Encriptar é preciso - SQL Server
-
Upload
bigleka -
Category
Technology
-
view
1.424 -
download
3
description
Transcript of Encriptar é preciso - SQL Server
Encriptar é preciso
Ricardo Leka Roveri
Background Melhores práticas Hierarquia Encriptar e desemcriptar colunas TDE Uma lista de Algorítimos
Background
Cartões de Crédito 4401750499330745 4825840002963645
Resultados de exames Detectamos presença de altos níveis de... Sim,,, é lepra...
Melhores Práticas
Dois Controles Separação de Tarefas Compartilhar Conhecimento
SQL Server Hierarquia
Windows Level SQL Server Level Database Level
TDEToda a base é encriptada
Encriptação totalmente transparente para o usuário
Coluna/RegistroEncriptação
Aplicação deverá ser reescritaDados menos críticos não precisam ser
encriptados
Encriptar Coluna
Encriptação de coluna é implementado como uma série de funções e gerenciamento de chaves
É necessário reescrever consultas, as funções de encriptação e desencritação terão que ser chamadas pelas query´s
Os dados encriptados deverão ser armazenados como varbinary e convertidos quando forem lidos.
Disponível em todas as versões do SQL (Std/Ent)
Encriptar Coluna - Demo
Passos
Criar uma database master key para cada base Criar um certificado para proteger as chaves Usar o certificado para criar e proteger a chave
simétrica Alterar o banco para armazenar o dado
encriptado Abrir a chave Encriptar o dado Fechar a chave
Duplicar chave Simetrica
CREATE SYMMETRIC KEY test_aes128_key
WITH KEY_SOURCE = 'Melhor saber o que estou fazendo',
IDENTITY_VALUE = ‘e nunca esquecer',
ALGORITHM = AES_128
ENCRYPTION BY PASSWORD = 'p@$$w0rd';
Desencriptar Coluna - Demo
TDE
Encripta toda a base usando uma chave simétrica
A chave é protegida por outras chaves ou certificados que são protegidos pela master key ou por uma chave assimétrica armazenada em um modulo EKM
Disponível apenas nas versões Enterprise e Developer
O SQL prove técnicas automáticas para otimização das querys
TDE- Demo
Passos
Criar um certificado Backup do certificado Criar uma chave simétrica para a base Alterar o banco para modo de encriptação
ligado Acompanhar a encriptação
Algoritmos
Data Encription (DES) Triple DES RC4 128-bit RC4 DESX 128-bit AES 192-bit AES 256-bit AES
Segurança
Per
form
ance
Certificados
X509v3 – Apenas campos da v1 são usados Limite do tamanho do certificado Nenhuma checagem (CA,
expiração,Subject,etc)
Dúvidas?
26/11/2011 |21 |
Patrocinadores
Obrigado
23