|
|
|
Шифрование базы данных
|
|||
|---|---|---|---|
|
#18+
Всем привет! Приступлю сразу к делу. Есть база, где находится крайне конфидициальная информация, и необходимо ее зашифровать, в том числе и от админов. Расшифрованные данные должны видеть только юзеры, по средством отчетности. Задача свести к минимуму риск утечки информации. База стоит на стеке технологий MS. Планирую реализовывать шифрования внутренними средствами, но хотелось бы узнать про внешние возможности. Потому что внутренний стек не дает полную защиту, довольно много дыр. Плюс тяжко защищаться от DBA)) В первую очередь рассматриваю коммерчиские продукты, с поддержкой и так далее. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 22.12.2015, 18:49 |
|
||
|
Шифрование базы данных
|
|||
|---|---|---|---|
|
#18+
>wizli, сегодня, 18:49 http://www.sql.ru/forum/actualutils.aspx?action=gotomsg&tid=1191993&msg=18595931][18595931] >...Есть база, где ... TrueCrypt ? С уважением, Владимир ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 22.12.2015, 18:59 |
|
||
|
Шифрование базы данных
|
|||
|---|---|---|---|
|
#18+
wizliРасшифрованные данные должны видеть только юзеры, по средством отчетности. Задача свести к минимуму риск утечки информации. Юзер + фотоаппарат + OCR и данные уплыли. Это самое слабое звено твоей системы. Posted via ActualForum NNTP Server 1.5 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 22.12.2015, 19:00 |
|
||
|
Шифрование базы данных
|
|||
|---|---|---|---|
|
#18+
Dimitry Sibiryakov, Ну да, юзеры всегда слабое звено. Но в контексте нашей БД этот вариант откидываем и считаем, что юзеры не слабое звено. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 22.12.2015, 19:05 |
|
||
|
Шифрование базы данных
|
|||
|---|---|---|---|
|
#18+
ВМоисеев, Спасибо, я тогда посмотрю в их сторону. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 22.12.2015, 19:06 |
|
||
|
Шифрование базы данных
|
|||
|---|---|---|---|
|
#18+
wizliв контексте нашей БД этот вариант откидываем и считаем, что юзеры не слабое звено. Тогда кто? Админ? Захват экрана юзера + OCR и данные опять же уплыли. Не говоря уже о том, что у него есть пароли этих самых юзеров, так что он обойдётся даже без фотоаппарата и, собственно, юзера. Posted via ActualForum NNTP Server 1.5 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 22.12.2015, 19:09 |
|
||
|
Шифрование базы данных
|
|||
|---|---|---|---|
|
#18+
ВМоисеев, Смущает две записи, первая по линку, что вы дали "28 мая 2014 года на странице разработчиков TrueCrypt появилось сообщение о закрытии проекта TrueCrypt." А вторая на их сайте "WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues". А можете порекомендовать решение повыше класса? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 22.12.2015, 19:10 |
|
||
|
Шифрование базы данных
|
|||
|---|---|---|---|
|
#18+
Шифруйте на стороне клиента . Это в другом подфоруме, к проектированию БД это не относится. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 22.12.2015, 19:38 |
|
||
|
Шифрование базы данных
|
|||
|---|---|---|---|
|
#18+
SERG1257, с key-range-ами будут проблемы. А что форум другой - это верно, куда уместнее это будет в "разработке информационных систем" ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 22.12.2015, 21:35 |
|
||
|
Шифрование базы данных
|
|||
|---|---|---|---|
|
#18+
>wizli, сегодня, 19:10 http://www.sql.ru/forum/actualutils.aspx?action=gotomsg&tid=1191993&msg=18596014][18596014] >...А можете порекомендовать... VegaCrypte? + посмотрите тему шифрование дисков на лету + здесь С уважением, Владимир ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 22.12.2015, 22:34 |
|
||
|
Шифрование базы данных
|
|||
|---|---|---|---|
|
#18+
