SELECCIÓN DEL ENFOQUE DE CIFRADO INDICADO

Productos de seguridad de datos Vormetric

La solución óptima variará según el caso de uso, amenazas resueltas y la complejidad aceptable de instalación

Los directores pueden, probablemente, considerar el cifrado de datos como un problema binario: se utiliza el cifrado de datos y se protegen los activos de la compañía, o no se cifran y se entra en pánico. Sin embargo, para los equipos de seguridad responsables de proteger los activos sensibles, la realidad no es tan simple.

Cuando determine qué tipo de solución de cifrado de datos satisface mejor sus requerimientos, hay mucho por tener en cuenta. A gran escala, los tipos de cifrado de datos pueden clasificarse según dónde se utilicen en la pila tecnológica. Existen cuatro niveles en la oferta tecnológica donde generalmente se utiliza el cifrado de datos: disco lleno o medios, sistema de archivos, base de datos y aplicaciones.

En general, la implementación será más simple y menos intrusiva cuando el cifrado se utilice en la parte inferior de la pila. Sin embargo, la cantidad y tipo de amenazas que estos enfoques de cifrado de datos pueden resolver también son más reducidos. Por otro lado, las organizaciones por lo general pueden alcanzar mayores niveles de seguridad y mitigar las amenazas utilizando el cifrado en la parte superior de la pila.

Security and deployment complexity

La complejidad de seguridad e instalación aumentan cuando se implementa en la parte superior de la pila

A continuación hay más información sobre las ventajas y desventajas del cifrado en cada nivel de la pila informática. Las descripciones pueden servirle de guía para cuando busque seleccionar el mejor enfoque y producto de cifrado para sus entornos específicos y casos de uso.

Cifrado de disco lleno

Cuando se utiliza el cifrado de disco lleno (FDE) o los drives de auto-cifrado (SED), toda la información se cifra según como está escrita en el disco y se decifra según se lea del disco.

Ventajas:

  • El método más simple para implementar el cifrado.
  • Transparente para las aplicaciones, bases de datos y usuarios.
  • Alto rendimiento, cifrado de hardware.

Limitaciones:

  • Resuelve una cantidad limitada de amenazas—solo protege de pérdida física de soportes de almacenamiento.
  • No ofrece protección contra amenazas persistentes avanzadas (APTs, en inglés), miembros maliciosos o atacantes externos.
  • Satisface los mínimos requerimientos de cumplimiento y no ofrece registros de auditoría de acceso granular.

En síntesis:

  • El Cifrado de disco lleno sirve para las laptops, que son muy susceptibles al robo o pérdida. Sin embargo, estos enfoques de cifrado no son apropiados para los riesgos más comunes experimentados en los centros de datos y nubes.

Obtenga más información:

Cifrado a nivel de archivos

Los enfoques a nivel de archivos ofrecen controles de seguridad mediante el uso de agentes de software que se instalan dentro del sistema operativo. Los agentes interceptan todos los llamados de lectura y escritura a los discos y luego aplican políticas para determinar si los datos deben cifrarse o decifrarse. Los productos de cifrado más maduros de sistemas de archivos ofrecen controles de acceso más sólidos basados en políticas, incluso para usuarios privilegiados y procesos, y capacidades de registro granular.

Ventajas:

  • Transparente para los usuarios y aplicaciones; es decir, las empresas no deben personalizar las aplicaciones ni cambiar los procesos de negocio relacionados.
  • Soporta datos estructurados y no estructurados.
  • Establece controles sólidos que protegen contra el abuso de usuarios privilegiados y que reúnen los requerimientos de cumplimiento.
  • Ofrece registros de acceso a archivos granulares e integración SIEM que pueden utilizarse para la inteligencia de seguridad y la presentación de informes de cumplimiento.

Limitaciones:

  • Requiere instalación con productos de monitoreo de actividad en base de datos (DAM, en inglés) para la protección contra administradores de bases de datos maliciosos o ataque de inyección SQL.
  • Los agentes son específicos para cada sistema operativo, así que es importante que la solución seleccionada ofrezca cobertura para un amplio conjunto de Windows, Linux y plataformas Unix.

