Progress ”Transparent Data Encryption” - TDE Bent Olsby
Hvem er vi Største Progress konsulenthuset i Norge 9 Progress konsulenter Til sammen 140+ år med Progress erfaring Erfaring fra Progress V2 - 1986 6 .NET konsulenter med god sertifisering 05.02.2010, Side 2
Benyttes Type II Storage Areas Hvem er dere ? Roller Erfaring Antall databaser Databasestørrelser Benyttes Type II Storage Areas 05.02.2010, Side 3
Agenda Gjennomgang av TDE Implementering / Demo Store og forretningskritiske systemer har ofte ytelsesutfordringer og behov for å økt ytelse. Det er valgt å holde et ”teknisk språk” for å ikke miste deler av informasjonen ifbm. produktet 05.02.2010
Oversikt Hva er TDE? – Transparent Data Encryption Transparent Applikasjonstransparent data kryptering Full index query support Ikke behov for å flytte data Fleksibel Krypter individuelle objekter i Type II Areas (tabeller, indexer, lob) Krypter individuelle Type I Areas (alle objekter i area) "Storage Engine" krypterer datablokkene i databasen (på disk) Sikkerhet Gir sikker kryptering og lagring av krypteringsnøkkel i ”KeyStore” Viktig del av en overordnet sikker datastrategi (ex. PCI DSS) Begrenser aksess til fysiske data 05.02.2010, Side 5
Krypteringen Hvordan utføres den? Kryptering Kryptering Krypterte Data Kryptering Krypter Vanlig data Dekrypter Kryptering Krypteringsnøkkelen gjør krypteringen unik 4589 1345 9238 9773 z!$x;h@p$r#w!e #!~?;!@#$!#$#!! z!$x;h@p$r#w!e 05.02.2010, Side 6
OpenEdge Transparent Data Encryption (TDE) Database “Storage Engine” Key store Write I/O Nøkler Encrypted Data Database Encrypt Shared Memory Buffer Pool (vanlig data block) & plain text Decrypt Policy Area Policies Read I/O Key store Database Master Key (DMK) DMK Admin/User Passphrase Manual/Automatic Authentication Policy Area KrypteringsPolicies – Hva (object) og hvordan (krypteringstype) Product Install 05.02.2010, Side 7
Tilgjengelighet Transparent Data Encryption Et OpenEdge produkt Først tilgjengelig i 10.2B (10.2B03 er tilgjengelig) 2 produkter / lisenser må installers OpenEdge Enterprise Database 05.02.2010, Side 8
The key store Den mest kritiske komponenten i TDE Lagrer Database Master Key (DMK) Gjør krypterte data unike Unik pr database Filnavn : <dbnavn.ks> Sikre DMK i key store Lagres separat fra databasen Ikke en del av database backup Beskyttet med en passphrase basert autentisering 05.02.2010, Side 9
The key store (2) Den mest kritiske komponenten i TDE Miste nøkklene : del db.ks Gjennskape din database master key (kun med PBE krypteringsnøkkel) Passphrases har forhåndsbestemte regler Fordeler med DMK PBE Kan regenereres Bakdeler med DMK PBE Kan regenereres (mindre sikker) Trenger stor passphrase for å være effektiv Må huske passphrase 05.02.2010, Side 10
Krypterings“policies” Beskriver hva og hvordan kryptering utføres Policy innholde Objectet som kan krypteres Table, Index, Lob (Type II storage areas) Area (Type I storage area) AI and BI filer Krypteringsnøkkel – alogaritme & nøkkel størrelse Secure (Key store DB administrator og bruker) Stored in “Encryption Policy Area” Bruker hindres fra direkte tilgang til dataene Policy vedlikehold Legg til, fjerne, endre (krypteringsnøkkel) online Fra Epolicy tool, OpenEdge SQL, Data Admin tool 05.02.2010, Side 11
Krypteringsteknikk Hvordan velge? Grunnlegende regler Ditt valg, ditt ansvar – balansere sikkerhet og ytelse 10 RC4-128 AES-128 AES-192 AES-256 DES-56/PBE DES3-168 Ytelseskostnader 0 – ingen kryptering RC4-128 AES-128 AES-192 AES-256 DES-56 DES3-168 Sikkerhetsstyrke 0 – ingen kryptering DES-PBE 10 Grafikken er kun illustrasjon 05.02.2010, Side 12
Dataene i databasen Ukryptert Kryptert 05.02.2010, Side 13
Ytelse Balansere sikkerhet mot ytelse Optimalisere ytelse Vurder nøye valg av krypteringsnøkkel (algoritme + nøkkelstørrelse) Optimalisere ytelse Bruke Type II storage areas (kryptere på object nivå) Øke treff fra buffer (-B) Vurder å bruke Alternate Buffer Pool (-B2) Krypter kun nødvendige Indexer / Tabeller (hvor sensitive data lagres) 05.02.2010, Side 14
Demo Tilgjengeliggjøre kryptering Kryptere dataene Legge til “Encryption Policy Area” Enable kryptering Kryptere AI? Kryptere BI? Legge til Policy Kryptere dataene 05.02.2010, Side 15
Oppsummering Progress TDE er Enkel å implementere Sikkert - velg selv ønsket nivå på krypteringen Fleksibelt – tilpasses når du har behov 05.02.2010, Side 16
Spørsmål ? 05.02.2010
Tilbud / Erbjudanden Kjøp Progress TDE fra Proventus, og få med en dag training / oppsett av TDE i ditt driftsmiljø. * Evt. reisekostnader kommer i tillegg. 05.02.2010, Side 18
Presentert av BENT OLSBY konsulent / consultant +47 932 82 106 bent@proventus.no Progress utvikler og konsulent siden Progress V2 Februar 1986 Proventus AS Christian Krogsgt. 16, N-0186 Oslo, +47 47 600 800 www.proventus.no 05.02.2010, Side 19
www.proventus.no 05.02.2010, Side 20 Teknologi for optimale prosesser