Всем спасибо, понял, что промахнулся веткой, пойду в разработку ИС. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 23.12.2015, 10:55 |
|
||
|
Шифрование базы данных
|
|||
|---|---|---|---|
|
#18+
wizliА вторая на их сайте "WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues".Отписка, чтобы не говорить прямо "извините, ZOG взял нас за йайцы". Но вообще в вашей ситуации ни трукрипт, ни битлокер, ни что-либо подобное - не вариант, т.к. SERG1257Шифруйте на стороне клиента . Это в другом подфоруме, к проектированию БД это не относится. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 23.12.2015, 12:32 |
|
||
|
Шифрование базы данных
|
|||
|---|---|---|---|
|
#18+
tanglir, Нужно шифрование именнов БД. На клиенте не вариант. Требование, чтобы данные лежали в самих таблицах в зашифрованном виде. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 23.12.2015, 12:41 |
|
||
|
Шифрование базы данных
|
|||
|---|---|---|---|
|
#18+
>wizli, сегодня, 12:41 http://www.sql.ru/forum/actualutils.aspx?action=gotomsg&tid=1191993&msg=18598724][18598724] >...Требование... Как вариант, поставте базу данных на виртуальную машину VM-ware, виртуальную машину зашифруйте целиком. С уважением, Владимир ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 23.12.2015, 12:53 |
|
||
|
Шифрование базы данных
|
|||
|---|---|---|---|
|
#18+
ВМоисеев, Вариант с виртуалкой пока не рассматриваем, а так хорошая идея. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 23.12.2015, 12:58 |
|
||
|
Шифрование базы данных
|
|||
|---|---|---|---|
|
#18+
>wizli, сегодня, 12:58 http://www.sql.ru/forum/actualutils.aspx?action=gotomsg&tid=1191993&msg=18598851][18598851] >Вариант с виртуалкой ... А крипто контейнер то чем плох? MS SQL работает с файлом базы данных. Его и .log в контейнер. В начале работы открываете контейнер по паролю (всё одно админ нужен, назовите его секадмин), закрепляете файл базы данных за сервером и в путь. ПО для нужного (выбранного) крипто контейнера можно найти в инете. С уважением, Владимир. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 23.12.2015, 13:16 |
|
||
|
Шифрование базы данных
|
|||
|---|---|---|---|
|
#18+
ВМоисеев, Но это вариант шифровки самих файлов с базами. Кстати, можете чуть подробнее рассказать как закрепить файл за сервером? И я правильно понял, что это позволит пресечь все попытки скопировать или вынести этот файл? Меня больше интересует система по шифровки самих данных, чтобы их никто не мог увидеть. Например, делаем селект к таблице и вместо данных видим какие-то символы ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 23.12.2015, 13:27 |
|
||
|
Шифрование базы данных
|
|||
|---|---|---|---|
|
#18+
wizliТребование, чтобы данные лежали в самих таблицах в зашифрованном виде. Тогда используй штатное шифрование MS SQL и не выпендривайся. Posted via ActualForum NNTP Server 1.5 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 23.12.2015, 13:45 |
|
||
|
Шифрование базы данных
|
|||
|---|---|---|---|
|
#18+
>wizli, сегодня, 13:27 http://www.sql.ru/forum/actualutils.aspx?action=gotomsg&tid=1191993&msg=18599017][18599017] >Но это вариант шифровки самих файлов с базами ... Не совсем так, криптоконтейнер содержит шифрованную информацию, но это не архивный файл, для работы с ним, его не надо разархивировать. Шифрование/дешифрование динамическое, по мере записи/чтения, последовательность байтов шифруется/дешифруется "на лету". Когда Вы в рамках операционной системы открываете (монтируете?) криптоконтейнер, то получаете доступ к шифрованному логическому диску, содержащему, в частности, и файлы базы данных. >...И я правильно понял... Нет, криптоконтейнер есть файл операционной системы, но файл, информация которого зашифрована. Хотя, средствами ОС можно крайне затруднить доступ кого-либо к этому файлу. С уважением, Владимир ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 23.12.2015, 13:54 |
