Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
 TDE от третьих поставщиков  [new]
Alexander Us
Member

Откуда:
Сообщений: 1091
Какие есть способы зашифровать данные не меняя приложения если нельзя воспользоваться TDE?

Причина: TDE живёт только на энтерпрайзе.

Начну список

1) BitLocker
достоинства/недостатки - мне пока не известно, если кто знвет дополните пож.

2) TDE от третьих поставщиков
мне извесен пока только database-encryption
недостатки: дорого

Кто в теме, прошу дополнить.
25 окт 18, 17:09    [21715123]     Ответить | Цитировать Сообщить модератору
 Re: TDE от третьих поставщиков  [new]
Гавриленко Сергей Алексеевич
Member

Откуда: Moscow
Сообщений: 36691
Модератор: А темы зачем плодите? Закрыл предыдущую.
25 окт 18, 17:54    [21715191]     Ответить | Цитировать Сообщить модератору
 Re: TDE от третьих поставщиков  [new]
komrad
Member

Откуда: Msk -> Utrecht
Сообщений: 5162
Alexander Us
Какие есть способы зашифровать данные не меняя приложения если нельзя воспользоваться TDE?

сначала определите перечень угроз, от которых защищаетесь такой хотелкой
как поставлена задача?

шифрование TDE поможет (условно) только от физического изъятия дисков субд (файлов вашей БД) + ее бекапов
если "уедет" сервер с дисками, то оно не поможет
25 окт 18, 22:18    [21715444]     Ответить | Цитировать Сообщить модератору
 Re: TDE от третьих поставщиков  [new]
Alexander Us
Member

Откуда:
Сообщений: 1091
komrad
...как поставлена задача?
...если "уедет" сервер с дисками, то оно не поможет

Задачи вытекают из DSGVO(Datenschutz-Grundverordnung) по вашему как то так наверное (basisverordening gegevensbescherming).
Т.е. надо обеспечить хотябы базовую защиту за разумные деньги, чтоб данные не лежали в открытом виде.
TDE для этого прекрасно подходит, вот только работает она исключительно на энтерпрайзе.
И что делать с не энтерпрайзами пока не ясно.
26 окт 18, 00:40    [21715505]     Ответить | Цитировать Сообщить модератору
 Re: TDE от третьих поставщиков  [new]
alexeyvg
Member

Откуда: Moscow
Сообщений: 30745
Alexander Us
Т.е. надо обеспечить хотябы базовую защиту за разумные деньги, чтоб данные не лежали в открытом виде.
TDE для этого прекрасно подходит
Вообще то, если данные лежат в открытом виде, TDE этому доступу никак не помешает.
Вам нужно не TDE, а стандартные средства ограничения доступа, типа логин/пароль и всё такое.
26 окт 18, 00:46    [21715509]     Ответить | Цитировать Сообщить модератору
 Re: TDE от третьих поставщиков  [new]
Alexander Us
Member

Откуда:
Сообщений: 1091
alexeyvg
Вообще то, если данные лежат в открытом виде, TDE этому доступу никак не помешает.
Вам нужно не TDE, а стандартные средства ограничения доступа, типа логин/пароль и всё такое.


Помешает. Даже стырив сервер/диски/файлы неопытный вор не сможет прочесть данные.
Т.е. будет нужен (формально) взлом шифрованных данных или пароля сервера.
При некотрых несложных манипуляциях есть шанс этот взлом усложнить.
Это было во вторых.

А во первых, необходимость шифрования данных которые итакникомунахренненужны истекает из нового закона о защите оных в стране пребывания.
26 окт 18, 01:16    [21715521]     Ответить | Цитировать Сообщить модератору
 Re: TDE от третьих поставщиков  [new]
vikkiv
Member

Откуда: London
Сообщений: 2618
Зависит от того где нужно шифровать (не говоря о более примитивных рисках типа чтения с экрана, флэшек и т.д.) , можно всюду, на каждом шаге (Диск OS, Файл OS, Сервис-Файл ОС, Сеть, DB/Таблица/Поле/строка в DB).

Вообще опасных этапов несколько:
Хранение данных в файлах базы данных на диске
Данные во временных файлах на диске
Доступ к файлам
- из операционной системы (пароли на учётках),
- сети (FireWall, шифрование пакетов, аутентификация пользователей, ограничение по IP/MAC, сертификаты и т.д.)
- и на железе (криптование физического диска/носителя)
Последнее можно делать и родными средствами OS типа BitLocker (диск), EFS (файлы/директории),
а так-же RDBMS встроенной функциональностью типа TDE (некоторые файлы), ну и много чем ещё сторонним..

Кроме файлов есть ещё доступ через/к RDBMS (пользователи/пароли/сертификаты, опять-же FireWall {порты/сервисы/станции/пользователи и т.д.}),
методы безопасности данных/контроля доступа внутри RDBMS, затем передача данных опять-же по протоколам (сетевым, выше перечислены основные методы) и дальше вопросы безопасности на клиенте.

