Obsługa zaszyfrowanych baz danych

Edycja w trybie z połączeniem

This topic describes IBM Security Verify Governance version 10.0.1 support for native database encryption. Ta obsługa jest dostępna zarówno dla komponentów, jak i do weryfikowania komponentów zarządzania i programu Identity Manager.

Przegląd

Produkt IBM Security Verify Governance (ISVG) w wersji 10.0.1 obsługuje w trybie rodzimym zaszyfrowaną bazę danych DB2 lub Oracle . Szyfrowanie bazy danych ma zastosowanie w przypadku nowych instalacji i aktualizacji ISVG.

Należy pamiętać, że szyfrowanie danych jest opcjonalne, a użytkownik może zrezygnować z szyfrowania danych w stanie spoczynku. Zaleca się jednak szyfrowanie danych w celu zapewnienia bezpieczeństwa i ochrony danych.

Wersja 10.0.1 programu ISVG obsługuje rodzime szyfrowanie bazy danych. W celu zapewnienia bezpieczeństwa danych w tranzycie, należy użyć protokołu SSL.

Korzyści wynikające z szyfrowania bazy danych
  • Korzystanie z zaszyfrowanej bazy danych pomaga w zabezpieczeniu poufnych informacji (dane tożsamości, dane strategii, dane kontroli itp.).
  • Szyfrowanie bazy danych umożliwia zachowanie zgodności z różnymi wymaganiami prawnymi. Szyfrowanie jest przezroczyste dla aplikacji i schematów.
  • Zarządzanie kluczami jest bezpieczne i przejrzyste.

Zanim rozpoczniesz

Ważne: Przed przystąpieniem do szyfrowania bazy danych zaleca się utworzenie kopii zapasowej bieżącej bazy danych.
Ważne: Przed rozpoczęciem szyfrowania bazy danych należy pamiętać, że należy regularnie składować magazyn kluczy i plik ukrytych kluczy magazynu kluczy. Jeśli plik kluczy zostanie utracony, wówczas baza danych zostanie utracona. Nie ma możliwości deszyfrowania bazy danych bez magazynu kluczy.

Procedura

Ta sekcja zawiera ogólny zarys kroków, które należy wykonać, aby upewnić się, że instalacja ISVG współpracuje z zaszyfrowaną bazą danych.
  1. Przed rozpoczęciem szyfrowania należy wykonać kopię zapasową bazy danych używanej dla ISVG.
  2. Zaszyfruj bazę danych, odwołując się do dokumentacji wymienionej powyżej.
  3. Opcjonalnie: Jeśli chcesz użyć zaszyfrowanej bazy danych na innym serwerze (czyli serwerze bazy danych innym niż ten, z którego wykonano kopię zapasową), upewnij się, że klucze szyfrowania i konfiguracja bazy danych na serwerze docelowym są podobne do tych, które znajdują się na serwerze źródłowym.
  4. Skonfiguruj zaszyfrowaną bazę danych do pracy z ISVG.
  5. Sprawdź, czy zaszyfrowana baza danych działa bezproblemowo w ISVG.

Jeśli wystąpią problemy związane z zaszyfrowaną bazą danych, odtwórz niezaszyfrowaną bazę danych z kopii zapasowej. Jeśli odtworzona baza danych ma być używana na innym serwerze (innym niż serwer bazy danych, z którego wykonano kopię zapasową), należy upewnić się, że konfiguracja bazy danych na serwerze docelowym jest podobna do konfiguracji serwera źródłowego.

Obsługa zaszyfrowanej bazy danych DB2

Plik ISVG 10.0.1 obsługuje bazę danych DB2 zaszyfrowaną w trybie rodzimym.

Data at Rest Encryption (DARE) to szyfrowanie danych, które są przechowywane w bazach danych i nie są poruszane przez sieci. W przypadku DARE chronione są dane, w tym kopie zapasowe w trybie bez połączenia. Dane w produkcie Database Encryption for DB2 są dostarczane jako symetryczne szyfrowanie, w którym do szyfrowania używany jest jeden klucz. Szyfrowanie danych w bazie danych (DARE) dla bazy danych DB2 obejmuje przezroczyste szyfrowanie na poziomie bazy danych, w którym nie są wprowadzane żadne zmiany w danych ani w schemacie.

