DataSunrise erreicht AWS DevOps Kompetenz Status in AWS DevSecOps und Überwachung, Protokollierung, Performance

Diese Website verwendet Cookies, um Informationen darüber zu sammeln, wie Sie mit unserer Website interagieren. Um mehr zu erfahren, besuchen Sie bitte unsere Datenschutzerklarung.

Schutz sensibler Daten mit Feldverschlüsselung auf Feldebene (FLE)

Schutz sensibler Daten mit Feldverschlüsselung auf Feldebene (FLE)

Inhaltsbild der Feldverschlüsselung auf Feldebene

Einführung

In der heutigen digitalen Welt ist der Schutz sensibler Daten wichtiger denn je. Unternehmen stehen vor der gewaltigen Aufgabe, private Informationen wie personenbezogene Daten (PII), geschützte Gesundheitsinformationen (PHI), Finanzunterlagen und geistiges Eigentum sicher aufzubewahren. Das Versäumnis, diese Daten angemessen zu schützen, kann katastrophale Folgen haben – von Reputationsschäden bis hin zu erheblichen regulatorischen Geldstrafen. Glücklicherweise hat sich die Feldverschlüsselung auf Feldebene (FLE) als leistungsstarkes Werkzeug herausgestellt, um Unternehmen bei der Erfüllung ihrer Datensicherheitsverpflichtungen zu unterstützen. Dieser Artikel behandelt die Feldverschlüsselung auf Feldebene.

Er erklärt, wie sie funktioniert und welche Vorteile sie bietet. Außerdem wird erläutert, wie sie richtig implementiert wird. Zusätzlich wird dargelegt, wie FLE dabei hilft, Vorschriften einzuhalten.

Was ist Feldverschlüsselung auf Feldebene?

FLE ist eine komplexe Methode zum Schutz von Daten. Sie verschlüsselt sensible Datenfelder, um unautorisierten Zugriff zu verhindern. Anwendungen und Systeme verarbeiten die Daten während dieses Vorgangs. Die Feldverschlüsselung auf Feldebene ermöglicht es, spezifische Datenelemente zu verschlüsseln, anstatt die gesamte Datenbank oder Festplatte zu verschlüsseln.

Zu den häufig gesicherten Datentypen mit Feldverschlüsselung auf Feldebene gehören:

  • PII wie Namen, E-Mail-Adressen, Telefonnummern
  • PHI wie medizinische Aktennummern, Diagnosen, Medikamente
  • Finanzinformationen wie Kreditkartennummern und Bankkontonummern
  • Vertrauliche Geschäftsdaten wie Verkaufszahlen, Produktfahrpläne, Verträge

Durch die gezielte Verschlüsselung der sensibelsten Daten bietet die Feldverschlüsselung auf Feldebene robuste Sicherheit, während Leistungseinbußen minimiert und die Funktionalität der Anwendungen erhalten bleiben. Führende Unternehmen wie MongoDB und Amazon haben die Fähigkeiten der Feldverschlüsselung in ihre Angebote integriert.

Wie die Feldverschlüsselung auf Feldebene funktioniert

Die clientseitige Feldverschlüsselung auf Feldebene (CSFLE) verschlüsselt Daten auf dem Client-Gerät. Dies geschieht, bevor die Daten über das Netzwerk gesendet und in einer Datenbank gespeichert werden. Der Server sendet die Daten bei Bedarf in verschlüsselter Form an den Client zurück, um sie vor Ort zu entschlüsseln.

Der Client verwendet einen Verschlüsselungsschlüssel, um die Verschlüsselung und Entschlüsselung durchzuführen. In Produktionsumgebungen sollten Sie diesen Schlüssel getrennt in einem sicheren Schlüsselspeicher-Dienst aufbewahren. Jeder Client, der auf die zugrunde liegende Datenbank zugreifen kann, sieht in den verschlüsselten Feldern nur den Chiffretext. Die Entschlüsselung erfordert den Besitz des Verschlüsselungsschlüssels.

