DataSunrise Consegue la Certificazione AWS DevOps Competency per AWS DevSecOps e Monitoraggio, Logging e Performance

Questo sito web utilizza cookie per raccogliere informazioni su come Lei interagisce con il nostro sito. Per saperne di più visiti la nostra Privacy Policy.

Gestione delle Chiavi di Crittografia

Gestione delle Chiavi di Crittografia

Gestione Centralizzata delle Chiavi

Centralizzare il Suo sistema di gestione delle chiavi di crittografia. Ad esempio, la seguente architettura può essere considerata ben adatta per la maggior parte delle aziende:

Un nodo di crittografia e decrittografia può esistere in qualsiasi punto all’interno della rete aziendale. I componenti di gestione delle chiavi possono essere distribuiti su nodi diversi e possono essere integrati con qualsiasi applicazione di crittografia. Un tale sistema Le consente di avere tutti i meccanismi di crittografia e decrittografia a livello di nodo dove viene eseguita la crittografia/decrittografia.


Profili Utente Centralizzati per l’Autenticazione

L’accesso ai Suoi dati sensibili dovrebbe basarsi su profili utente definiti nel Suo gestore di chiavi. Pertanto, solo gli utenti correttamente autenticati dovrebbero avere il privilegio di accedere alle risorse crittografate. Un amministratore dovrebbe essere responsabile della gestione dei profili utente. La migliore pratica è costruire il Suo sistema di gestione delle chiavi in modo tale che nessun singolo utente abbia accesso esclusivo alle chiavi.


Separare i Processi di Crittografia e Decrittografia

Può implementare il Suo sistema di crittografia/decrittografia a livello locale e distribuirlo in tutta l’organizzazione o implementarlo in una posizione centrale su un server di crittografia separato. Noti che tutti i nodi dovrebbero utilizzare gli stessi standard, regole e livelli di qualità. Questo approccio ha i seguenti vantaggi:

  • Maggiore prestazione
  • Banda di rete inferiore
  • Maggiore disponibilità
  • Migliorata trasmissione dei dati

Noti che se i processi di crittografia e decrittografia sono distribuiti, il processo di gestione delle chiavi dovrebbe garantire una distribuzione sicura delle chiavi.


Principio del Minimo Privilegio

È un principio basilare nell’utilizzo di qualsiasi applicazione, comprese le app di crittografia. È la migliore pratica non usare privilegi amministrativi quando si utilizza qualsiasi applicazione a meno che non sia assolutamente necessario, poiché rende le app estremamente vulnerabili alle minacce esterne e interne.


Supporto di Molteplici Meccanismi di Crittografia

La Sua azienda dovrebbe essere pronta per fusioni e acquisizioni, quindi sarebbe meglio costruire il Suo sistema di crittografia con la capacità di supportare diverse tecnologie di crittografia. Ovviamente, non è necessario implementare tutte le tecnologie di crittografia disponibili, ma solo quelle principali degli standard industriali.


Soluzione Comune per la Crittografia e Decrittografia per Tutte le Applicazioni

È altamente consigliabile utilizzare un meccanismo di crittografia comune per colonne di database e file. Dovrebbe essere in grado di identificare i dati sensibili da crittografare. Una volta crittografati, i dati dovrebbero essere accessibili solo dagli utenti con privilegi adeguati basati sui diritti utente specifici delle applicazioni. I diritti dovrebbero essere controllati dall’amministratore.


Nessuna Decrittografia o Ricrittografia in Caso di Rotazione o Scadenza della Chiave

Ogni file crittografato dovrebbe avere un file chiave associato per identificare quali risorse dovrebbero essere utilizzate per decrittografare i dati contenuti nel file. Ciò significa che il Suo sistema non dovrebbe decrittografare un dataset crittografato e poi ricrittografarlo quando le chiavi scadono o vengono cambiate. In questo scenario, i dati recentemente crittografati verrebbero decrittografati utilizzando la chiave recente e la chiave corrispondente precedente verrebbe recuperata per decrittografare i dati esistenti.


Integrazione con Applicazioni di Terze Parti

È un approccio comune nelle aziende avere un gran numero di dispositivi esterni. Questi dispositivi possono essere dispositivi POS (Point-of-Sale) che sono dispersi sulla rete. Questi non hanno applicazioni orientate ai database tipiche e sono dedicati a una singola funzione, utilizzando strumenti proprietari. È sempre un buon approccio utilizzare un meccanismo di crittografia che può essere facilmente integrato con qualsiasi applicazione di terze parti.

A volte le aziende possiedono un gran numero di dispositivi esterni come i dispositivi POS (Point-of-Sale) inclusi nella rete aziendale. Tali dispositivi tipicamente non possono interagire direttamente con i database ma sono destinati a lavorare con strumenti proprietari. Quindi, è una migliore pratica avere il Suo meccanismo di crittografia compatibile con le applicazioni di terze parti.


Log e Tracce di Audit

Il log estensivo è essenziale quando si utilizzano applicazioni multiple distribuite ed è un componente importante della gestione delle chiavi. Ogni caso di accesso ai dati crittografati dovrebbe essere registrato fornendo la possibilità di tracciare l’utente finale che tenta di accedere ai dati crittografati. I log dovrebbero includere i seguenti punti:

  • Query utilizzata per accedere ai dati
  • Dettagli dell’utente
  • Risorse utilizzate per crittografare i dati
  • Colonne del database accedute
  • Ora in cui i dati sono stati accessibili

Backup Regolari

Faccia regolarmente il backup dei Suoi database! La migliore pratica è fare il backup dei Suoi dati sensibili ogni giorno, avere uno scenario di ripristino dei dati e fare controlli periodici dell’applicazione che utilizza per i backup.

Successivo

Linee Guida sulla Sicurezza del Sistema di Gestione dei Database (DBMS)

Linee Guida sulla Sicurezza del Sistema di Gestione dei Database (DBMS)

Scopri di più

Ha bisogno del nostro team di supporto?

I nostri esperti saranno lieti di rispondere alle Sue domande.

Informazioni generali:
[email protected]
Vendite:
[email protected]
Servizio clienti e supporto tecnico:
support.datasunrise.com
Richieste di collaborazione e alleanza:
[email protected]