Szyfrowanie danych odbywa się za pomocą funkcji przezroczystego szyfrowania danych (Transparent Data Encryption-TDE), w przypadku której nie wprowadzono żadnych zmian w logice aplikacji ani w schemacie, a nie wymaga żadnych dodatkowych narzędzi. Do szyfrowania danych używane jest wbudowane i bezpieczne zarządzanie kluczami.

Wymagania sprzętowe

Dla rodzimego szyfrowania bazy danych DB2 nie ma żadnych konkretnych wymagań sprzętowych.

Wymagania programowe

Produkt DB2 powinien mieć wersję DB2 10.5 z pakietem poprawek Fix Pack 5 lub nowszą w celu obsługi rodzimego szyfrowania produktu DB2 . Jeśli używana jest baza danych DB2 v10.5, w zależności od wydania produktu DB2 , może być potrzebna dodatkowa licencja na produkt IBM DB2 Encryption Offering , aby można było używać szyfrowania rodzimego DB2 . Z produktu DB2 11.1 DB2 Native Encryption jest dostępne we wszystkich edycjach DB2 .

Następujące typy danych są szyfrowane w bazie danych DB2 za pomocą DARE:
  • Obszary tabel zdefiniowane przez system i użytkownika
  • Wszystkie typy danych w obszarze tabel
  • Wszystkie dzienniki transakcji, w tym dzienniki w archiwach
  • Ładowanie danych COPY, ładowanie plików pomostowych
  • Pliki Dump.bin (pliki diagnostyczne)
  • Obrazy kopii zapasowych
  • Klucze szyfrowania w pamięci, z wyjątkiem sytuacji, gdy są używane
  • Hasła magazynu kluczy podczas przekazywania danych między partycjami bazy danych
  • Klucz szyfrowania w bazie danych DB2
Wpływ na wydajność

Funkcja szyfrowania rodzimego produktu DB2 szyfruje i deszyfruje dane, gdy jest ona zapisywana na dysku lub gdy jest odczytywana odpowiednio z dysku, dlatego wpływ na wydajność może być obserwowany tylko w przypadku operacji we/wy fizycznej. Po włączeniu rodzimego szyfrowania DB2 przepustowość we/wy może zostać zmniejszona. W zależności od tego, jak zachowuje się aplikacja z powodu tej zmiany wydajności we/wy, wpływ będzie się różnić. Zaleca się dostrojenie bazy danych w celu uniknięcia negatywnego wpływu zmiany wydajności we/wy po zaszyfrowaniu.

Oprócz wpływu na wydajność, włączenie szyfrowania powoduje również dodatkowy narzut operacyjny, taki jak zarządzanie magazyną kluczy.

Szyfrowanie danych w bazie danych DB2

Aby zaszyfrować dane w bazie danych DB2, należy wykonać określone wstępnie wymagane zadania, skonfigurować instancję DB2 i zaszyfrować obszar tabel. Baza danych DB2 będzie uzyskiwać dostęp do magazynu kluczy w celu uzyskania dostępu do istniejącego klucza głównego lub utworzenia nowego klucza głównego.

Jeśli magazyn kluczy jest niedostępny, nie będzie można uzyskać dostępu do własnej bazy danych, a więc dostępność magazynu kluczy ma znaczenie o znaczeniu nadrzędnym. Należy upewnić się, że w przypadku awarii można odzyskać magazyn kluczy w przypadku lokalnego magazynu kluczy, a w przypadku scentralizowanego magazynu kluczy, rozwiązanie obsługuje funkcję tworzenia i odtwarzania kopii zapasowych.

Konfigurowanie szyfrowania w bazie danych DB2

Aby skonfigurować szyfrowanie w bazie danych DB2, należy sprawdzić wersję bazy danych DB2 , ustawić zmienne środowiskowe i utworzyć plik kluczy. Należy również wybrać typ hasła, który ma być używany dla pliku kluczy.

