce di questi fatti, le politiche di sicurezza delle aziende e le
normative hanno messo in evidenza sempre di più l’importanza di
ricorrere alla crittografia per permettere una solida salvaguardia
dei dati nel database.
Tuttavia, se da un lato la protezione dei dati nel database in
continuo aumento diviene di volta in volta più urgente, dall’altro
diventa anche più impegnativa. Con l’aumento dell’uso di big data,
crescono i repository più eterogenei che usufruiscono e accedono
ai database - facendo espandere in modo considerevole il numero
di sistemi che hanno bisogno di protezione e anche i potenziali
vettori di minaccia. Le aziende dipendono sempre di più da una
diversa gamma di modelli di computing interni, esterni e ibridi - il
che si traduce in un crescente bisogno di protezione dei database
all’interno di un maggior numero di ambienti e di ecosistemi più
complessi. Inoltre, è necessario implementare delle salvaguardie
supplementari per mitigare i rischi inerenti agli ambienti cloud,
compresi i nuovi livelli dei rischi amministrativi e la potenziale
esposizione di un fornitore cloud alla citazione a giudizio.
Cercando di far fronte a questa crescente, e sempre più urgente,
domanda della crittografia del database, molti team responsabili
della sicurezza sono stati in realtà ostacolati dagli strumenti
e dagli approcci esistenti. In molte aziende, l’implementazione
della crittografia è stata di natura soprattutto tattica, dettata
dagli sforzi dei team di progetto, dai requisiti di conformità e
dai silo tecnologici. Il risultato è stato l’implementazione di un
sistema di crittografia che non può essere gestito e amministrato
a livello centrale. Specialmente per quanto riguarda i processi di
gestione dei codici, la natura eterogenea e frammentata di queste
implementazioni ha iniziato a far sorgere numerose difficoltà
come l’aumeto degli store di key, dei costi e dei rischi.
Determinare in che modo crittografare i dati
Il requisito: un approccio olistico per la protezione dei database
Per affrontare le problematiche appena evidenziate, è
fondamentale che i team responsabili della sicurezza adottino
delle strategie più risolutive per la protezione dell’intera azienda.
A tale scopo devono servirsi di piattaforme che garantiscano
una amministrazione delle chiavi e delle norme centralizzata
ed efficiente dell’intera azienda. Inoltre, è indispensabile avere
le competenze necessarie e saper fornire le soluzioni flessibili
rischieste per implementare la crittografia nel modo più efficace
possibile per ogni caso concreto.
Requisiti generali
La soluzione che viene adottata deve dotare i team responsabili
della sicurezza delle seguenti funzionalità di base:
>> Proteggere i dati e controllarne l’accesso.
>> Applicare dei controlli severi per salvaguardare le chiavi e per
gestirle in modo efficace durante il loro ciclo di vita.
>> Immagazzinare e gestire le chiavi facendo in modo che siano
fisicamente e logicamente isolate dai repository dei data.
Una guida completa per la protezione dei dati mediante la crittografia del database - White Paper
1
Scegliere l’approccio adeguato ad ogni caso concreto
Al momento di eseguire la crittografia dei dati nel database, i
team responsabili della sicurezza possono scegliere tra una
vasta gamma di approcci e soluzioni . Il responsabile della scelta
deve prediligere le soluzioni che puntano sui canali di attacco più
critici e, allo stesso tempo, prendere in considerazione fattori
quali il costo, l’integrazione e l’amministrazione dello sforzo, i
livelli degli utenti e la convenienza. A seguire, vi presentiamo un
riepilogo di alcuni degli approcci disponibili con i relativi punti
forti e punti deboli:
>> Crittografia e tokenizzazione a livello di applicazione
(Application-Layer). Grazie alla crittografia e alla
tokenizzazione le aziende possono spesso raggiungere il
più alto grado di protezione. Questo approccio consente alle
aziende di proteggere le tecnologie sensibili durante tutto il
loro ciclo di vita, dal momento della creazione, dell’acquisizione
e fino all’eliminazione. L’inconveniente di questo approccio è
che di solito richiede un maggiore sforzo di implementazione.
