¿Qué es el TDE en SQL?

El cifrado de los datos en reposo es un componente crítico de la ciberseguridad en los servidores empresariales. El cifrado de datos transparente (TDE) es una tecnología utilizada por los proveedores de bases de datos para cifrar los datos a nivel de archivo. El TDE protege los datos durante los robos físicos cuando se roban unidades o cuando los atacantes extraen archivos de un servidor comprometido. Es una capa adicional de seguridad en las estrategias de protección de datos.

¿Qué es el TDE?

El TDE es una forma de cifrado a nivel de archivo para bases de datos. El sistema de base de datos almacena una clave simétrica y la utiliza para cifrar los datos cuando se escriben en una unidad y la descifra cuando se recuperan los datos. TDE también cifra los archivos de registro utilizados para las copias de seguridad y las transacciones de seguimiento realizadas en el servidor de la base de datos.

Cuando los datos se cifran en reposo, significa que los archivos se cifran antes de almacenarse y se descifran de manera transparente cuando el sistema los recupera. El TDE protege los datos solo en reposo, por lo que los administradores deben asegurarse de que los datos en tránsito también están cifrados, lo que significa que los datos transferidos desde la base de datos a otra ubicación deben cifrarse independientemente de las configuraciones del TDE. Si se roban archivos, el atacante no podrá utilizarlos sin acceder a la clave simétrica, por lo que el TDE es una estrategia viable para la ciberseguridad avanzada y la protección de datos.

¿Qué es el TDE en SQL?

Microsoft es un desarrollador de bases de datos que incorpora TDE para proteger los datos empresariales. Cuando configura Microsoft SQL Server para que funcione con TDE, la base de datos genera un certificado y lo almacena en la base de datos maestra. El certificado se utiliza para cifrar la clave simétrica, que luego se utiliza para cifrar los datos almacenados en el disco o recuperados y guardados en la memoria, lo que hace que sea ilegible si se exfiltra.

Todo el proceso de cifrado y descifrado de los datos es transparente para los administradores y los usuarios que trabajan con consultas de bases de datos. El TDE no afecta al rendimiento, ni siquiera con el paso de cifrado adicional del flujo de trabajo de almacenamiento y recuperación. El cifrado de clave simétrica suele ser rápido y no interfiere con el rendimiento o la productividad.

Proveedores como Amazon utilizan Elastic Block Store (EBS). EBS cifra los datos en bloques y no a nivel de archivo. Los datos se cifran cuando se almacenan y recuperan, pero los archivos de datos no se cifran. La diferencia en la seguridad es que el cifrado a nivel de archivo protege de los robos físicos. Si los archivos se exfiltran desde un sistema comprometido, el TDE cifra los archivos, lo que los hace inutilizables para el atacante.

Ejemplos de TDE en DBMS populares

Microsoft Microsoft utiliza TDE en sus productos de base de datos SQL Server, pero el TDE también se incorpora en las aplicaciones de bases de datos de otros proveedores. IBM utiliza TDE en su software de base de datos Db2. Oracle también utiliza TDE como opción de seguridad avanzada para sus aplicaciones de bases de datos de 10 g y 11 g. Los tres proveedores exigen que los administradores activen y configuren el TDE antes de poder utilizarlo.

MySQL también incorpora TDE. El TDE en MySQL funciona de manera similar al TDE en Microsoft SQL Server. El proceso de cifrado de dos niveles genera una clave asimétrica pública y privada que se utiliza para cifrar la clave simétrica. La clave simétrica cifra y descifra los datos a medida que se almacenan y recuperan. La clave de cifrado maestra se almacena en un almacén en el que solo los administradores y el sistema de base de datos pueden acceder a ella.

Ventajas y ventajas de usar TDE

Los datos en reposo son cualquier información almacenada en un dispositivo. Es la forma opuesta de datos en tránsito, que describe los datos transferidos de un dispositivo a otro o los datos que se mueven a una ubicación diferente. Los datos en reposo son distintos de los datos en tránsito, por lo que necesitan su propia estrategia de protección de datos y ciberseguridad.

Algunas normativas de cumplimiento exigen que los datos en reposo estén cifrados. Un buen ejemplo es la Ley de Portabilidad y Responsabilidad de los Seguros Médicos (HIPAA). La HIPAA tiene unas normativas estrictas para proteger los datos en reposo, sobre todo en servidores y estaciones de trabajo que almacenan la información de los pacientes. Asegúrese siempre de que su infraestructura sigue los estándares normativos que supervisan su sector y sus flujos de trabajo de pago.

Microsoft integra TDE sin problemas con su motor de base de datos SQL Server. Los usuarios y administradores no notan diferencias en su operabilidad, rendimiento o en la manera en que SQL Server responde a las consultas. Los administradores pueden mover los archivos a ubicaciones de copia de seguridad sin cifrar manualmente los archivos de copia de seguridad para seguir las buenas prácticas de conformidad y protección de datos.

Desventajas o razones para no usar TDE

Cualquier flujo de trabajo criptográfico añade complejidad al entorno, por lo que algunos administradores pueden dudar en usarlo. Aunque el TDE no interfiere con el rendimiento de un servidor moderno con hardware para gestionar las consultas empresariales, puede interferir con el rendimiento de las consultas en el hardware antiguo. Los datos cifrados también requieren una capacidad de almacenamiento adicional y la capacidad de almacenamiento debe escalarse a medida que las empresas adquieren más datos.

El TDE cifra todo el archivo almacenado en el disco, para que los administradores no tengan un control granular sobre el cifrado a nivel de celda o a nivel de columna. Toda la actividad I/O de disco está cifrada, por lo que es una función “todo o nada” para las bases de datos de SQL Server. SQL Server también ofrece cifrado a nivel de celda o a nivel de columna, lo que proporciona a los administradores un control más granular del cifrado de campos e información específicos.

FlashArray ™ proporciona un cifrado de datos en reposo estándar AES-256 fácil de usar que no compromete el rendimiento. Lea este informe para obtener más información. >>  

Conclusión

El cifrado es fundamental para la protección de los datos, sobre todo cuando se alojan datos en la nube. Los administradores pueden configurar manualmente su base de datos de SQL Server para cifrar los archivos. Las copias de seguridad y los registros de estos archivos se cifrarán automáticamente una vez que se habilite el TDE. Si supervisa el cumplimiento de una base de datos, TDE cumple las normativas comunes que exigen el cifrado a nivel de archivo de los datos confidenciales. 

¿Su capa de almacenamiento está frenando su rendimiento SQL? Acelere el rendimiento de sus implementaciones de SQL Server con las soluciones de almacenamiento totalmente flash de Pure Storage .