Aby skonfigurować szyfrowanie, wykonaj następujące kroki:
  1. Tworzenie i zabezpieczanie magazynu kluczy w produkcie DB2
  2. Konfigurowanie instancji DB2 za pomocą położenia i typu magazynu kluczy
  3. Tworzenie zaszyfrowanej bazy danych przy użyciu udostępnionych skryptów
  4. Testowanie i rozwiązywanie problemów z połączeniami
Szyfrowanie istniejącej bazy danych
Aby zaszyfrować istniejącą bazę danych, należy najpierw utworzyć kopię zapasową bazy danych, skonfigurować instancję bazy danych na potrzeby szyfrowania i odtworzyć bazę danych. Aby zaszyfrować istniejącą bazę danych, wykonaj następujące kroki:
  1. Dezaktywuj wszystkie połączenia z bazą danych.
  2. Utwórz kopię zapasową bazy danych.
  3. Zaszyfruj bazę danych.
Tworzenie zaszyfrowanej bazy danych DB2

Po skonfigurowaniu szyfrowania i skonfigurowaniu instancji DB2 można utworzyć zaszyfrowaną bazę danych. Zaszyfrowana baza danych jest tworzona przez uruchomienie skryptu.

Sprawdzanie, czy baza danych jest zaszyfrowana
  1. Uruchom następującą komendę DB2 : db2 get db cfg for DatabaseName
  2. W konsoli DB2 sprawdź, czy wartość parametru ENCRYPTED DATABASE jest wyświetlana jako YES(TAK).
Odtwarzanie kopii zapasowej bazy danych z jednego serwera do innego
  1. Zaszyfruj istniejącą bazę danych przy użyciu niektórych danych załadowanych do tabel.
  2. Sprawdź, czy baza danych jest poprawnie zaszyfrowana.
  3. Utwórz kopię zapasową zaszyfrowanej bazy danych.
  4. Skopiuj plik kopii zapasowej bazy danych ze źródłowego serwera DB2 do docelowego serwera DB2 .
  5. Skopiuj plik magazynu kluczy z źródłowego serwera DB2 do docelowego serwera DB2 .
  6. Skonfiguruj ścieżkę do magazynu kluczy na potrzeby odtwarzania zaszyfrowanej bazy danych.
  7. Odtwórz bazę danych z kopii zapasowej.
Szczegółowa dokumentacja

Szczegółowe informacje na temat rodzimego szyfrowania dla bazy danych DB2 można znaleźć w następującej dokumentacji: https://www.ibm.com/docs/en/db2/11.5?topic=rest-db2-native-encryption

Obsługa zaszyfrowanej bazy danych Oracle

Program ISVG 10.0.1 obsługuje bazę danych Oracle w trybie rodzimym szyfrowanym przy użyciu produktu Oracle Transparent Data Encryption (TDE).

TDE umożliwia szyfrowanie poufnych danych przechowywanych w tabelach i obszarach tabel. Po zaszyfrowaniu danych dane te są niezauważalnie deszyfrowane dla autoryzowanych użytkowników lub aplikacji, gdy uzyskują dostęp do tych danych. Do obsługi szyfrowania lub deszyfrowania danych nie są wymagane żadne zmiany w aplikacji ISVG. Jest ona zarządzana wewnętrznie przez bazę danych Oracle .

Dane w produkcie Database Encryption for Oracle są udostępniane na dwóch poziomach:
  • Poziom obszaru tabel
  • Poziom kolumny tabeli
Wymagania programowe

Jeśli jako serwer bazy danych zostanie wybrana baza danych Oracle , należy użyć wersji Oracle 12c Release 1 Standard oraz Enterprise Editions lub nowszej wersji.

TDE jest częścią opcji Oracle Advanced Security Option, która jest dostępna dla baz danych Oracle Enterprise Edition .

Szczegółowe informacje na temat rodzimego szyfrowania bazy danych Oracle można znaleźć w następującej dokumentacji: https://docs.oracle.com/en/database/oracle/oracle-database/19/asoag/introduction-to-transparent-data-encryption.html