>> Livello di database (Database-layer). Con la crittografia
a livello di database, le aziende possono proteggere delle
colonne specifiche nel database. Per esempio, possono cifrare
una colonna che contiene i numeri della previdenza sociale
degli impiegati, mantenendo visibili gli altri dati. Questo
approccio se da un lato offre un’implementazione più chiara
rispetto al primo, dall’altro gestisce un numero minore di
minacce potenziali.
>> Livello di file system (File system layer) Con questo metodo
le aziende cifrano completamente i file nel database. Questo
approccio se da una parte non garantisce la stessa protezione
assicurata dagli altri descritti sopra, dall’altra è uno strumento
che permette la sicurezza dei file del database, durante
l’esportazione, il backup, l’archiviazione nello spazio di
storage, o prima che essi avvengano. Confrontandola con gli
approcci spiegati precedentemente, quest’alternativa risulta
spesso più semplice da implementare e da gestire.
Dove crittografare e gestire i codici
Fonte
Sicurezza
Applicazione
Data base
File
Destinazione
Storage, nastro, disco
Sforzo necessario per l’attivazione
In generale, l’attivazione della crittografia a un livello più alto
del computing stack offre una maggiore protezione, ma la sua
implementazione richiede uno sforzo maggiore.
Protezione dei dati unificata
Virtuale
On-premises
Cloud
Piattaforma unificata
della protezione dei dati
La base crittografica
Gestione delle chiavi
Compliance
Politica di gestione
Protezione
Gemalto fornisce un porfafoglio di soluzioni completo che
permette la protezione unificata dei dati per l’intera azienda.
>> Gestione delle chiavi efficace e centralizzata. Tutte le
soluzioni per la protezione dei dati di SafeNet sono realizzate
mediante SafeNet KeySecure, che offre un’elevata protezione
e una gestione centralizzata delle chiavi di crittografia
dell’intera azienda. Grazie a una politica di gestione delle chiavi
centralizzata, a una rotazione delle chiavi e alla rigenerazione
dei dati, la soluzione aiuta a rafforzare la protezione riducendo
allo stesso tempo gli sforzi amministrativi.
>> Implementazione e funzionamento efficiente. Le soluzioni per
la protezione dei dati di SafeNet offrono un’amministrazione e
politiche di gestione, di auditing e di reporting centralizzate che
promuovono l’aderenza alle politiche e la rapidità. Con queste
soluzioni potete usufruire di un’efficiente architettura che
riduce l’impatto sulle prestazioni della crittografia.
>> Ampio supporto dell’ambiente. Queste soluzioni offrono
sostegno a una vasta gamma di ambienti di computing e
modelli, fra cui molteplici servizi di cloud pubblici, sistemi
virtualizzati, centri di dati tradizionali, infrastrutture ibride e
implementazioni dei big data.
>> Supporto alla crittografia multi-livello (Multi-Layer). Con le
soluzioni di SafeNet Data Protection, i team che si occupano
della sicurezza dei dati possono scegliere numerosi approcci,
comprese la crittografia di colonne, file, cartelle e intere
macchine virtuali o istanze. La suite di prodotti presenta delle
offerte a livello di database e delle soluzioni per la crittografia
e la tokenizzazione.
>> Supporto completo del database. Con le soluzioni di SafeNet
la vostra azienda può crittografare i dati nei database NoSQL,
compresi Cassandra, MongoDB e Hbase: e nei database SQL,
tra cui il server Microsoft SQL, Oracle, IBM DB2. MySQL e
PostgreSQL.
