DataSunrise está patrocinando AWS re:Invent 2024 en Las Vegas, por favor visítenos en el stand #2158 de DataSunrise

Mejores Prácticas de Gestión de Claves de Cifrado

Mejores Prácticas de Gestión de Claves de Cifrado

Gestión Centralizada de Claves

Centraliza tu sistema de gestión de claves. Por ejemplo, la siguiente arquitectura puede considerarse bien adaptada para la mayoría de las empresas:

Existe un nodo de cifrado y descifrado en cualquier punto de la red de la empresa. Los componentes de gestión de claves se pueden desplegar en diferentes nodos y se pueden integrar con cualquier aplicación de cifrado. Tal sistema te permite tener todos los mecanismos de cifrado y descifrado a nivel de nodo donde se realiza el cifrado/descifrado.


Perfiles de Usuario Centralizados para Autenticación

El acceso a tus datos sensibles debe basarse en los perfiles de usuario definidos en tu gestor de claves. Así, solo los usuarios debidamente autenticados deben tener el privilegio de acceder a los recursos cifrados. Un administrador debe ser responsable de gestionar los perfiles de usuario. La mejor práctica es construir tu sistema de gestión de claves de tal manera que ningún usuario tenga acceso exclusivo a las claves.


Separar los Procesos de Cifrado y Descifrado

Puedes implementar tu sistema de cifrado/descifrado a nivel local y distribuirlo en toda la organización o implementarlo en una ubicación central en un servidor de cifrado separado. Ten en cuenta que todos los nodos deben utilizar los mismos estándares, reglas y niveles de calidad. Este enfoque tiene las siguientes ventajas:

  • Mayor rendimiento
  • Menor ancho de banda de red
  • Mayor disponibilidad
  • Mejora de la transmisión de datos

Ten en cuenta que si los procesos de cifrado y descifrado están distribuidos, el proceso de gestión de claves debe garantizar una distribución segura de las claves.


Principio del Menor Privilegio

Es un principio básico de uso de cualquier aplicación, incluidas las aplicaciones de cifrado. Es una mejor práctica no utilizar privilegios administrativos cuando se usa cualquier aplicación, a menos que sea absolutamente necesario, ya que hace que las aplicaciones sean extremadamente vulnerables a amenazas externas e internas.


Soporte de Múltiples Mecanismos de Cifrado

Tu empresa debe estar preparada para fusiones y adquisiciones, por lo que sería mejor construir tu sistema de cifrado con la capacidad de soportar diferentes tecnologías de cifrado. Por supuesto, no necesitas implementar todas las tecnologías de cifrado disponibles, pero sí las principales estándares de la industria.


Solución Común de Cifrado y Descifrado para Todas las Aplicaciones

Es altamente recomendable que uses un mecanismo común de cifrado para columnas de bases de datos y archivos. Debe ser capaz de identificar los datos sensibles que deben cifrarse. Una vez cifrados, los datos solo deben ser accesibles por los usuarios con privilegios adecuados, basados en los derechos de usuario específicos de la aplicación. Los derechos deben ser controlados por el administrador.


No Descifrar ni Recifrar en Caso de Rotación o Expiración de Claves

Cada archivo cifrado debe tener un archivo de clave asociado para identificar qué recursos deben utilizarse para descifrar los datos contenidos en el archivo. Esto significa que tu sistema no debe descifrar un conjunto de datos cifrado y luego recifrarlo cuando las claves expiren o cambien. En este escenario, los datos cifrados recientemente se descifrarían utilizando la clave reciente y se recuperaría la clave antigua correspondiente para descifrar los datos existentes.


Integración con Aplicaciones de Terceros

Es un enfoque común en las empresas tener un gran número de dispositivos externos. Estos dispositivos pueden ser dispositivos de punto de venta (POS) que están dispersos por la red. Estos no tienen aplicaciones típicas orientadas a bases de datos y están dedicados a una sola función, utilizando herramientas propietarias. Siempre es un buen enfoque utilizar un mecanismo de cifrado que pueda integrarse fácilmente con cualquier aplicación de terceros.

A veces, las empresas poseen un gran número de dispositivos externos, como dispositivos POS (punto de venta) incluidos en la red corporativa. Dichos dispositivos típicamente no pueden interactuar directamente con las bases de datos, pero están destinados a trabajar con herramientas propietarias. Por lo tanto, es una mejor práctica tener tu mecanismo de cifrado compatible con aplicaciones de terceros.


Registro y Trazas de Auditoría

El registro extensivo es esencial cuando se utilizan múltiples aplicaciones distribuidas y es un componente importante de la gestión de claves. Cada caso de acceso a los datos cifrados debe registrarse, proporcionando la capacidad de rastrear al usuario final que intenta acceder a los datos cifrados. Los registros deben incluir los siguientes puntos:

  • Consulta utilizada para acceder a los datos
  • Detalles del usuario
  • Recursos utilizados para cifrar los datos
  • Columnas de la base de datos accedidas
  • Hora en que se accedió a los datos

Copias de Seguridad Regulares

¡Haz copias de seguridad de tus bases de datos con frecuencia! La mejor práctica es hacer copias de seguridad de tus datos sensibles todos los días, tener un escenario de restauración de datos y realizar verificaciones periódicas de la aplicación que usas para las copias de seguridad.

Siguiente

Directrices de Seguridad del Sistema de Gestión de Bases de Datos

Directrices de Seguridad del Sistema de Gestión de Bases de Datos

Más información

¿Necesita la ayuda de nuestro equipo de soporte?

Nuestros expertos estarán encantados de responder a sus preguntas.

Información general:
[email protected]
Servicio al Cliente y Soporte Técnico:
support.datasunrise.com
Consultas sobre Asociaciones y Alianzas:
[email protected]