ESCOLHA DA ABORDAGEM CERTA DE CRIPTOGRAFIA

Produtos de Segurança de Dados Vormetric

A solução ideal varia de acordo com o caso de uso, as ameaças abordadas e a complexidade aceitável da implantação

No nível da sala de reuniões, a criptografia de dados pode facilmente ser vista como uma questão maniqueísta: os dados da empresa estão criptografados e os ativos da empresa estão seguros, ou eles não estão criptografadas e é hora de entrar em pânico. No entanto, para as equipes de segurança que têm a responsabilidade de proteger os ativos sensíveis, a realidade não é tão simples.

Ao determinar o tipo de solução de criptografia de dados que melhor atender às suas necessidades, há várias considerações. Em um nível elevado, tipos de criptografia de dados podem ser quebrado por onde eles são empregados na pilha de tecnologia. Há quatro níveis de pilha de tecnologia em que a criptografia de dados é comumente empregada: completa de disco ou mídia, sistema de arquivos, banco de dados e aplicação.

Em geral, quanto mais baixo for o nível da pilha em que a criptografia é empregada, mais simples e menos invasiva será a aplicação. No entanto, o número e o tipo de ameaças que essas abordagens de criptografia de dados podem abranger também são reduzidos. Por outro lado, com o emprego da criptografia na parte superior da pilha, em geral, as empresas podem obter níveis mais elevados de segurança e atenuar mais ameaças.

Security and deployment complexity

A complexidade da segurança e da implantação aumenta quando implementada na parte superior da pilha

Abaixo, mais detalhes sobre as vantagens e desvantagens da criptografia em cada nível da pilha de computação. Estas descrições podem orientá-lo na seleção da melhor abordagem de criptografia e produto para seus ambientes e casos de uso específicos.

Criptografia completa de disco

Ao empregar a criptografia completa de disco (FDE) ou os drives de autocriptografia (SED), todas as informações são criptografadas quando são escritas no disco e descriptografadas quando são lidas no disco.

Vantagens:

  • Método mais simples de implantar criptografia.
  • Transparente para aplicações, banco de dados e usuários.
  • Criptografia baseada em hardware, alto de sempenho.

Limitações:

  • Abrange um conjunto muito limitado de ameaças, protege apenas de perdas físicas de mídia de armazenamento.
  • Não oferece nenhuma proteção contra ameaças persistentes avançadas (APTs), usuários internos mal-intencionados ou atacantes externos.
  • Atende a um mínimo de exigências de conformidade e não oferece logs de auditoria de acesso granular.

Conclusão:

  • A criptografia completa de disco faz sentido para notebooks, que são altametne suscetíveis a perda ou roubo. No entanto, essas abordagens de criptografia não são adequadas para a maior parte dos riscos enfrentados nos ambientes de centro de dados e nuvem.

Saiba mais:

Criptografia no nível de arquivo

As abordagens de nível de arquivo oferecem controles de segurança empregando agentes de software instalados no interior do sistema operacional. Os agentes interceptam todas as chamadas lidas e escritas para os discos e depois aplicam políticas para determinar se os dados devem ser criptografados ou descriptografados. Os produtos de criptografia de sistema de arquivos mais maduros oferecem fortes controles de acesso baseados em políticas, inclusive para processos e usuários privilegiados e recursos de logs granulares.

Vantagens:

  • Transparente para usuários e aplicações, significando que as empresas não têm que personalizar aplicações para serem bloqueadas em um fornecedor de armazenamento ou mudar os processos empresariais relacionados.
  • Compatível com dados estruturados e não estruturados.
  • Estabelece fortes controles que protegem contra abuso de usuários privilegiados e que atendem aos requisitos mais comuns de conformidade.
  • Oferece logs de acesso a arquivos granulares e integração SIEM, que pode ser usada para inteligência de segurança e relatórios de conformidade.