Deterministische Methoden verschlüsseln Felder, während diese weiterhin indiziert und durchsucht werden können. Entwickler können Indizes auf den verschlüsselten Feldern erstellen, genauso wie bei Klartextdaten. Das System fügt neu eingefügte Dokumente automatisch den Indizes hinzu.

Um die Datenbank abzufragen, verschlüsselt der Client die Suchbegriffe, bevor er die Anfrage sendet. Die Datenbank verarbeitet die Abfrage und liefert die verschlüsselten Ergebnisse zurück, die der Client anschließend entschlüsselt. Dieser Vorgang ist für den Endbenutzer transparent.

Vorteile der Feldverschlüsselung auf Feldebene

Im Vergleich zu alternativen Ansätzen wie der Verschlüsselung der gesamten Datenbank oder Festplatte bietet die Feldverschlüsselung auf Feldebene mehrere wesentliche Vorteile:

  1. Gezielter Schutz: Die Feldverschlüsselung auf Feldebene ermöglicht die Kontrolle darüber, wer auf sensible Daten zugreifen kann, indem auf Feld- und Dokumentebene verschlüsselt wird. Selbst wenn ein Angreifer den Datenbankserver, das Betriebssystem oder den Serverspeicher kompromittiert, kann er die verschlüsselten Daten nicht lesen.
  2. Trennung von Aufgaben: Architekturen der Feldverschlüsselung trennen Verantwortlichkeiten und Zugriffsrechte klar. Server- und Datenbankadministratoren können ihre Aufgaben erfüllen, ohne die sensiblen Daten einsehen zu können. Die Clients behalten die Kontrolle darüber, wer auf die geschützten Informationen zugreifen kann.
  3. Regulatorische Compliance: Eine granulare Verschlüsselung hilft dabei, Anforderungen von Datenschutzbestimmungen wie DSGVO und HIPAA zu erfüllen.

Diese Sicherheitsvorteile gehen mit minimalen Leistungseinbußen einher, typischerweise weniger als 5-10 % bei leseintensiven Arbeitslasten. Und für Clients/Anwendungen, die nicht autorisiert sind, auf verschlüsselte Daten zuzugreifen, gibt es überhaupt keine merklichen Leistungseinbußen.

Beste Vorgehensweisen

Obwohl die Feldverschlüsselung auf Feldebene ein leistungsstarkes Werkzeug ist, bringt sie einige Einschränkungen mit sich, die sorgfältig berücksichtigt werden müssen:

  • Benutzer können verschlüsselte Felder in Berichten, Business-Intelligence-Tools oder regulären Anwendungsfunktionen nicht ohne deren Entschlüsselung verwenden. Das bedeutet, dass diese Felder nicht durchsucht, angezeigt oder validiert werden können. Um verschlüsselte Felder zu nutzen, müssen sie zunächst entschlüsselt werden.
  • Verschlüsselte Felder bieten eine eingeschränkte Konfigurierbarkeit (keine Standardwerte, Auswahllisten etc.).
  • Textfelder haben eine maximale Größe von 255 Zeichen.
  • Verschlüsselung ist ein Einwegprozess – es gibt keine Möglichkeit, ein verschlüsseltes Feld dauerhaft in Klartext zurückzuverwandeln.

Um mit der Feldverschlüsselung auf Feldebene Erfolg zu haben, befolgen Sie diese Best Practices:

  1. Sichern Sie Ihre Datenbank, bevor Sie Felder verschlüsseln, falls Probleme auftreten.
  2. Verwenden Sie für jedes Objekt und jede Umgebung (Entwicklung, Test, Produktion) einen einzigartigen Verschlüsselungsschlüssel.
  3. Sichern Sie die Verschlüsselungsschlüssel sicher.
  4. Nutzen Sie neue benutzerdefinierte Felder für verschlüsselte Daten, um Konflikte mit bestehender Anwendungslogik zu vermeiden.
  5. Testen Sie die Funktionalität mit verschlüsselten Feldern gründlich.