Le soluzioni per la protezione del database di
SafeNet
Con le soluzioni del portafoglio di Gemalto per la protezione dei
dati di SafeNet (SafeNet Data Protection) la vostra azienda può
stabilire una strategia completa e ingegnosa per proteggere i
dati del database dell’intera impresa. Gemalto offre una gamma
completa di soluzioni per la crittografia e la tokenizzazione,
insieme a delle soluzioni fondamentali per la gestione delle chiavi
che permettono al team che si occupa della sicurezza nella vostra
azienda, di gestire in modo efficiente tutte le implementazioni
della crittografia e delle chiavi. Le soluzioni di SafeNet Data
Protection mettono in evidenza questi vantaggi:
Una guida completa per la protezione dei dati mediante la crittografia del database - White Paper
2
La soluzione presenta una crittografia trasparente ed efficiente.
Con SafeNet Protect CB, i team responsabili della sicurezza
possono introdurre dei controlli granulari sugli accessi che
comprendono il ruolo, l’utente, il momento del giorno e altre
variabili. La soluzione offre salvaguardie efficaci, per esempio
permette al team responsabile della sicurezza di impedire che
l’amministratore del database si appropri dell’identità di un altro
utente per ottenere l’accesso ai dati sensibili. Per una protezione
aggiuntiva, la soluzione prevede la rotazione delle chiavi
automatizzate e la rigenerazione, così come una completa attività
di logging e reporting.
SafeNet ProtectApp: crittografia a livello di applicazione
La SafeNet ProtectApp cifra i dati a livello di applicazione, prima
del loro salvataggio nel database. La soluzione offre anche
un’interfaccia per le operazioni di gestione delle chiavi.
Molte aziende usano SafeNet ProtectApp per proteggere
le informazioni sensibili - come per esempio la proprietà
intellettuale o le informazioni personalmente identificabili (PII) - e
per soddisfare i requisiti di conformità e le normative.
La soluzione supporta database NoSQL e SQL e può proteggere
dati strutturati e non strutturati. La crittografia avviene nella
piattaforma SafeNet KeySicure, che aiuta a garantire una
performance ottimale e permette una politica centralizzata di
gestione delle chiavi.
Con SafeNet ProtectApp le aziende possono proteggere i dati con
trasparenza durante il loro intero ciclo di vita, indipendentemente
da dove vengano inviati, archiviati o copiati. La soluzione offre le
seguenti caratteristiche e funzioni:
>> Apls che aiuta a snellire il processo di integrazione nelle
infrastrutture per i server delle applicazioni multivendor.
>> I controlli granulari degli accessi che permettono ai team che
si occupano della sicurezza di garantire che solo gli utenti e
le applicazioni autorizzati possono ottenere accesso ai dati
decodificati.
>> Il servizio di auditing e logging completo.
>> La rotazione dei dati automatizzata incorporata e la
rigenerazione dei dati.
La tokenizzazione SafeNet: tokenizzazione a livello di applicazione
Quando le aziende scelgono la tokenizzazione SafeNet,
possono sostituire i dati sensibili con un token, un valore privo
di significato o valore nel caso in cui qualcuno vi acceda. La
soluzione trasforma i dati in token prima di immagazzinarli nel
database.
La Tokenizzazione SafeNet offre la flessibilità di usare formati
standard o personalizzati. Il formato della soluzione, preservando
le proprietà della tokenizzazione vi permette di proteggere il dato
convertito in token mantenendo delle proprietà simili a quelle del
valore originale, riducendo così il potenziale impatto sui processi
associati e le applicazioni che potrebbero accedere ai dati.
La tokenizzazione SafeNet può essere usata per trasformare
in token ogni tipo di dato sensibile, compresi i numeri di conto
corrente, delle carte di credito, della previdenza sociale ecc. .
Molte aziende usano la tokenizzazione SafeNet per proteggere
in primo luogo i numeri di conto delle carte di credito usate nei
pagamenti per garantire il rispetto delle norme stabilite dal PCI
DSS (Payment Card Industry Data Security Standard). Inoltre,
la soluzione permette alle aziende di proteggere il PII e i dati
sensibili nel campo dei big data. Per finire, le aziende possono
servirsi di questa soluzione per proteggere i dati in ambiti non
produttivi, come quelli usati per lo sviluppo e il testing delle
applicazioni, la ricerca e altro.
