Verbessern der Datensicherheit durch SQL Server 2005 Verwenden der SQL Server 2005- Verschlüsselung...

Click here to load reader

  • date post

    05-Apr-2015
  • Category

    Documents

  • view

    105
  • download

    2

Embed Size (px)

Transcript of Verbessern der Datensicherheit durch SQL Server 2005 Verwenden der SQL Server 2005- Verschlüsselung...

  • Folie 1
  • Verbessern der Datensicherheit durch SQL Server 2005 Verwenden der SQL Server 2005- Verschlsselung zum Schutz von Daten Verffentlicht: Oktober 2005
  • Folie 2
  • berblick Situation Microsoft IT hat eine Neubewertung der Datenbanksicherheits- Frameworks vorgenommen Lsung SQL Server 2005 Vorteile Einfache Verwendung, robustes Framework zur Schlsselverwaltung Verschlsselung vertraulicher Daten in Anwendungen Entschlsselung von Daten in einer Sicht Vereinfachte Datenverschlsselung
  • Folie 3
  • Produkte und Technologien SQL Server 2005
  • Folie 4
  • berblick ber gesetzliche Anforderungen Microsoft-Sicherheitsframeworks mssen den in den USA geltenden staatlichen und bundesstaatlichen sowie den entsprechenden internationalen Gesetzen zur Speicherung persnlicher Daten gengen Die Anforderungen betreffen mehrere Datenbankoperationen
  • Folie 5
  • bersicht ber die Datenverschlsselung Normalerweise stellt die Datenverschlsselung die letzte Sicherheitsbarriere fr vertrauliche Daten dar Verschlsselung erhht die Prozessorlast und verbraucht Speicherplatz Verschlsselung bentigt eine Schlsselverwaltung Symmetrische Verschlsselung: Ist schnell Verwendet einen einzelnen Schlssel Nichtabstreitbarkeit steht nicht zur Verfgung
  • Folie 6
  • bersicht ber die Datenverschlsselung Asymmetrische Verschlsselung: Verwendet ein Schlsselpaar Ist langsamer als symmetrische Verschlsselung Vertraulichkeit und Nichtabstreitbarkeit stehen zur Verfgung Kombinierte Verschlsselung: Nutzt die Vorteile der Geschwindigkeit von symmetrischer Verschlsselung und der erhhten Sicherheit von asymmetrischer Verschlsselung
  • Folie 7
  • Anwendungsumgebung Microsoft IT aktualisiert alle datenbankbezogenen LOB-Anwendungen auf SQL Server 2005 Analysen von Datenbankspeicherlsungen wurden den gesetzlichen Anforderungen sowie den Anforderungen der Informationssicherheit angepasst Drei Datenbanksysteme wurden analysiert
  • Folie 8
  • Lsung: SQL Server 2005-Verschlsselung Enthlt viele Sicherheitsfeatures Untersttzt drei Verschlsselungstypen, von denen jeder mit unterschiedlichen Schlsseln und mehreren Verschlsselungsalgorithmen arbeitet
  • Folie 9
  • Lsung: SQL Server 2005-Verschlsselung
  • Folie 10
  • Anforderungen fr den Ver- und Entschlsselungsprozess: Ein Zertifikat als Verfahren zur Anwendung einer asymmetrischen Verschlsselung Ein asymmetrischer Schlssel Ein symmetrischer Schlssel, der in einer Verschlsselungshierarchie in der richtigen Reihenfolge geffnet werden muss
  • Folie 11
  • FeedStore
  • Folie 12
  • Folie 13
  • FeedStore-Strategie Sensible Daten wurden dupliziert und an mehreren Speicherorten gespeichert Das Verschlsseln von Daten an den einzelnen Speicherorten wre zu kostenaufwendig Das Konsolidieren und Verschlsseln von Daten in einem separaten Speicher war die beste Strategie
  • Folie 14
  • FeedStore-Strategie
  • Folie 15
  • Neukonfiguration des Datenfeeds, um sensible Daten aus Anwendungen zu entfernen, die keinen Zugriff bentigen Neukonfiguration bestimmter Anwendungen, um sensible Daten aus einem separaten, verschlsselten Speicher abzurufen Sensible Daten robust verfgbar halten
  • Folie 16
  • Digital Asset Store-Pilotprojekt Erstellen eines zentralen verschlsselten Speichers mit SQL Server 2005 Erstellen von Geschftsanforderungen und Geschftszielen Klassifizierung aktueller Informationen Planung und berwachung, um sensible Daten fr Anwendungen verfgbar zu halten
  • Folie 17
  • Digital Asset Store-Pilotprojekt Verschiedene Aktionen, die fr sensible Datenelemente und personenbezogene Informationen im LOB-Anwendungsbereich in Bezug auf Feedstore ausgefhrt wurden Herausgeber wurden fr das Senden von sensiblen Daten an den Digital Asset Store konfiguriert
  • Folie 18
  • Digital Asset Store-Pilotprojekt