En síntesis:

  • El cifrado de archivos es el mejor enfoque para muchas empresas y objetivos. Su amplia protección soporta una vasta mayoría de casos de uso y es fácil de instalar y operar.
  • Busque soluciones que ofrezcan una entrada complementaria que pueda proteger datos transferidos al almacenamiento en nube.

Obtenga más información:

Cifrado de base de datos (Cifrado de datos transparente)

Este enfoque le permite a los equipos de seguridad cifrar un subgrupo específico de datos dentro de la base de datos o del archivo de base de datos. Esta categoría incluye soluciones de varios vendedores de base de datos conocidos como cifrado de datos transparente (TDE).

Ventajas:

  • Protege los datos en las bases de datos, que son depósitos esenciales.
  • Establece una sólida protección contra una variedad de amenazas, incluidos los miembros maliciosos —e incluso los administrasdores de base de datos maliciosos en algunos casos.

Limitaciones:

  • Las ofertas de un vendedor de la base de datos no pueden utilizarse en las bases de datos de otros vendedores.
  • No permita la administración central a través de varias bases de datos de vendedores u otras áreas en el entorno.
  • Solo cifre columnas o tablas de una base de datos y deje expuestos los archivos de configuración, registros de sistema e informes.

En síntesis:

  • Si bien las tecnologías de cifrado de base de datos pueden cumplir con los requerimientos específicos y tácticos, no permiten a las empresas resolver cuestiones de seguridad en entornos heterogéneos. Como resultado, pueden dejar a las empresas con importantes lagunas de seguridad.

Obtenga más información:

Cifrado de la aplicación

Cuando se utiliza este enfoque, se agrega la lógica de la aplicación para controlar el cifrado o la tokenización de los datos desde el interior de la aplicación.

Ventajas:

  • Protege susgrupos específicos de datos, como por ejemplo los campos en la base de datos.
  • El cifrado y descifrado ocurren en la capa de aplicación, lo que significa que los datos pueden cifrarse antes de su transmisión y almacenamiento.
  • Ofrece el mayor nivel de seguridad y brinda protección contra los administradores de base de datos maliciosos y ataques de inyección SQL.
  • La tokenización también puede reducir de manera significativa los costos de cumplimiento de PCI DSS y gastos generales.

Limitaciones:

  • Estos enfoques deben integrarse con la aplicación, y por ende necesitan trabajos de desarrollo y recursos.

En síntesis:

  • Estos enfoques pueden servir en los casos en que las políticas de seguridad o las exigencias de cumplimiento requiran la protección de grupos específicos de datos. Además, las variantes de cifrado de capa de aplicación, incluidos la tokenización y el cifrado de protección del formato ayudan a reducir el impacto en las bases de datos.
  • Busque soluciones con Interfaces de programación de aplicaciones basadas en estándares bien documentados y códigos de muestra para simplificar el desarrollo de la aplicación.

Obtenga más información:

  • Soluciones de Vormetric importantes:

Application Encryption

ANALYST REPORT

Encryption as an Enterprise Strategy

Vormetric Data Security Platform

Offers survey results and analysis on creating an enterprise-wide encryption strategy.  

Download >>

ANALYST REPORT

Selecting Encryption for “Data-At-Rest” In Back-End Systems: What Risks Are You Trying To Address

Vormetric Data Security Platform

Provides actionable information that can help you secure your most crucial asset, your data.  

Download >>

ANALYST REPORT

Encryption Architecture

Cracking the Confusion: Encryption and Tokenization for Data Centers, Servers and Applications by Securosis

Download >>

WEBCASTS

Encryption Architecture

The Right Tools for the Job: Encryption for Data-at-Rest in Back-End Systems

Watch Now >>

The Vormetric Digital Digest on Data Security

Customer and Partner Success

  • Rackspace Cloud Partners
  • McKesson
  • AWS
  • Google Compute Engine
  • Microsoft
  • IBM
  • CenturyLink
  • QTS
  • Teleperformance Secures
  • Delta Dental