À quels problèmes faut-il prêter attention lors du chiffrement des bases de données cloud ?

Cryptage de la base de données Cloud

***Une chose à considérer est la nécessité de chiffrer vos données. Toutes les bases de données ont des capacités d'accès restreintes. Certaines implémentations adaptées suffisent à protéger la confidentialité des données.

D'autres facteurs qui nécessitent un cryptage pour protéger les données stockées dans une base de données sont : cacher les données aux utilisateurs privilégiés de la base de données (tels que les administrateurs de la base de données) afin de se conformer aux réglementations légales, les propriétaires de données ne peuvent pas contrôler l'accès aux données via des comptes ( Si vous utilisez un compte partagé).

Lors de l'utilisation de bases de données cloud, en particulier de solutions SaaS qui utilisent des bases de données, la fonctionnalité normale de la base de données sera réduite, obligeant la base de données ou l'application cloud à accéder à la clé à moins qu'elle ne puisse fonctionner sur le texte chiffré.

Le chiffrement des données entraîne de la complexité et des coûts en termes de performances. En plus du cryptage, il existe d'autres méthodes efficaces :

◆Utilisez la sécurité des objets. Utilisez les instructions SQL d'octroi et de révocation pour restreindre l'accès du compte à ces données. L'accès n'est autorisé qu'aux utilisateurs autorisés et doit être strictement contrôlé au sein de ces comptes.

◆ Stockez des hachages sécurisés. Plutôt que de stocker les données directement, le stockage de la valeur de hachage de ces données permet au programme de l'entreprise de prouver que le détenteur possède la valeur correcte sans stocker réellement les données.

Gestion des clés

Un processus très difficile dans le cloud computing public est la gestion des clés. Le modèle multi-tenant dans le cloud public amène le processus en cours à prendre en compte les problèmes de gestion des clés.

Un cas d'application simple est que lorsqu'une application s'exécute dans le cloud public, les données cryptées seront transférées de l'intérieur de l'entreprise vers le cloud public, et la clé ne sera utilisée qu'au sein de l'entreprise. Certains moteurs de chiffrement peuvent chiffrer les données à leur sortie et les déchiffrer à leur arrivée. Une application qui utilise la clé devient compliquée lorsque d'autres processus sur le cloud public (tels que le traitement par lots) nécessitent un accès à la clé pour déchiffrer les données.

Dans une entreprise, les utilisateurs doivent disposer de leurs propres clés indépendantes au lieu d'utiliser une clé partagée disponible pour l'ensemble de l'entreprise. L'attribution (ou la gestion) d'une clé à chaque utilisateur ou entité, qui peut être mise en œuvre à l'aide d'un moteur de chiffrement basé sur les informations d'identité de l'entité, est le moyen le plus simple de résoudre le problème. De cette manière, toute information spécifiquement chiffrée pour une entité sera conservée par cette entité. Si les entités d'un groupe doivent partager des données, l'application qui gère l'accès au groupe peut se voir attribuer une clé au niveau du groupe et la clé partagée entre les entités du groupe. Les clés doivent être gérées au sein de l’entreprise, comme indiqué précédemment dans cette section.

Lorsque les données sont stockées dans un environnement de cloud public, lors de la désactivation de cet environnement, prouver que toutes les données (notamment les données PII ou SPI ou les données soumises aux lois et réglementations) ont été supprimées de l'environnement de cloud public, y compris d'autres supports tels que la copie les disques, etc., seront problématiques ; le maintien de la gestion locale des clés fournit cette assurance en étant capable de révoquer (ou de supprimer ou de perdre) les clés du système de gestion des clés pour garantir que toutes les données restant dans le cloud public ne peuvent pas être déchiffrées.

Si les fournisseurs de services cloud et les utilisateurs ne disposent pas de processus efficaces de gestion des clés, le cryptage des données n'aura pas une grande valeur. Du côté des fournisseurs de services, les facteurs de préoccupation incluent : les serveurs détenant des données cryptées et le manque de séparation des responsabilités pour l'accès aux clés ; les administrateurs de bases de données ayant accès aux clés personnelles ou à l'architecture des services de base de données reposant sur une seule clé ;

L'utilisation de clés de chiffrement, la génération de clés de chiffrement en mémoire et le stockage uniquement des clés de chiffrement sur un serveur de clés sont des solutions architecturales efficaces pour contrôler et protéger les clés elles-mêmes. Ceux-ci doivent être pris en compte lors de la création d’une solution. La gestion des clés côté client, la protection des clés sur un appareil qui n'est pas intrinsèquement sécurisé (comme un terminal mobile) ou lorsque l'appareil ne reçoit pas le même niveau de contrôle, sont autant de facteurs à prendre en compte.