Практически на каждом шаге всё может шифро-криптоваться ключами/сертификатами и пр.

Если TDE не доступен (из-за редакции SQL Server) - то можно конечно весь диск на BitLocker (начиная с "Windows Vista" - с 2006-го) подсадить, или только выбранные файлы через EFS ("Windows 2000" - с 1999-го) , оба метода по ресурсам на конвертации практически совсем ничего заметного не потребляют, лучше конечно BitLocker т.к. он поновее и безопаснее..
но это ведь только малая часть всей системы потока данных - может утечь много ещё где.
26 окт 18, 02:18    [21715526]     Ответить | Цитировать Сообщить модератору
 Re: TDE от третьих поставщиков  [new]
PizzaPizza
Member

Откуда:
Сообщений: 309
Alexander Us
Помешает. Даже стырив сервер/диски/файлы неопытный вор не сможет прочесть данные.

А во первых, необходимость шифрования данных которые итакникомунахренненужны истекает из нового закона о защите оных в стране пребывания.


А вы уверены, что GDPR регламентирует вашу ответственность при физической краже серверов?
Говоря про GDPR, мне кажется "достоинства/недостатки" систем шифрования нужно рассматривать с позиции их применимости для вашей задачи. Ваш регулятор должен сказать если тот же BitLocker удовлетворит требования GDPR или нет.
26 окт 18, 02:26    [21715527]     Ответить | Цитировать Сообщить модератору
 Re: TDE от третьих поставщиков  [new]
alexeyvg
Member

Откуда: Moscow
Сообщений: 30745
Alexander Us
alexeyvg
Вообще то, если данные лежат в открытом виде, TDE этому доступу никак не помешает.
Вам нужно не TDE, а стандартные средства ограничения доступа, типа логин/пароль и всё такое.


Помешает. Даже стырив сервер/диски/файлы неопытный вор не сможет прочесть данные.
Т.е. будет нужен (формально) взлом шифрованных данных или пароля сервера.
При некотрых несложных манипуляциях есть шанс этот взлом усложнить.
Это было во вторых.
Да при чём тут "стырив"?

Вы же пишите про открытые данные, то есть данные, которые доступны неавторизованому лицу.
Например, приложение имеет АПИ, позволяющее получить данные без авторизации.
Шифрование файлов базы никак этомцу не помешает.
Alexander Us
А во первых, необходимость шифрования данных которые итакникомунахренненужны истекает из нового закона о защите оных в стране пребывания.
Не говорите мне, что вы решали включить шифрование, прочитав в газете про новый закон :-)

Предполагаю, что это распоряжение вашего менеджера, который про законы знает тоже 0, а понадобилось ему это для получения пойнтов среди топов, которые про компьютеры знают меньше, чем вы про судебеую практику.

Могу вам сказать, что в этих новых "законах о защите прав" не упоминается, что нужно "где нибудь зашифровать что нибудь", 100% для GDPR шифрование не нужно от слова "совсем".
26 окт 18, 08:45    [21715604]     Ответить | Цитировать Сообщить модератору
 Re: TDE от третьих поставщиков  [new]
alexeyvg
Member

Откуда: Moscow
Сообщений: 30745
PizzaPizza
Говоря про GDPR, мне кажется "достоинства/недостатки" систем шифрования нужно рассматривать с позиции их применимости для вашей задачи. Ваш регулятор должен сказать если тот же BitLocker удовлетворит требования GDPR или нет.
Регулятор требует, что бы к данным имели доступ только авторизованные люди. Например, к медицинским данным должны иметь доступ только медики.
Для авторизации доступа достаточно использовать соответствующие средства управления доступом, имеющиеся в ОС и прикладных системах.

Конечно, оператор несёт ответственность за всё, в том числе за кражу файлов и серверов.

Но, во первых, неправильно говорить в таком случае, что законы требуют.
Во вторых, другие опасности для оператора (например, DBA, не являясь медиком, пролучил доступ к информации) настолько выше кражи файлов, что про это и говорить смешно.
В третьих, из этой группы рисков, к которой относится кража файлов (например, взлом собственно сервера, взлом приложения), собственно сама кража занимает такое малое место, что уделять ей столь большое время (в ущерб другим рискам) неразумно.

Итого: если на все другие риски потрачено достаточное время, и если редакция сиеквела позволяет включить шифрование, то да, можно и включить (хотя я бы трижды подумал над разумностью такого решения)

Но городить на сервер какие то левые шняги? Абсурд, разве что только для выполнения желаний менеджера (тут понятно, всё таки личные интересы менеджеров всегда идут против интересов фирмы, тут ничего не поделать, пусть рушит).
26 окт 18, 09:02    [21715616]     Ответить | Цитировать Сообщить модератору
 Re: TDE от третьих поставщиков  [new]
Alexander Us
Member

Откуда:
Сообщений: 1091
alexeyvg
...городить на сервер какие то левые шняги? ... разве что только для выполнения желаний менеджера ... личные интересы менеджеров всегда идут против интересов фирмы ...

alexeyvg, Вы замечательный специалист по SQL.
Вы давали много раз ценнейшие советы.