  • Folie 19
  • Folie 20
  • Folie 21
  • Inline-bersetzung: Einfgen von sensiblen Daten zur Laufzeit in einen zwischen Unternehmen bertragenen Datenfeed Verringert die Anzahl der Instanzen, in der auf sensible Daten zugegriffen werden kann bzw. in der solche Daten gespeichert und bertragen werden knnen Verwendet einen separaten, verschlsselten Speicher fr sensible Daten
  • Folie 22
  • Digital Asset Store-Pilotprojekt
  • Folie 23
  • Folie 24
  • PCRS (Payroll Controls Reporting System)
  • Folie 25
  • Anpassung der PCRS-Anwendung fr die Verwendung der SQL Server 2005- Verschlsselung Implementierung der Verschlsselung in der lokalen PCRS-Datenbank Implementierung eines Datenbankprototyps zum Testen der Sicherung, Verwaltung und Wiederherstellung von Verschlsselungsschlsseln
  • Folie 26
  • PCRS (Payroll Controls Reporting System)
  • Folie 27
  • Schritte zum Erstellen einer einfachen, jedoch robusten SQL Server 2005-Hierarchie fr Verschlsselungschlssel Schritte zum ndern des Datenbankschemas, um sensible Daten in der Tabelle zu verschlsseln Schritte zur Aktualisierung der gespeicherten Prozeduren, um Funktionen fr den Zugriff auf verschlsselte Daten zu verwenden
  • Folie 28
  • PCRS (Payroll Controls Reporting System) Konfiguration von Berechtigungen fr die SQL Server-Rollen Sicherung des Datenbank-Hauptschlssels, des SQL Server 2005-Zertifikats und des symmetrischen Schlssels Sicherung der Datenbank Testen der Datenbank in realen Szenarios
  • Folie 29
  • Metropolis Anwendung besteht aus einem Front-End-Tool, einer XML-basierten zweiten Ebene und einer SQL Server 2005-basierten dritten Ebene DPAPI kann als Sicherheitsmechanismus fr sensible Daten bei Microsoft verwendet werden Administrative, von Services IT erstellte Datenbank zum Speichern von sensiblen Daten fr Metropolis
  • Folie 30
  • Metropolis
  • Folie 31
  • Die Verwendung der DPAPI zum Verschlsseln des Diensthauptschlssels gengt den Sicherheitsanforderungen Das Verschlsselungs-Framework verwendet ein Zertifikat zum digitalen Signieren der gespeicherten Prozedur, die Daten verschlsselt Das Zertifikat ermglicht die Konfiguration eines Berechtigungs-Frameworks
  • Folie 32
  • Bewhrte Methoden Schlsselverwaltung als entscheidendes Element eines Verschlsselungs- Frameworks Schlsselgenerierung Schlsselverwendung Schlsselsicherung Schlsselwiederherstellung
  • Folie 33
  • Bewhrte Methoden Beschrnken der Verschlsselung auf vertrauliche Daten Bercksichtigung der leistungsbezogenen Auswirkungen der Verschlsselung Prfen, ob eine externe Quelle Zugriff auf verschlsselte Daten bentigt Bercksichtigen, dass verschlsselter Text mehr Speicherplatz als Klartext bentigt
  • Folie 34
  • Schlussbemerkung Das Sicherheits-Framework wurde im LOB- Anwendungsbereich von Microsoft IT neu bewertet Das Verschlsselungs-Framework und das Digital Asset Store-Pilotprojekt haben die FeedStore-Sicherheit verbessert Mechanismen zur Schlsselverwaltung und die SQL Server 2005-Verschlsselung auf Spaltenebene haben die Datensicherheit bei Microsoft verbessert
  • Folie 35
  • Weitere Informationen Weitere Informationen zu Microsoft IT- Bereitstellungen und bewhrten Methoden finden Sie in englischer Sprache auf http://www.microsoft.com. Microsoft TechNet http://www.microsoft.com/technet/itshowcase http://www.microsoft.com/technet/itshowcase Fallstudien-Ressourcen von Microsoft http://www.microsoft.com/resources/casestudies http://www.microsoft.com/resources/casestudies
  • Folie 36
  • Dieses Dokument dient nur zu Informationszwecken. MICROSOFT SCHLIESST FR DIESES DOKUMENT JEDE GARANTIE AUS, SEI SIE AUSDRCKLICH ODER KONKLUDENT. 2005 Microsoft Corporation. Alle Rechte vorbehalten. Diese Prsentation dient nur zu Informationszwecken. MICROSOFT SCHLIESST FR DIESE ZUSAMMENFASSUNG JEDE GARANTIE AUS, SEI SIE AUSDRCKLICH ODER KONKLUDENT. Microsoft, Excel, Win32 und Windows sind entweder eingetragene Marken oder Marken der Microsoft Corporation in den USA und/oder anderen Lndern. Die in diesem Dokument aufgefhrten Namen von tatschlichen Unternehmen und Produkten knnen geschtzte Marken ihrer jeweiligen Eigentmer sein.