Suggestions spécifiques en pratique

Dans la pratique spécifique des applications d'entreprise, vous pouvez suivre quelques suggestions utiles comme suit :

◆Lors de l'utilisation de toute forme de produit de cryptage ou de décryptage, appliquez les meilleures mesures de gestion des clés ;

◆ Lorsque cela est possible, la technologie facilement disponible auprès de sources fiables doit être utilisée pour obtenir les meilleures pratiques ;

◆Utiliser les meilleures pratiques de gestion des clés et obtenir des technologies et des produits pour le cryptage, le déchiffrement et la signature, et vérifier auprès de sources fiables

◆ ; il est particulièrement recommandé aux organisations de conserver leurs propres clés ou d'utiliser un service cryptographique de confiance qui exploite déjà un tel service

◆ Si une organisation a besoin d'utiliser des données stockées dans le cloud pour exécuter des analyses ou pour d'autres traitements, l'organisation doit se développer sur la base de une plateforme telle que Hadoop pour exporter les données des sources de données dans le cloud ;

◆Les juridictions clés peuvent être maintenues au niveau individuel ou collectif

◆La gestion des accès collectifs peut être effectuée à l'aide de technologies prêtes à l'emploi, tels que les systèmes DRM ou d'autres logiciels qui s'exécutent sur des ordinateurs de bureau ou portables pour chiffrer les disques durs, les fichiers et les messages électroniques.

◆Afin de maintenir de bonnes pratiques et de réussir les audits, les entreprises doivent gérer leurs propres clés de mots de passe ou utiliser des services de confiance de ; les fournisseurs de logiciels de chiffrement ;

◆Les clés utilisées dans les technologies de chiffrement existantes telles que les produits de chiffrement DRM et de disque dur doivent être gérées de manière centralisée au sein de l'entreprise à l'aide de la technologie de stockage de clés. La modulation de sécurité matérielle doit être utilisée pour stocker les clés et gérer les opérations cryptographiques telles que le chiffrement. décryptage, signature et modification ;

◆Les utilisateurs d'entreprise doivent suivre le processus d'enregistrement pour activer les opérations de chiffrement et d'autres processus dans l'entreprise, tels que les systèmes de chiffrement sensibles au contenu ou préservant le format qui peuvent accéder aux clés de chiffrement/déchiffrement selon les besoins ;

# 🎜🎜 #◆Basé sur tous les composants de l'authentification d'identité, intégrer le déploiement technique dans le système de l'entreprise, prendre des décisions d'autorisation pendant le processus de traitement et utiliser des opérations de cryptage groupées pour gérer les clés du processus de cryptage et de décryptage ;

#🎜 🎜#◆Si possible, utilisez les systèmes existants tels que l'E-DRM ou la prévention des fuites de données (DLP)

◆Liez les opérations de chiffrement et la gestion des clés au système d'authentification d'identité de l'entreprise pour offrir aux organisations une flexibilité d'intégration maximale ; , et l'utilisation de technologies que l'organisation comprend déjà, a auditées ou testées.

◆De plus, pour le chiffrement des bases de données cloud, vous pouvez vous référer aux suggestions pratiques suivantes :

◆Utilisez des algorithmes standards. N'utilisez pas de technologies propriétaires et non standard. Les algorithmes de cryptage propriétaires ne sont pas éprouvés et peuvent être facilement brisés.

◆Utilisez la sécurité des objets. Même s'ils sont chiffrés, vous devez toujours utiliser la sécurité des objets de base (y compris les instructions SQL d'autorisation et d'invalidation) pour empêcher l'accès aux données

◆Ne chiffrez pas les clés primaires ou les colonnes d'index. Si vous chiffrez la clé primaire, toutes les clés étrangères référencées devront être chiffrées. L'interrogation des données sera lente si l'entreprise a utilisé des valeurs chiffrées dans le passé et chiffre désormais les colonnes d'index

◆En utilisant une méthode de chiffrement en colonnes (car les systèmes Big Data utilisent cette méthode).

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!