Die Verschlüsselung von Data-at-Rest ist eine wichtige Komponente bei der Cybersicherheit auf Unternehmensservern. Transparente Datenverschlüsselung (TDE) ist eine Technologie, die von Datenbankanbietern verwendet wird, um Daten auf Dateiebene zu verschlüsseln. TDE schützt Daten bei physischem Diebstahl, wenn Laufwerke gestohlen werden oder wenn Angreifer Dateien von einem kompromittierten Server exfiltrieren. Es ist eine zusätzliche Sicherheitsebene bei Datenschutzstrategien.
Was ist TDE?
TDE ist eine Form der Verschlüsselung auf Dateiebene für Datenbanken. Das Datenbanksystem speichert einen symmetrischen Schlüssel und verwendet ihn zum Verschlüsseln von Daten, wenn er auf ein Laufwerk geschrieben wird, und zum Entschlüsseln, wenn Daten abgerufen werden. TDE verschlüsselt auch Protokolldateien, die für Backups und die Verfolgung von Transaktionen auf dem Datenbankserver verwendet werden.
Wenn Daten im Ruhezustand verschlüsselt werden, bedeutet dies, dass Dateien vor der Speicherung verschlüsselt und beim Abrufen durch das System transparent entschlüsselt werden. TDE sichert Data-at-Rest, sodass Administratoren sicherstellen müssen, dass die Daten während der Übertragung auch verschlüsselt sind. Was bedeutet, dass Daten, die von der Datenbank an einen anderen Ort übertragen werden, unabhängig von TDE-Konfigurationen verschlüsselt werden müssen. Wenn Dateien gestohlen werden, wären sie für den Angreifer ohne Zugriff auf den symmetrischen Schlüssel unbrauchbar, sodass TDE eine praktikable Strategie für erweiterte Cybersicherheit und Datenschutz ist.
Was ist TDE in SQL?
Microsoft ist ein Datenbankentwickler, der TDE zum Schutz von Unternehmensdaten integriert. Wenn Sie Microsoft SQL Server für die Arbeit mit TDE konfigurieren, generiert die Datenbank ein Zertifikat und speichert es in der Master-Datenbank. Das Zertifikat wird zum Verschlüsseln des symmetrischen Schlüssels verwendet, der dann zum Verschlüsseln von Daten verwendet wird, die auf einer Festplatte gespeichert oder abgerufen und im Speicher gespeichert sind, sodass er im Falle eines Exfiltrats unlesbar wird.
Der gesamte Prozess der Verschlüsselung und Entschlüsselung von Daten ist für Administratoren und Benutzer, die mit Datenbankabfragen arbeiten, transparent. TDE hat auch mit dem zusätzlichen Verschlüsselungs-Schritt im Storage- und Abruf-Workflow keinen Einfluss auf die Performance. Symmetrische Schlüssel-Verschlüsselung ist in der Regel schnell und beeinträchtigt weder die Performance noch die Produktivität.
Anbieter wie Amazon nutzen Elastic Block Store (EBS). EBS verschlüsselt Daten in Blöcken und nicht auf Dateiebene. Daten werden verschlüsselt, wenn sie gespeichert und abgerufen werden, aber Datendateien sind nicht verschlüsselt. Der Unterschied bei der Sicherheit besteht darin, dass die Verschlüsselung auf Dateiebene vor physischem Diebstahl schützt. Wenn Dateien aus einem kompromittierten System exfiltriert werden, verschlüsselt TDE Dateien, wodurch sie für den Angreifer unbrauchbar werden.
Beispiele für TDE in gängigen DBMSs
Während Microsoft TDE in seinen SQL Server-Datenbankprodukten verwendet, ist TDE auch in Datenbankanwendungen anderer Anbieter integriert. IBM verwendet TDE in seiner Db2-Datenbanksoftware. Oracle verwendet TDE auch als erweiterte Sicherheitsoption für seine 10-g- und 11-g-Datenbankanwendungen. Alle drei Anbieter verlangen, dass Administratoren TDE aktivieren und konfigurieren, bevor es verwendet werden kann.
