DIE RICHTIGE VERSCHLÜSSELUNGSSTRATEGIE

Datensicherheitsprodukte von Vormetric

Die optimale Lösung hängt vom Anwendungsbereich, den jeweiligen Bedrohungen und der akzeptablen Bereitstellungskomplexität ab

In der Vorstandsetage wird das Thema Verschlüsselung häufig stark vereinfacht betrachtet: Entweder wird Verschlüsselung eingesetzt, sodass die Datenbestände geschützt sind, oder sie werden nicht verschlüsselt, und es besteht Grund zur Panik. Für die Sicherheitsteams, die für den Schutz sensibler Daten verantwortlich sind, ist die Situation jedoch weitaus komplexer.

Denn bei der Wahl der richtigen Lösung für die spezifischen Geschäftsanforderungen eines Unternehmens gibt es einiges zu beachten. Prinzipiell lassen sich die unterschiedlichen Arten von Verschlüsselungslösungen danach unterscheiden, wo im Technologie-Stack sie angewandt werden. In der Regel kann die Datenverschlüsselung in vier Ebenen des Technologie-Stacks eingesetzt werden: Festplatte oder Wechselmedium, Dateisystem, Datenbank und Anwendung.

Im Allgemeinen ist die Implementierung umso einfacher und verursacht weniger Störungen, je niedriger im Stack die Verschlüsselung verwendet wird. Allerdings lassen sich auch umso weniger Arten von Bedrohungen entschärfen. Wird die Verschlüsselungstechnologie jedoch höher im Stack eingesetzt, sind Organisationen in der Lage, eine höhere Sicherheit zu erreichen und mehr Bedrohungen auszuschalten.

Security and deployment complexity

Die Sicherheit sowie die Komplexität der Bereitstellung steigen, wenn die Verschlüsselung höher im Stack implementiert wird

Im Folgenden finden Sie weitere Details zu den Vor- und Nachteilen der Verschlüsselung auf jeder Ebene des Technologie-Stacks. Diese können Sie bei der Wahl des besten Verschlüsselungsansatzes und Produkts für Ihre spezifischen Umgebungen und Anwendungsbereiche unterstützen.

Festplattenverschlüsselung

Bei der Festplattenverschlüsselung (Full-disk Encryption, FDE) oder selbstverschlüsselnden Laufwerken (Self-encrypting Drives, SED) werden sämtliche Informationen verschlüsselt, sobald sie gespeichert werden. Greift ein Benutzer oder Prozess auf die Daten zu, werden diese entschlüsselt.

Vorteile:

  • Einfachste Bereitstellungsmethode für Verschlüsselung
  • Transparent gegenüber Anwendungen, Datenbanken und Benutzern
  • Leistungsstarke, hardwarebasierte Verschlüsselung

Einschränkungen:

  • Wirkt nur wenigen Bedrohungen entgegen – schützt lediglich bei physischem Verlust des Speichermediums.
  • Bietet keinerlei Schutz vor APTs (Advanced Persistent Threats), bösartigen Insidern und externen Angreifern.
  • Erfüllt nur minimale Compliance-Anforderungen und bietet keine detaillierten Zugriffsprotokolle.

Fazit:

  • Festplattenverschlüsselung ist vor allem für Laptops sinnvoll, weil die Gefahr des Verlusts oder Diebstahls hier besonders hoch ist. Gegen die häufigsten Risiken von Rechenzentren und Cloud-Umgebungen ist dieser Verschlüsselungsansatz jedoch wirkungslos.

Weitere Informationen:

Verschlüsselung auf Dateiebene

Die Verschlüsselung auf Dateiebene sorgt für eine höhere Sicherheit, da Software-Agenten im Betriebssystem installiert werden. Die Agenten fangen sämtliche Lese- und Schreibaufrufe für Festplatten ab und bestimmen anhand von Richtlinien, ob Daten ver- bzw. entschlüsselt werden sollten. Ausgereiftere Produkte zur Verschlüsselung auf Dateiebene stellen starke, richtlinienbasierte Zugriffskontrollen (auch für privilegierte Benutzer und Prozesse) sowie Funktionen zur Erstellung detaillierter Protokolle bereit.

Vorteile:

  • Transparent gegenüber Benutzern und Anwendungen, d. h. Organisationen müssen Anwendungen und Geschäftsprozesse nicht anpassen und sind nicht an einen bestimmten Anbieter von Speicherlösungen gebunden.
  • Unterstützt sowohl strukturierte als auch unstrukturierte Daten.
  • Führt starke Kontrollen zum Schutz vor Missbrauch durch privilegierte Benutzer ein und erfüllt gängige Compliance-Anforderungen.
  • Erstellt detaillierte Dateizugriffs-Protokolle und lässt sich in SIEM-Systeme integrieren, die zu Security-Intelligence- und Compliance-Reporting-Zwecken genutzt werden können.

