progress ” transparent data encryption ” - tde bent olsby

Progress

”Transparent Data Encryption”- TDE

Bent Olsby

Hvem er vi

> Største Progress konsulenthuset i Norge> 9 Progress konsulenter> Til sammen 140+ år med Progress erfaring> Erfaring fra Progress V2 - 1986

> 6 .NET konsulenter med god sertifisering

05.02.2010, Side 2

Hvem er dere ?

>Roller>Erfaring>Antall databaser>Databasestørrelser>Benyttes Type II Storage Areas

05.02.2010, Side 3

Agenda

>Gjennomgang av TDE

> Implementering / Demo

05.02.2010

Det er valgt å holde et ”teknisk språk” for å ikke miste deler av informasjonen ifbm. produktet

Oversikt

Hva er TDE? – Transparent Data Encryption > Transparent

> Applikasjonstransparent data kryptering> Full index query support> Ikke behov for å flytte data

> Fleksibel> Krypter individuelle objekter i Type II Areas (tabeller, indexer, lob)> Krypter individuelle Type I Areas (alle objekter i area)> "Storage Engine" krypterer datablokkene i databasen (på disk)

> Sikkerhet> Gir sikker kryptering og lagring av krypteringsnøkkel i ”KeyStore”> Viktig del av en overordnet sikker datastrategi (ex. PCI DSS)> Begrenser aksess til fysiske data

05.02.2010, Side 5

Krypteringen

Hvordan utføres den?

05.02.2010, Side 6

Vanlig data

Krypterte Data

Krypter

Dekrypter

Krypteringsnøkkelen gjør krypteringen unik

Kryptering

Kryptering

4589 1345 9238 9773 z!$x;h@p$r#w!e

#!~?;!@#$!#$#!! z!$x;h@p$r#w!e

OpenEdge Transparent Data Encryption (TDE)

05.02.2010, Side 7

plain text

Encrypt

Shared MemoryBuffer Pool

(vanlig data block)

Database “Storage Engine”

Product Install Key store

• Database Master Key (DMK)• DMK Admin/User Passphrase• Manual/Automatic Authentication

Policy Area• KrypteringsPolicies – Hva (object) og hvordan (krypteringstype)

Read I/O

Write I/OKey store

Database

Policies

Nøkler

Decrypt

&

PolicyArea

Encrypted Data

Tilgjengelighet

> Transparent Data Encryption> Et OpenEdge produkt> Først tilgjengelig i 10.2B (10.2B03 er tilgjengelig)

> 2 produkter / lisenser må installers> OpenEdge Enterprise Database> Transparent Data Encryption

05.02.2010, Side 8

The key store Den mest kritiske komponenten i TDE

> Lagrer Database Master Key (DMK)> Gjør krypterte data unike

> Unik pr database> Filnavn : <dbnavn.ks>

> Sikre DMK i key store> Lagres separat fra databasen> Ikke en del av database backup> Beskyttet med en passphrase basert autentisering

05.02.2010, Side 9

The key store (2) Den mest kritiske komponenten i TDE

> Miste nøkklene : del db.ks> Gjennskape din database master key (kun med PBE krypteringsnøkkel)

> Passphrases har forhåndsbestemte regler

> Fordeler med DMK PBE> Kan regenereres

> Bakdeler med DMK PBE> Kan regenereres (mindre sikker)

> Trenger stor passphrase for å være effektiv> Må huske passphrase

05.02.2010, Side 10

Krypterings“policies”

Beskriver hva og hvordan kryptering utføres> Policy innholde

> Objectet som kan krypteres> Table, Index, Lob (Type II storage areas)> Area (Type I storage area)> AI and BI filer

> Krypteringsnøkkel – alogaritme & nøkkel størrelse

> Secure (Key store DB administrator og bruker)

> Stored in “Encryption Policy Area”> Bruker hindres fra direkte tilgang til dataene

> Policy vedlikehold> Legg til, fjerne, endre (krypteringsnøkkel) online> Fra Epolicy tool, OpenEdge SQL, Data Admin tool

05.02.2010, Side 11

Krypteringsteknikk

Hvordan velge?> Grunnlegende regler> Ditt valg, ditt ansvar – balansere sikkerhet og ytelse

05.02.2010, Side 12

RC4-12

8

AES-128

AES-192

AES-256

DES-56

DES3-16

8

Sikkerhetsstyrke

0 – ingen kryptering

DES-PBE

10

10

RC4-12

8

AES-128

AES-192

AES-256

DES-56/

PBE

DES3-16

8

Ytelseskostnader

0 – ingen kryptering

Grafikken er kun illustrasjon

Dataene i databasen

> Ukryptert

> Kryptert

05.02.2010, Side 13

Ytelse

> Balansere sikkerhet mot ytelse> Vurder nøye valg av krypteringsnøkkel (algoritme + nøkkelstørrelse)

> Optimalisere ytelse> Bruke Type II storage areas (kryptere på object nivå)> Øke treff fra buffer (-B)> Vurder å bruke Alternate Buffer Pool (-B2)> Krypter kun nødvendige Indexer / Tabeller

(hvor sensitive data lagres)

05.02.2010, Side 14

Demo

> Tilgjengeliggjøre kryptering> Legge til “Encryption Policy Area”

> Enable kryptering> Kryptere AI?> Kryptere BI?

> Legge til Policy

> Kryptere dataene

05.02.2010, Side 15

Oppsummering

Progress TDE er

> Enkel å implementere

> Sikkert - velg selv ønsket nivå på krypteringen

> Fleksibelt – tilpasses når du har behov

05.02.2010, Side 16

Spørsmål

?05.02.2010

Tilbud / Erbjudanden

> Kjøp Progress TDE fra Proventus, og få med en dag training / oppsett av TDE i ditt driftsmiljø.

* Evt. reisekostnader kommer i tillegg.

05.02.2010, Side 18

Presentert av

05.02.2010, Side 19

> BENT OLSBY konsulent / consultant

+47 932 82 106bent@proventus.no

Progress utvikler og konsulent siden

Progress V2

Februar 1986

Proventus AS

Christian Krogsgt. 16, N-0186 Oslo, +47 47 600 800www.proventus.no

www.proventus.no

05.02.2010, Side 20 Teknologi for optimale prosesser