DataSunrise Consegue la Certificazione AWS DevOps Competency per AWS DevSecOps e Monitoraggio, Logging e Performance

Questo sito web utilizza cookie per raccogliere informazioni su come Lei interagisce con il nostro sito. Per saperne di più visiti la nostra Privacy Policy.

Migliori Pratiche per la Gestione delle Chiavi di Crittografia

Migliori Pratiche per la Gestione delle Chiavi di Crittografia

Gestione Centralizzata delle Chiavi

Centralizzi il Suo sistema di gestione delle chiavi. Ad esempio, la seguente architettura può essere considerata ben adatta per la maggior parte delle aziende:

Un nodo di crittografia e decrittografia esiste in qualsiasi punto della rete aziendale. I componenti del sistema di gestione delle chiavi possono essere distribuiti su diversi nodi e possono essere integrati con qualsiasi applicazione di crittografia. Questo sistema Le consente di avere tutti i meccanismi di crittografia e decrittografia a livello di nodo dove vengono eseguiti la crittografia/decrittografia.


Profili Utente Centralizzati per l’Autenticazione

L’accesso ai Suoi dati sensibili dovrebbe basarsi sui profili utente definiti nel Suo gestore delle chiavi. Pertanto, solo gli utenti opportunamente autenticati dovrebbero avere il privilegio di accedere alle risorse crittografate. Un amministratore dovrebbe essere responsabile della gestione dei profili utente. La migliore pratica è costruire il Suo sistema di gestione delle chiavi in modo tale che nessun singolo utente abbia accesso esclusivo alle chiavi.


Separare i Processi di Crittografia e Decrittografia

Può implementare il Suo sistema di crittografia/decrittografia a livello locale e distribuirlo in tutta l’organizzazione oppure implementarlo in una posizione centrale su un server di crittografia separato. Noti che tutti i nodi dovrebbero utilizzare gli stessi standard, regole e livelli di qualità. Questo approccio ha i seguenti vantaggi:

  • Prestazioni più elevate
  • Minore larghezza di banda di rete
  • Maggiore disponibilità
  • Migliorata trasmissione dei dati

Noti che se i processi di crittografia e decrittografia sono distribuiti, il processo di gestione delle chiavi dovrebbe garantire la distribuzione sicura delle chiavi.


Principio del Minimo Privilegio

È un principio basilare nell’uso di qualsiasi applicazione, incluse le applicazioni di crittografia. È buona pratica non utilizzare privilegi amministrativi durante l’uso di qualsiasi applicazione, a meno che non sia assolutamente necessario, poiché rende le applicazioni estremamente vulnerabili alle minacce esterne e interne.


Supporto di Molteplici Meccanismi di Crittografia

La Sua azienda dovrebbe essere pronta per fusioni e acquisizioni, quindi sarebbe meglio costruire il Suo sistema di crittografia con la capacità di supportare diverse tecnologie di crittografia. Naturalmente, non è necessario implementare tutte le tecnologie di crittografia disponibili, ma quelle principali standard del settore.


Soluzione Comune per la Crittografia e Decrittografia per Tutte le Applicazioni

È fortemente consigliabile utilizzare un meccanismo di crittografia comune per le colonne dei database e i file. Dovrebbe essere in grado di identificare i dati sensibili che dovrebbero essere crittografati. Una volta crittografati, i dati dovrebbero essere accessibili solo dagli utenti con i privilegi appropriati basati sui diritti utente specifici dell’applicazione. I diritti dovrebbero essere controllati dall’amministratore.


Nessuna Decrittografia o Ricrittografia in Caso di Rotazione o Scadenza delle Chiavi

Ogni file crittografato dovrebbe avere un file chiave associato per identificare quali risorse dovrebbero essere utilizzate per decrittografare i dati contenuti nel file. Ciò significa che il Suo sistema non dovrebbe decrittografare un dataset crittografato e quindi ricrittografarlo quando le chiavi scadono o vengono cambiate. In questo scenario, i dati crittografati di recente verrebbero decrittografati utilizzando la chiave recente e la corrispondente vecchia chiave verrebbe recuperata per decrittografare i dati esistenti.


Integrazione con Applicazioni di Terze Parti

È un approccio comune nelle aziende avere un gran numero di dispositivi esterni. Questi dispositivi possono essere dispositivi POS (point-of-sale) sparsi in tutta la rete. Questi non dispongono di applicazioni tipiche orientate ai database e sono dedicati a una singola funzione, utilizzando strumenti proprietari. È sempre una buona idea utilizzare un meccanismo di crittografia che possa essere facilmente integrato con qualsiasi applicazione di terze parti.

Talvolta le aziende possiedono un gran numero di dispositivi esterni come i dispositivi POS (point-of-sale) inclusi nella rete aziendale. Tali dispositivi solitamente non possono interagire direttamente con i database ma sono destinati a funzionare con strumenti proprietari. Quindi, è una buona pratica avere il Suo meccanismo di crittografia compatibile con le applicazioni di terze parti.


Registrazione e Tracce di Audit

La registrazione estesa è essenziale quando si utilizzano più applicazioni distribuite ed è un componente importante della gestione delle chiavi. Ogni accesso ai dati crittografati dovrebbe essere registrato, fornendo la possibilità di tracciare l’utente finale che tenta di accedere ai dati crittografati. I log dovrebbero includere i seguenti punti:

  • Query utilizzata per accedere ai dati
  • Dettagli dell’utente
  • Risorse utilizzate per crittografare i dati
  • Colonne del database accessibili
  • Ora in cui i dati sono stati accessi

Backup Regolari

Esegua frequentemente il backup dei Suoi database! La migliore pratica è fare il backup dei Suoi dati sensibili ogni giorno, avere uno scenario di ripristino dei dati e fare controlli periodici dell’applicazione che utilizza per i backup.

Successivo

Linee Guida sulla Sicurezza del Sistema di Gestione del Database

Linee Guida sulla Sicurezza del Sistema di Gestione del Database

Scopri di più

Ha bisogno del nostro team di supporto?

I nostri esperti saranno lieti di rispondere alle Sue domande.

Informazioni generali:
[email protected]
Vendite:
[email protected]
Servizio clienti e supporto tecnico:
support.datasunrise.com
Richieste di collaborazione e alleanza:
[email protected]