DataSunrise erreicht AWS DevOps Kompetenz Status in AWS DevSecOps und Überwachung, Protokollierung, Performance

Diese Website verwendet Cookies, um Informationen darüber zu sammeln, wie Sie mit unserer Website interagieren. Um mehr zu erfahren, besuchen Sie bitte unsere Datenschutzerklarung.

Verwaltung von Verschlüsselungsschlüsseln

Verwaltung von Verschlüsselungsschlüsseln

Zentrales Schlüsselmanagement

Zentralisieren Sie Ihr Verschlüsselungsschlüsselverwaltungssystem. Zum Beispiel kann die folgende Architektur für die Mehrheit der Unternehmen gut geeignet sein:

Ein Verschlüsselungs- und Entschlüsselungsknoten existiert an jedem Punkt innerhalb des Firmennetzwerks. Schlüsselverwaltungskomponenten können auf verschiedenen Knoten eingesetzt und in jede Verschlüsselungsanwendung integriert werden. Ein solches System ermöglicht es Ihnen, alle Verschlüsselungs- und Entschlüsselungsmechanismen auf der Knotenebene zu haben, wo die Verschlüsselung/Entschlüsselung durchgeführt wird.


Zentralisierte Benutzerprofile zur Authentifizierung

Der Zugriff auf Ihre sensiblen Daten sollte auf Benutzerprofilen basieren, die in Ihrem Schlüsselmanager definiert sind. Daher sollte nur ordnungsgemäß authentifizierten Benutzern das Privileg gegeben werden, auf die verschlüsselten Ressourcen zuzugreifen. Ein Administrator sollte für die Verwaltung der Benutzerprofile verantwortlich sein. Die beste Praxis ist, Ihr Schlüsselverwaltungssystem so aufzubauen, dass kein einzelner Benutzer alleinigen Zugriff auf die Schlüssel hat.


Trennung der Prozesse von Verschlüsselung und Entschlüsselung

Sie können Ihr Verschlüsselungs-/Entschlüsselungssystem auf lokaler Ebene implementieren und im gesamten Unternehmen verteilen oder es an einem zentralen Ort auf einem separaten Verschlüsselungsserver implementieren. Beachten Sie, dass alle Knoten die gleichen Standards, Regeln und Qualitätsstufen befolgen sollten. Dieser Ansatz hat folgende Vorteile:

  • Höhere Leistung
  • Geringere Netzwerkauslastung
  • Höhere Verfügbarkeit
  • Verbesserte Datenübertragung

Beachten Sie, dass wenn die Verschlüsselungs- und Entschlüsselungsprozesse verteilt sind, der Prozess des Schlüsselmanagements eine sichere Verteilung der Schlüssel gewährleisten sollte.


Prinzip der geringsten Privilegien

Es ist ein grundlegendes Prinzip der Nutzung jeglicher Anwendung einschließlich Verschlüsselungsapps. Die beste Praxis besteht darin, keine administrativen Berechtigungen zu verwenden, wenn dies nicht absolut notwendig ist, da dies die Apps äußerst anfällig für externe und interne Bedrohungen macht.


Unterstützung mehrerer Verschlüsselungsmechanismen

Ihr Unternehmen sollte auf Fusionen und Übernahmen vorbereitet sein, daher wäre es besser, Ihr Verschlüsselungssystem so zu gestalten, dass es verschiedene Verschlüsselungstechnologien unterstützt. Natürlich müssen Sie nicht alle verfügbaren Verschlüsselungstechnologien implementieren, aber die wichtigsten Industriestandards.


Gemeinsame Lösung für Verschlüsselung und Entschlüsselung für alle Anwendungen

Es ist sehr zu empfehlen, dass Sie einen gemeinsamen Verschlüsselungsmechanismus für Datenbankspalten und Dateien verwenden. Er sollte in der Lage sein, die sensiblen Daten zu identifizieren, die verschlüsselt werden sollten. Einmal verschlüsselt, sollten die Daten nur von Benutzern mit den entsprechenden Rechten basierend auf anwendungsspezifischen Benutzerrechten zugänglich gemacht werden. Die Rechte sollten vom Administrator kontrolliert werden.


Keine Entschlüsselung oder Wiederver-schlüsselung im Falle von Schlüsselrotation oder -ablauf

Jede verschlüsselte Datei sollte eine damit verbundene Schlüsseldatei haben, um zu identifizieren, welche Ressourcen zur Entschlüsselung der im Datei enthaltenen Daten verwendet werden sollen. Das bedeutet, dass Ihr System keinen verschlüsselten Datensatz entschlüsseln und dann erneut verschlüsseln sollte, wenn die Schlüssel ablaufen oder geändert werden. In diesem Szenario würden kürzlich verschlüsselte Daten mit dem aktuellen Schlüssel entschlüsselt und der entsprechende alte Schlüssel würde abgerufen, um die vorhandenen Daten zu entschlüsseln.


Integration mit Drittanbieter-Apps

Es ist ein häufiges Vorgehen in Unternehmen, eine große Anzahl externer Geräte zu haben. Diese Geräte können POS (Point-of-Sale) Geräte sein, die über das Netzwerk verteilt sind. Diese haben keine typischen datenbankorientierten Anwendungen und sind proprietären Tools gewidmet. Es ist immer ein guter Ansatz, einen Verschlüsselungsmechanismus zu verwenden, der leicht in jede Drittanbieteranwendung integriert werden kann.

Manchmal besitzen Unternehmen eine große Anzahl externer Geräte wie zum Beispiel POS-Geräte, die in das Firmennetzwerk eingebunden sind. Solche Geräte können typischerweise nicht direkt mit Datenbanken interagieren, sondern arbeiten mit proprietären Werkzeugen. Daher ist es eine bewährte Praxis, dass Ihr Verschlüsselungsmechanismus mit Drittanbieteranwendungen kompatibel ist.


Protokollierung und Prüfpfade

Umfassende Protokollierung ist unerlässlich bei der Verwendung mehrerer verteilter Anwendungen und ist ein wichtiger Bestandteil des Schlüsselmanagements. Jeder Zugriff auf die verschlüsselten Daten sollte protokolliert werden, um die Möglichkeit zu bieten, den Endbenutzer, der versucht, auf die verschlüsselten Daten zuzugreifen, zu verfolgen. Die Protokolle sollten die folgenden Punkte umfassen:

  • Abfrage zum Abrufen der Daten
  • Benutzerdetails
  • Ressourcen, die zur Verschlüsselung der Daten verwendet wurden
  • Zugriff auf Datenbankspalten
  • Zeitpunkt des Datenzugriffs

Regelmäßige Backups

Sichern Sie Ihre Datenbanken regelmäßig! Die beste Praxis ist es, tägliche Backups Ihrer sensiblen Daten zu erstellen, ein Szenario zur Datenwiederherstellung zu haben und regelmäßige Überprüfungen der Anwendung, die Sie für Backups verwenden, durchzuführen.

Nächste

Sicherheitsrichtlinien für das Datenbankmanagementsystem (DBMS)

Sicherheitsrichtlinien für das Datenbankmanagementsystem (DBMS)

Erfahren Sie mehr

Benötigen Sie die Hilfe unseres Support-Teams?

Unsere Experten beantworten gerne Ihre Fragen.

Allgemeine Informationen:
[email protected]
Vertrieb:
[email protected]
Kundenservice und technischer Support:
support.datasunrise.com
Partnerschafts- und Allianz-Anfragen:
[email protected]