|
||
|
Шифрование базы данных
|
|||
|---|---|---|---|
|
#18+
ВМоисеев>wizli, сегодня, 13:27 http://www.sql.ru/forum/actualutils.aspx?action=gotomsg&tid=1191993&msg=18599017][18599017] Когда Вы в рамках операционной системы открываете (монтируете?) криптоконтейнер, то получаете доступ к шифрованному логическому диску, содержащему, в частности, и файлы базы данных. Ну так после того как смонтируете - то все, DBA все данные видит в первозданном виде (потому что так их видит СУБД)? Как я понял, ТС это не подходит. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 23.12.2015, 13:59 |
|
||
|
Шифрование базы данных
|
|||
|---|---|---|---|
|
#18+
>Кот Матроскин, сегодня, 13:59 http://www.sql.ru/forum/actualutils.aspx?action=gotomsg&tid=1191993&msg=18599216][18599216] >Ну так после того как смонтируете - то все, DBA ... Да, если DBA имеет доступ к этому компьютеру и этой базе данных. Если условие критично, то, увы, вариант не проходит. С уважением, Владимир. p.s. но иногда надо иметь базу данных при себе (ноут) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 23.12.2015, 14:24 |
|
||
|
Шифрование базы данных
|
|||
|---|---|---|---|
|
#18+
Кот Матроскин, Да, вы абсолютно правы. Мне это не решение не подходит. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 23.12.2015, 15:58 |
|
||
|
Шифрование базы данных
|
|||
|---|---|---|---|
|
#18+
wizli, А чем Вам не нравится шифрование в SQL Server "из коробки"? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 23.12.2015, 16:00 |
|
||
|
Шифрование базы данных
|
|||
|---|---|---|---|
|
#18+
Кот Матроскин, Защитой от DBA, единственный способ защиться, это зашифровать все паролем. И закрыть доступ к этому паролю, от самого админа. Поэтому и придется изобретать "велосипед" с хранением этого пароля и тасканием его в базу. Потом важный ньюанс это SSIS, с ним вообще беда. Он не может шифровать данные на лету, либо построчная обработка в цикле, закрытием\открытием ключа шифрования, либо запись незашифрованных данных в таблицу. А потом поверх шифровать. Чтобы шифровать на лету, наверное придется писать какую-то вставку на С#, и тут тоже вопрос с безопасностью и первормансом. Я просто про внешние системы шифрования вообще ничего не знаю, вот и решил спросить совета. Вполне может оказаться, что такого решения и нет по сути) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 23.12.2015, 16:12 |
|
||
|
Шифрование базы данных
|
|||
|---|---|---|---|
|
#18+
wizliЗащитой от DBA, единственный способ защиться, это зашифровать все паролем. И закрыть доступ к этому паролю, от самого админа. Поэтому и придется изобретать "велосипед" с хранением этого пароля и тасканием его в базу. Почему "велосипед"? Это же штатный способ: https://www.mssqltips.com/sqlservertip/2840/sql-server-encryption-to-block-dbas-data-access/ Posted via ActualForum NNTP Server 1.5 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 23.12.2015, 16:16 |
|
||
|
|
start [/forum/topic.php?fid=32&fpage=17&tid=1540416]: |
0ms |
get settings: |
10ms |
get forum list: |
14ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
39ms |
get topic data: |
12ms |
get forum data: |
3ms |
get page messages: |
66ms |
get tp. blocked users: |
1ms |
| others: | 15ms |
| total: | 166ms |
| 0 / 0 |
Извините, этот баннер — требование Роскомнадзора для исполнения 152 ФЗ.
«На сайте осуществляется обработка файлов cookie, необходимых для работы сайта, а также для анализа использования сайта и улучшения предоставляемых сервисов с использованием метрической программы Яндекс.Метрика. Продолжая использовать сайт, вы даёте согласие с использованием данных технологий».
... ля, ля, ля ...