Opzioni di crittografia del database
I database
Proteggere le
colonne selezionate
Proteggere tutti i
file del database
Proteggere il livello
di database
Proteggere a livello
di cartella o di file
SafeNet
ProtectDB
SafeNet
ProtectFile
Proteggere il livello
di applicazione
Proteggere tutta
la macchina
virtuale o l’istanza
Crittografia
SafeNet ProtectDB: Crittografia a livello di colonna (Column Level)
SafeNet ProtectDB offre una crittografia a livello di colonna per
dati strutturati e database SQL. SafeNet ProtectDB permette
alle aziende di far fronte a una gamma di obiettivi di protezione,
compresa la protezione dei dati finanziari, mantenendo la
conformità allo standard PCI DSS, e mettendo al riparo le Pll,
Informazioni Personalmente Identificabili.
La tokenizzazione Safenet offre dei controlli granulari sugli
accessi, logging e auditing completi. La soluzione offre una
gamma di funzioni che snelliscono l’introduzione, tra cui il
supporto ai servizi Web, la tokenizzazione bulk, e il supporto delle
API di Batch.
Tokenizzazione
Soluzioni per proteggere le colonne selezionate
nei database
SafeNet
ProtectApp
SafeNet
Tokenization
SafeNet
Protect V
Il portafoglio delle soluzioni di SafeNet Data Protection
permette alle aziende di usufruire di una serie di metodi per la
protezione dei dati nel database.
Soluzioni per la protezione di tutti i file del
database
SafeNet Protect File: Crittografia a livello di File System
SafeNet ProtectFile applica una crittografia trasparente all’intero
dei file del database. La soluzione fornisce supporto ai database
SQL e NoSQL e può crittografare i file non strutturati. Con
SafeNetProtect File, i team che si occupano della sicurezza
possono usare questi protocolli di condivisione dei file come il
Common Internet File System (CIFS) e il Network File System
per proteggere i file del database che risiedono negli ambienti
collegati ai server Direct Attached Storage (DAS), Storage Area
Network (SAN) e Network Attached Storage (NAS).
La soluzione offre una solida salvaguardia contro l’abuso
di informazioni privilegiate, per esempio impedendo che un
amministratore imbroglione possa assumere l’identità di
un utente per accedere a dati crittografati. Per ottenere una
sicurezza aggiuntiva, sono state inserite nella soluzione la
rotazione dei dati automatizzata e la rigenerazione dei dati,
insieme a una completa attività di logging e reporting.
Una guida completa per la protezione dei dati mediante la crittografia del database - White Paper
3
Con questa soluzione, le aziende possono proteggere
efficacemente ambienti virtualizzati e cloud. I team responsabili
della sicurezza possono mantenere il possesso e il controllo
dei dati e crittografare le chiavi in qualsiasi momento e avviare
anche dei controlli per autorizzare il lancio di istanze di macchine
virtuali.
SafeNet ProtectV: Crittografia completa del disco della
macchina virtuale
SafeNet ProtectV permette alle aziende di crittografare delle
intere macchine virtuali, con il relativo volume di archiviazione,
gli snapshot istantanei, i backup e le partizioni. La soluzione può
crittografare file non strutturati nei database NoSQL e SQL.
Inoltre, possono svolgere l’audit e il report di tutti gli accessi
alle chiavi e revocarne l’accesso nel caso in cui si verifichi
un’infrazione. SafeNet ProtectV lavora con SafeNet Key Secure
per permettere l’uso di politiche centralizzate di gestione delle
chiavi.