Beispiele Hier ist ein einfaches Beispiel, wie ein verschlüsseltes “ssn”-Feld in MongoDB mit dem offiziellen Node.js Client abgefragt wird:

javascript


// Importiere den MongoClient
const { MongoClient } = require('mongodb');
// Definiere den Master-Schlüssel für die Verschlüsselung
const masterKey = 'my-secret-key';
// Verbinde dich mit MongoDB mit dem verschlüsselungsaktivierten Client
const secureClient = new MongoClient('mongodb://localhost:27017', {
  useNewUrlParser: true,
  useUnifiedTopology: true,
  autoEncryption: {
    keyVaultNamespace: 'encryption.__keyVault',
    kmsProviders: {
      local: { key: masterKey },
    },
  },
});
// Stelle die Datenbankverbindung her
await secureClient.connect();
// Definiere das Abfrageobjekt mit dem verschlüsselten Feld
const query = { ssn: '123-45-6789' };
// Führe die Abfrage in der 'people'-Collection der 'myDb'-Datenbank aus
const result = await secureClient.db('myDb').collection('people').find(query);
// Drucke das Abfrageergebnis aus
console.log(result);

In diesem Beispiel:

  1. Importiere den MongoClient aus dem MongoDB-Treiber.
  2. Definiere den für die Verschlüsselung verwendeten masterKey.
  3. Erstelle eine neue MongoClient-Instanz mit aktivierter Verschlüsselung, indem du die autoEncryption-Optionen setzt. Das keyVaultNamespace gibt den Speicherort der Verschlüsselungsschlüssel an. Die kmsProviders zeigen den verwendeten Schlüsselverwaltungsdienst an, welcher in diesem Fall lokal ist.
  4. Verbinde dich mit der MongoDB-Datenbank unter Verwendung des verschlüsselungsaktivierten Clients.
  5. Definiere das Abfrageobjekt mit dem verschlüsselten Feld ssn.
  6. Führe die Abfrage in der Collection “people” der Datenbank “myDb” mit der Methode find aus.
  7. Schließlich wird das Abfrageergebnis ausgegeben.

Der Client verschlüsselt das Abfrageobjekt automatisch, bevor es an MongoDB gesendet wird. Das Einschalten der Verschlüsselung erfordert lediglich die Konfiguration des Clients mit einem Schlüsselverwaltungsdienst und das Aktivieren der autoEncryption-Option.

Fazit

Datensicherheit hat für moderne Unternehmen höchste Priorität. Die Verschlüsselung auf Feldebene gibt Unternehmen die Möglichkeit, die Verschlüsselung sensibler Daten auf Feldebene zu steuern. Dies trägt dazu bei, die Sicherheit privater Informationen zu erhöhen, ohne die Funktionalität der Anwendungen oder das Benutzererlebnis zu beeinträchtigen. FLE ist entscheidend für den Schutz von Daten, wenn sie korrekt umgesetzt und mit den Sicherheitszielen in Einklang gebracht wird.

DataSunrise bietet einen vollständigen Satz an Werkzeugen für Unternehmen, die ihre Daten schützen und gesetzliche Vorschriften einhalten möchten. Die Suite umfasst Sicherheits-, Prüfungs-, Maskierungs- und Managementfunktionen. Unsere leistungsstarken Lösungen integrieren sich nahtlos, um Ihre wertvollsten Informationswerte zu schützen. Um mehr zu erfahren, laden wir Sie ein, das Expertenteam von DataSunrise für eine auf Ihre Bedürfnisse zugeschnittene Online-Demo zu kontaktieren.

Nächste

Wichtige Sicherheitskontrollen und bewährte Praktiken für den Datenschutz

Wichtige Sicherheitskontrollen und bewährte Praktiken für den Datenschutz

Erfahren Sie mehr

Benötigen Sie die Hilfe unseres Support-Teams?

Unsere Experten beantworten gerne Ihre Fragen.

Allgemeine Informationen:
[email protected]
Vertrieb:
[email protected]
Kundenservice und technischer Support:
support.datasunrise.com
Partnerschafts- und Allianz-Anfragen:
[email protected]