Einschränkungen:

  • Erfordert Produkte zur Überwachung von Datenbankaktivitäten (Database Activity Monitoring, DAM) zum Schutz vor bösartigen Datenbankadministratoren und SQL-Injection-Angriffen.
  • Da die Agenten betriebssystemspezifisch sind, sollte die ausgewählte Lösung unbedingt unterschiedliche Windows-, Linux- und Unix-Plattformen abdecken.

Fazit:

  • Für viele Organisationen und Zwecke ist die Verschlüsselung auf Dateiebene die optimale Wahl. Denn damit werden die meisten Anwendungsbereiche unterstützt, und die Implementierungs- und Betriebsprozesse gestalten sich äußerst einfach.
  • Wählen Sie am besten eine Lösung, die ein zusätzliches Gateway zum Schutz von Daten bietet, die in die Cloud übertragen werden.

Weitere Informationen:

Datenbankverschlüsselung (TDE)

Diese Methode bietet Sicherheitsteams die Möglichkeit, ganze Datenbanken oder Teile davon zu verschlüsseln. Zu dieser Kategorie gehören TDE-Lösungen (Transparent Data Encryption) unterschiedlicher Datenbankanbieter.

Vorteile:

  • Schützt Daten in kritischen Datenbanken.
  • Bietet einen starken Schutz vor unterschiedlichen Bedrohungen, darunter bösartige Insider (dies können auch bösartige Datenbankadministratoren sein).

Einschränkungen:

  • Angebote eines Datenbankanbieters können nicht für Datenbanken anderer Anbieter eingesetzt werden.
  • Ermöglicht keine zentrale Verwaltung für Datenbanken unterschiedlicher Anbieter oder andere Bereiche der Umgebung.
  • Verschlüsselt lediglich Spalten oder Tabellen von Datenbanken, während Konfigurationsdateien, Systemprotokolle und Berichte weiterhin gefährdet sind.

Fazit:

  • Technologien zur Datenbankverschlüsselung können zwar spezifische taktische Anforderungen erfüllen, bieten für heterogene Umgebungen jedoch keinen ausreichenden Schutz. Die Folge sind enorme Sicherheitslücken.

Weitere Informationen:

Verschlüsselung auf Anwendungsebene

Bei diesem Ansatz wird die Verschlüsselung oder Tokenisierung von Daten innerhalb von Anwendungen mithilfe von Anwendungslogik verwaltet.

Vorteile:

  • Schützt bestimmte Teile von Daten, beispielsweise Felder in einer Datenbank.
  • Die Ver- und Entschlüsselung erfolgt auf Anwendungsebene, sodass Daten vor dem Übertragen oder Speichern verschlüsselt werden können.
  • Bietet die höchste Sicherheit, denn sie schützt vor bösartigen Datenbankadministratoren und SQL-Injection-Angriffen.
  • Durch die Tokenisierung lassen sich zudem die Kosten für die PCI-DSS-Compliance und Verwaltung deutlich senken.

Einschränkungen:

  • Die Technologie muss in die Anwendung integriert werden, sodass Entwicklungs- und Ressourcenaufwand entsteht.

Fazit:

  • Dieser Ansatz eignet sich hervorragend für Fälle, in denen bestimmte Teile von Daten aufgrund von Sicherheitsrichtlinien oder Compliance-Vorschriften geschützt werden müssen. Varianten der Verschlüsselung auf Anwendungsebene wie Tokenisierung und formaterhaltende Verschlüsselung (Format Preserving Encryption, FPE) können darüber hinaus helfen, Leistungseinbußen bei Datenbanken zu minimieren.
  • Wählen Sie am besten eine Lösung mit gut dokumentierten, standardbasieren APIs und Beispielcode, um die Anwendungsentwicklung zu vereinfachen.

Weitere Informationen:

  • Relevante Lösungen von Vormetric:

Application Encryption

ANALYST REPORT

Encryption as an Enterprise Strategy

Vormetric Data Security Platform

Offers survey results and analysis on creating an enterprise-wide encryption strategy.  

Download >>

ANALYST REPORT

Selecting Encryption for “Data-At-Rest” In Back-End Systems: What Risks Are You Trying To Address

Vormetric Data Security Platform

Provides actionable information that can help you secure your most crucial asset, your data.  

Download >>

ANALYST REPORT

Encryption Architecture

Cracking the Confusion: Encryption and Tokenization for Data Centers, Servers and Applications by Securosis

Download >>

WEBCASTS

Encryption Architecture

The Right Tools for the Job: Encryption for Data-at-Rest in Back-End Systems

Watch Now >>

The Vormetric Digital Digest on Data Security

Customer and Partner Success

  • Rackspace Cloud Partners
  • McKesson
  • AWS
  • Google Compute Engine
  • Microsoft
  • IBM
  • CenturyLink
  • QTS
  • Teleperformance Secures
  • Delta Dental