MySQL umfasst auch TDE. TDE in MySQL funktioniert ähnlich wie TDE in Microsoft SQL Server. Der zweistufige Verschlüsselungs-Prozess erzeugt einen öffentlichen und privaten asymmetrischen Schlüssel, der zum Verschlüsseln des symmetrischen Schlüssels verwendet wird. Der symmetrische Schlüssel verschlüsselt und entschlüsselt Daten beim Speichern und Abrufen. Der Master-Key wird in einem Tresor gespeichert, auf den nur Administratoren und das Datenbanksystem zugreifen können.
Vorteile und Vorteile der Verwendung von TDE
Daten im Ruhezustand sind alle auf einem Gerät gespeicherten Informationen. Es handelt sich um die entgegengesetzte Art von Daten, die übertragene Daten von einem Gerät zum anderen oder Daten, die an einen anderen Ort verschoben werden, beschreiben. Daten im Ruhezustand unterscheiden sich von Daten im Transit, sodass sie eine eigene Strategie für Datenschutz und Cybersicherheit benötigen.
Einige Compliance-Vorschriften verlangen, dass Data-at-Rest verschlüsselt werden. Ein gutes Beispiel ist der Health Insurance Portability and Accountability Act (HIPAA). HIPAA hat strenge Vorschriften zum Schutz Data-at-Rest, insbesondere auf Servern und Workstations, auf denen Patienteninformationen gespeichert sind. Stellen Sie immer sicher, dass Ihre Infrastruktur alle gesetzlichen Standards einhält, die Ihre Branche und Ihre Zahlungsabläufe überwachen.
Microsoft integriert TDE nahtlos mit seiner SQL Server-Datenbank-Engine. Benutzer und Administratoren bemerken keinen Unterschied in der Funktionsfähigkeit, Performance oder der Art und Weise, wie SQL Server auf Abfragen reagiert. Administratoren können Dateien an Backup-Standorte verschieben, ohne Backup-Dateien manuell zu verschlüsseln, um die Best Practices für Compliance und Datenschutz zu befolgen.
Nachteile oder Gründe, TDE nicht zu verwenden
Jeder kryptografische Workflow erhöht die Komplexität der Umgebung, sodass einige Administratoren möglicherweise zögern, ihn zu verwenden. Obwohl TDE die Performance auf einem modernen Server mit Hardware zur Bearbeitung von Unternehmensabfragen nicht beeinträchtigt, kann es die Abfrageperformance auf älterer Hardware beeinträchtigen. Verschlüsselte Daten erfordern auch zusätzliche Storage-Kapazität, und die Storage-Kapazität muss skaliert werden, wenn Unternehmen mehr Daten erhalten.
TDE verschlüsselt die gesamte Datei, die auf der Festplatte gespeichert ist, sodass Administratoren keine granulare Kontrolle über die Verschlüsselung auf Zellen- oder Spaltenebene haben. Alle Disk-I/O-Aktivitäten sind verschlüsselt, sodass es sich um eine „All-or-Nons“-Funktion für SQL Server-Datenbanken handelt. SQL Server bietet auch eine Verschlüsselung auf Zell- oder Spaltenebene, wodurch Administratoren eine detailliertere Kontrolle über die Verschlüsselung bestimmter Felder und Informationen erhalten.
FlashArray™ bietet eine einfach zu bedienende AES-256-Standard-Daten-at-Rest-Verschlüsselung, die die Performance nicht beeinträchtigt. Lesen Sie dieses Whitepaper, um mehr zu erfahren. >>
Fazit
Die Verschlüsselung ist für den Datenschutz von entscheidender Bedeutung, insbesondere beim Hosten von Daten in der Cloud. Administratoren können ihre SQL Server-Datenbank manuell konfigurieren, um Dateien zu verschlüsseln. Backups und Protokolle dieser Dateien werden automatisch verschlüsselt, sobald TDE aktiviert ist. Wenn Sie die Compliance einer Datenbank überwachen, hält sich TDE an allgemeine Vorschriften, die eine Verschlüsselung sensibler Daten auf Dateiebene erfordern.
Hält Ihre Storage-Ebene Ihre SQL-Performance zurück? Beschleunigen Sie die Performance Ihrer SQL Server-Implementierungen mit All-Flash-Storage-Lösungen von Pure Storage.