Soluzioni per la protezione del Database SafeNet con uno sguardo
Soluzione
Livello/Tipo Di Implementazione
I Database
Tipi Di Dati
SafeNet ProtectApp
Crittografia a livello di
applicazione
NoSQL e SQL
Strutturati e
non strutturati
SafeNet Tokenization
Tokenizzazione a livello di
applicazione
NoSQL e SQL
Strutturati
SafeNet ProtectDB
Crittografia a livello di colonna
SQL
Strutturati
SafeNet ProtectFile
Crittografia a livello di cartella
e file
NoSQL e SQL
Non strutturati
SafeNet Transparent
Data Encryption
Gestione delle chiavi per l’azienda
con la crittografia del database
nativo
SQL
SafeNet ProtectV
Crittografia delle macchine
virtuali
Ambienti
>> Cloud Pubblici
>> Ambienti virtuali
>> Centri dati tradizionali
>> Ambienti ibridi
>> Implementazioni dei Big Data
Strutturati
NoSQL e SQL
Una gestione delle chiavi solida e centralizzata
per l’azienda
SafeNet KeySecure
SafeNet KeySecure è una piattaforma certificata di FISP 140-2
che vi permette di creare un servizio di crittografia centralizzato
che snellisce i procedimenti di crittografia della vostra azienda.
SafeNet KeySecure si integra senza difficoltà con la suite delle
soluzioni di crittografia SafeNet, comprese SafeNet ProtectApp,
SafeNet ProtectDB, SafeNet ProtectFile, SafeNet ProtectV, e
SafeNet Tokenization.
SafeNet KeySecure fornisce altresì un’ampia gamma di API
standard e librerie di sviluppo e supporta lo standard del
protocollo di interoperabilità per la gestione delle chiavi. Grazie
a questo, la vostra azienda può raggiungere un’ottima efficienza
dell’implementazione indipendentemente da dove e come
integrate la crittografia.
Gestire le chiavi di crittografia dei dati con
trasparenza con SafeNet KeySecure
Oggigiorno, molte versioni di Oracle e dei database Microsoft
SQL Server offrono la funzionalità Transparent Data Encryption
(TDE), che permette alle aziende di adottare la crittografia
dei dati nel database. Tuttavia, quando vengono impiegate le
capacità del TDE, le chiavi di crittografia che si generano vengono
Non strutturati
Ambienti virtuali e cloud pubblici
selezionati compresi Amazon,
WebServices, Microsoft Azure,
IBM Softlayer Cloud e VMware
immagazzinate nel database, insieme ai dati crittografati,
rendendo l’azienda vulnerabile alle violazioni e al mancato
superamento dei controlli di conformità. Con SafeNet KeySecure,
le aziende possono usufruire delle capacità interne del TDE,
gestendo le chiavi separatamente e in modo più sicuro. Inoltre,
questa strategia è trasparente per le applicazioni e per gli utenti
che accedono ai dati protetti.
Conclusioni
Per le aziende di oggi, l’esigenza di proteggere i dati nel
database diventa sempre più urgente. Con le soluzioni del
portfafoglio di Gemalto SafeNet DataProtection, la vostra
azienda può usufruire delle funzioni necessarie per far
fronte a questa esigenza con un’efficienza ineguagliabile.
Con queste soluzioni potete sfruttare le funzioni per una
politica unica e centralizzata di gestione delle chiavi e allo
stesso tempo implementare le strategie per la protezione
del database che sono in perfetta sintonia con i rischi
specifici della vostra azienda, le tecnologie, i requisiti di
conformità e gli obiettivi dell’impresa.
Contattateci: Per sapere dove si trovano i nostri uffici e per avere gli indirizzi di contatto,
visitae www.safenet-inc.com
Seguiteci su: data-protection.safenet-inc.com
GEMALTO.COM
Una guida completa per la protezione dei dati mediante la crittografia del database - White Paper
© 2015 SafeNet, Inc. All rights reserved. SafeNet, the SafeNet Double Arrow logo, and other SafeNet trademark and service marks are the property of SafeNet, Inc. and/or SafeNet affiliated companies. WP (IT)-22Mar2016 - Design: RM
SafeNet Protect File costituisce un’ottima soluzione per
proteggere i file del database, compresi quelli usati per
esportate, archiviare e fare i backup. La soluzione offre anche
una protezione efficace nelle implementazioni dei big data, anche
di quelli che vengono gestiti da Apache Hadoop e IBM InfoSphere
Big Insight.
4