Embed Size (px)
DESCRIPTION
Progress ” Transparent Data Encryption ” - TDE Bent Olsby. Hvem er vi. Største Progress konsulenthuset i Norge 9 Progress konsulenter Til sammen 140 + år med Progress erfaring Erfaring fra Progress V2 - 1986 6 .NET konsulenter med god sertifisering. Hvem er dere ?. Roller Erfaring - PowerPoint PPT Presentation
Citation preview
Progress
”Transparent Data Encryption”- TDE
Bent Olsby
Hvem er vi
> Største Progress konsulenthuset i Norge> 9 Progress konsulenter> Til sammen 140+ år med Progress erfaring> Erfaring fra Progress V2 - 1986
> 6 .NET konsulenter med god sertifisering
05.02.2010, Side 2
Hvem er dere ?
>Roller>Erfaring>Antall databaser>Databasestørrelser>Benyttes Type II Storage Areas
05.02.2010, Side 3
Agenda
>Gjennomgang av TDE
> Implementering / Demo
05.02.2010
Det er valgt å holde et ”teknisk språk” for å ikke miste deler av informasjonen ifbm. produktet
Oversikt
Hva er TDE? – Transparent Data Encryption > Transparent
> Applikasjonstransparent data kryptering> Full index query support> Ikke behov for å flytte data
> Fleksibel> Krypter individuelle objekter i Type II Areas (tabeller, indexer, lob)> Krypter individuelle Type I Areas (alle objekter i area)> "Storage Engine" krypterer datablokkene i databasen (på disk)
> Sikkerhet> Gir sikker kryptering og lagring av krypteringsnøkkel i ”KeyStore”> Viktig del av en overordnet sikker datastrategi (ex. PCI DSS)> Begrenser aksess til fysiske data
05.02.2010, Side 5
Krypteringen
Hvordan utføres den?
05.02.2010, Side 6
Vanlig data
Krypterte Data
Krypter
Dekrypter
Krypteringsnøkkelen gjør krypteringen unik
Kryptering
Kryptering
4589 1345 9238 9773 z!$x;h@p$r#w!e
#!~?;!@#$!#$#!! z!$x;h@p$r#w!e
OpenEdge Transparent Data Encryption (TDE)
05.02.2010, Side 7
plain text
Encrypt
Shared MemoryBuffer Pool
(vanlig data block)
Database “Storage Engine”
Product Install Key store
• Database Master Key (DMK)• DMK Admin/User Passphrase• Manual/Automatic Authentication
Policy Area• KrypteringsPolicies – Hva (object) og hvordan (krypteringstype)
Read I/O
Write I/OKey store
Database
Policies
Nøkler
Decrypt
&
PolicyArea
Encrypted Data
Tilgjengelighet
> Transparent Data Encryption> Et OpenEdge produkt> Først tilgjengelig i 10.2B (10.2B03 er tilgjengelig)
> 2 produkter / lisenser må installers> OpenEdge Enterprise Database> Transparent Data Encryption
05.02.2010, Side 8
The key store Den mest kritiske komponenten i TDE
> Lagrer Database Master Key (DMK)> Gjør krypterte data unike
> Unik pr database> Filnavn : <dbnavn.ks>
> Sikre DMK i key store> Lagres separat fra databasen> Ikke en del av database backup> Beskyttet med en passphrase basert autentisering
05.02.2010, Side 9
The key store (2) Den mest kritiske komponenten i TDE
> Miste nøkklene : del db.ks> Gjennskape din database master key (kun med PBE krypteringsnøkkel)
> Passphrases har forhåndsbestemte regler
> Fordeler med DMK PBE> Kan regenereres
> Bakdeler med DMK PBE> Kan regenereres (mindre sikker)
> Trenger stor passphrase for å være effektiv> Må huske passphrase
05.02.2010, Side 10
Krypterings“policies”
Beskriver hva og hvordan kryptering utføres> Policy innholde
> Objectet som kan krypteres> Table, Index, Lob (Type II storage areas)> Area (Type I storage area)> AI and BI filer
> Krypteringsnøkkel – alogaritme & nøkkel størrelse
> Secure (Key store DB administrator og bruker)
> Stored in “Encryption Policy Area”> Bruker hindres fra direkte tilgang til dataene
> Policy vedlikehold> Legg til, fjerne, endre (krypteringsnøkkel) online> Fra Epolicy tool, OpenEdge SQL, Data Admin tool
05.02.2010, Side 11
Krypteringsteknikk
Hvordan velge?> Grunnlegende regler> Ditt valg, ditt ansvar – balansere sikkerhet og ytelse
05.02.2010, Side 12
RC4-12
8
AES-128
AES-192
AES-256
DES-56
DES3-16
8
Sikkerhetsstyrke
0 – ingen kryptering
DES-PBE
10
10
RC4-12
8
AES-128
AES-192
AES-256
DES-56/
PBE
DES3-16
8
Ytelseskostnader
0 – ingen kryptering
Grafikken er kun illustrasjon
Dataene i databasen
> Ukryptert
> Kryptert
05.02.2010, Side 13
Ytelse
> Balansere sikkerhet mot ytelse> Vurder nøye valg av krypteringsnøkkel (algoritme + nøkkelstørrelse)
> Optimalisere ytelse> Bruke Type II storage areas (kryptere på object nivå)> Øke treff fra buffer (-B)> Vurder å bruke Alternate Buffer Pool (-B2)> Krypter kun nødvendige Indexer / Tabeller
(hvor sensitive data lagres)
05.02.2010, Side 14
Demo
> Tilgjengeliggjøre kryptering> Legge til “Encryption Policy Area”
> Enable kryptering> Kryptere AI?> Kryptere BI?
> Legge til Policy
> Kryptere dataene
05.02.2010, Side 15
Oppsummering
Progress TDE er
> Enkel å implementere
> Sikkert - velg selv ønsket nivå på krypteringen
> Fleksibelt – tilpasses når du har behov
05.02.2010, Side 16
Spørsmål
?05.02.2010
Tilbud / Erbjudanden
> Kjøp Progress TDE fra Proventus, og få med en dag training / oppsett av TDE i ditt driftsmiljø.
* Evt. reisekostnader kommer i tillegg.
05.02.2010, Side 18
Presentert av
05.02.2010, Side 19
> BENT OLSBY konsulent / consultant
+47 932 82 [email protected]
Progress utvikler og konsulent siden
Progress V2
Februar 1986
Proventus AS
Christian Krogsgt. 16, N-0186 Oslo, +47 47 600 800www.proventus.no
www.proventus.no
05.02.2010, Side 20 Teknologi for optimale prosesser