Но сейчас, пожалуйста, не пишите ерунду.
Вы не наверняка не являетесь сертифицированным специалистом по GDPR, и Ваши высказывания по организационным/юридическим вопросам спорны. Тут не правовой форум, да я и не могу Вам объяснить все причины принатия того или иного решения, т.к. и сам всего не знаю. Но уверяю Вас, я на 100% доверяю своим коллегам, в том числе менеджерам.
26 окт 18, 09:35    [21715648]     Ответить | Цитировать Сообщить модератору
 Re: TDE от третьих поставщиков  [new]
alexeyvg
Member

Откуда: Moscow
Сообщений: 30745
Alexander Us
Вы не наверняка не являетесь сертифицированным специалистом по GDPR, и Ваши высказывания по организационным/юридическим вопросам спорны.
А вы являетесь?
Я хотя бы состою во всяких группах соцсетей по этой теме, читаю материалы, немного представляю, что это такое. Хотя, конечно, я не специалист, не говоря уже о "сертифицированном" (кстати, такой "сертификации", регламентированной законом, не существует, GDPR - тематикой может заниматься абсолютно любой человек).
Alexander Us
alexeyvg
...городить на сервер какие то левые шняги? ... разве что только для выполнения желаний менеджера ... личные интересы менеджеров всегда идут против интересов фирмы ...
Я просто к тому, что вы то отвечаете за сиквел, а не за GDPR, и ваша обязанность - донести до менеджеров риски установки всяких "шняг" на сервер, вместо одобренного производителем софта решения. Тем более шняг, выбранных по принципу "хоть что то, но бесплатное".
26 окт 18, 10:25    [21715699]     Ответить | Цитировать Сообщить модератору
 Re: TDE от третьих поставщиков  [new]
Alexander Us
Member

Откуда:
Сообщений: 1091
PizzaPizza,

речь идёт не об абсолютной/высокого уровня защите, а скорее о том, как сделать разумную защиту при допустимом уровне затрат, минимизировав при этом юридическую/финансовую ответственность. Исходя из невысокой ценности данных, уровня затрат и юридических требований решено было попытаться сделать так то и так то.

Мне кажется, нам всем не стоит при обсуждении определённой задачи из мира баз данных рекурсировать до теории больштго взрыва.
Это конечно интересно, но совершенно не практично.
26 окт 18, 10:32    [21715710]     Ответить | Цитировать Сообщить модератору
 Re: TDE от третьих поставщиков  [new]
Alexander Us
Member

Откуда:
Сообщений: 1091
alexeyvg
А вы являетесь?
я даже на это не намекал на это

alexeyvg
Я хотя бы состою во всяких группах ...
Я всегда Вас очень ценил и не пытался Вас как то принизить.
Но даже если бы Вы были экспертом, не зная всех деталей Вы не могли бы дать квалифицированную консультацию - тем более то, что Вы затронули ближе к юридическим вопросам.

alexeyvg
вы то отвечаете за сиквел, и ваша обязанность - донести риски установки всяких "шняг"
Истину говорите, не спорю.
26 окт 18, 10:54    [21715733]     Ответить | Цитировать Сообщить модератору
 Re: TDE от третьих поставщиков  [new]
alexeyvg
Member

Откуда: Moscow
Сообщений: 30745
Alexander Us
тем более то, что Вы затронули ближе к юридическим вопросам.
Вы первый начали :-)
А я начал спорить с вами как дилетант с дилетантом, полагая, что я прочёл на пару статей больше, чем вы.
только и всего :-)

Если бы вы сказали "начальник попросил найти TDE, но подешевле, чем покупка Enterprise", а не начали бы обосновывать обязательное использование шифрования по правилам GDPR, никто бы и слова не сказал - надо так надо.
26 окт 18, 13:23    [21716040]     Ответить | Цитировать Сообщить модератору
 Re: TDE от третьих поставщиков  [new]
Mind
Member

Откуда: Лучший город на Земле
Сообщений: 2322
Alexander Us
А во первых, необходимость шифрования данных которые итакникомунахренненужны истекает из нового закона о защите оных в стране пребывания.
автор
The term ‘personal data’ is the entryway to the application of the General Data Protection Regulation (GDPR). Only if a processing of data concerns personal data, the General Data Protection Regulation applies.
Эти данные точно кому-то нужны?

Alexander Us
минимизировав при этом юридическую/финансовую ответственность
Бесплатного решения, чтобы еще можно было переложить на кого то ответственность точно не существует.
26 окт 18, 23:46    [21716652]     Ответить | Цитировать Сообщить модератору
Все форумы / Microsoft SQL Server Ответить