Limitações:

  • Requer implantação com produtos de monitoramento de atividade de base de dados (DAM) para proteger contra administrador de banco de dados mal-intencionado ou ataque de injeção de SQL.
  • Os agentes são específicos dos sistemas operacionais, portanto é importante garantir que a solução selecionada ofereça cobertura de um amplo conjunto de plataformas Windows, Linus e Unix.

Conclusão:

  • Para muitas empresas e finalidades, a critografia de arquivos representa a abordagem ideal. Suas amplas proteções suportam a vasta maioria dos casos de uso e são de fácil instalação e operação.
  • Procure soluções que ofereçam um gateway complementar que possa proteger os dados que estão sendo transferidos para a nuvem.

Saiba mais:

Criptografia de Banco de Dados (TDE)

Esta abordagem permite às equipes de segurança criptografar um subconjunto específico de dados no interior do banco de dados ou no arquivo inteiro do banco de dados. Esta categoria inclui soluções de vários fornecedores de banco de dados e é conhecida como criptografia transparente de dados (TDE).

Vantagens:

  • Protege dados em bancos de dados, que são repositórios essenciais.
  • Estabelece sólidas proteções contra várias ameaças, inclusive usuários internos mal intencionados - em alguns casos, até mesmo administrador de banco de dados mal-intencionado.

Limitações:

  • Ofertas de um fornecedor de banco de dados não podem ser aplicadas a bancos de dados de outros fornecedores.
  • Não permite administração central de bancos de dados de múltiplos fornecedores ou outras áreas no ambiente.
  • Somente criptografa colunas ou tabelas de um banco de dados, deixando arquivos de configuração, logs de ssitemas e relatórios expostos.

Conclusão:

  • Embora as tecnologias de criptografia de banco de dados possam atender a requisitos táticos específicos, elas não permitem que as empresas façam a segurança em ambientes heterogêneos. Como resultado, elas podem deixar as empresas com lacunas de segurança significativas.

Saiba mais:

Criptografia de aplicações

Esta abordagem acrescenta lógica de aplicação para administrar a criptografia ou tokenização de dados de dentro da aplicação.

Vantagens:

  • Protege subconjuntos especificos de dados, como os campos de um banco de dados.
  • A criptografia ou a descriptografia ocorre na camada da aplicação, o que significa que os dados podem ser criptografados antes de serem transmitidos e armazenados.
  • Oferece o nível mais elevado de segurança, fornecendo proteção contra DBAs mal-intencionados e ataques de injeção de SQL.
  • A tokenização também pode reduzir significativamente os custos de conformidade de PCI DSS e as despesas administrativas.

Limitações:

  • Estas abordagens precisam ser integradas com a aplicação e, portanto, requerem trabalho de desenvolvimento e recursos.

Conclusão:

  • Essas abordagens podem ser ideais para os caos em que as políticas de segurança ou as exigências de conformidade exigem a proteção de conjuntos específicos de dados. Além disso, as variantes da criptografia de camada de aplicação, inclusive tokenização e criptografia de preservação de formato, podem ajudar a reduzir o impacto sobre os bancos de dados.
  • Procure soluções com APIs baseadas em padrões e código de amostra bem documentados para simplificar o desenvolvimento da aplicação.

Saiba mais:

Application Encryption

ANALYST REPORT

Encryption as an Enterprise Strategy

Vormetric Data Security Platform

Offers survey results and analysis on creating an enterprise-wide encryption strategy.  

Download >>

ANALYST REPORT

Selecting Encryption for “Data-At-Rest” In Back-End Systems: What Risks Are You Trying To Address

Vormetric Data Security Platform

Provides actionable information that can help you secure your most crucial asset, your data.  

Download >>

Customer and Partner Success

  • Rackspace Cloud Partners
  • McKesson
  • AWS
  • Google Compute Engine
  • Microsoft
  • IBM
  • CenturyLink
  • QTS
  • Teleperformance Secures
  • Delta Dental