Transparent Data Encryption OpenEdge 10.2B

Содержание

Слайд 2

Зачем необходимо шифрование базы данных?

Защита бизнеса (примерно 65% компаний становятся банкротами вследствие

Зачем необходимо шифрование базы данных? Защита бизнеса (примерно 65% компаний становятся банкротами
утраты 20% служебной информации)
Соблюдение законов

Слайд 3

Зачем необходимо шифрование базы данных?

Зачем необходимо шифрование базы данных?

Слайд 4

Что такое TDE?

Прозрачность
Без изменения приложения
Без перезагрузки данных
Гибкость
Шифрование конкретный объектов в области SAT-II
Шифрование

Что такое TDE? Прозрачность Без изменения приложения Без перезагрузки данных Гибкость Шифрование
конкретной области SAT-I
Шифрование блоков на диске
Безопасность
Поддержка хранилища ключей
Ограниченный доступ к физическим данным
Часть стратегии безопасности

Слайд 5

OpenEdge TDE:

Доступен начиная с 10.2В
Отдельный продукт
Лицензируется отдельно
Необходима Enterprise лицензия

OpenEdge TDE: Доступен начиная с 10.2В Отдельный продукт Лицензируется отдельно Необходима Enterprise лицензия

Слайд 6

Как работает TDE?

Как работает TDE?

Слайд 7

Как работает TDE?

Encrypt

Decrypt

&

Key Store

Policy Area

Read I/O

Write I/O

Key Store
Database Master Key
Admin/User Passphrase
Manual/Automatic Authentication
Encryption

Как работает TDE? Encrypt Decrypt & Key Store Policy Area Read I/O
Policy Area
Encryption Policy – Что (объект) и Как (Шифр)

Слайд 8

Уникальное название
Имя файла:
Содержит Database Master Key (DMK)
Обеспечивает уникальность зашифрованных

Уникальное название Имя файла: Содержит Database Master Key (DMK) Обеспечивает уникальность зашифрованных
данных
Обеспечивает безопасность DMK
Хранилище отделено от базы данных
Защита доступа к хранилищу на основе Passphrase
Не входит в состав резервной копии (PROBKUP)

The Key Store

Your database backup is not complete until you have made an OS backup or copy of your keystore. (15525)

Почему?

Слайд 9

Правила формирования Passphrase

Количество символов: от 8 до 2048
Набор символов: [a-zA-Z0-9]!@#$%^& *()_+-{}[]|\,./<>?;:
Минимальное

Правила формирования Passphrase Количество символов: от 8 до 2048 Набор символов: [a-zA-Z0-9]!@#$%^&
количество целочисленных символов: 1
Минимальное количество буквенных символов: 2
Минимальное количество символов пунктуации: 1
Максимальное количество повторяющихся символов: 0
Использование верхнего и нижнего регистра: Да
Чувствительность к регистру: Да

Слайд 10

Шифры DMK

Шифры DMK

Слайд 11

The Encryption Policy

Содержимое политики шифрования
Объекты шифрования
Таблица, Индекс, LOB (SAT-II)
Область хранения

The Encryption Policy Содержимое политики шифрования Объекты шифрования Таблица, Индекс, LOB (SAT-II)
(SAT-I)
AI/BI
Шифр
Алгоритм
Длина ключа
Безопасность
Отдельная область хранения (Encryption Policy Area)
Защита от прямого доступа
Обслуживание
EPOLICY MANAGE, Data Admin, OpenEdge SQL DDL
Добавление, удаление, изменение ключа или шифра в online

Слайд 12

Шифры политик шифрования

Шифры политик шифрования

Слайд 13

Выбор шифра

Политика безопасности

Баланс между надежностью и производительностью

Выбор шифра Политика безопасности Баланс между надежностью и производительностью

Слайд 14

Шаг №1: Включение шифрования.

Создайте новую область хранения SAT-II
e “Encryption Policy Area”:12,32;64 .

Шаг №1: Включение шифрования. Создайте новую область хранения SAT-II e “Encryption Policy
f 1024
e .
С помощью PROSTRC ADD/ADDONLINE добавьте область в базу
prostrct add mydb encrypt.st
Обновите структурный файл базы данных
prostrct list mydb

Слайд 15

Шаг №2: Включение шифрования.

proutil -C enableencryption
[-Cipher ]
[-Autostart]
[-biencryption enable

Шаг №2: Включение шифрования. proutil -C enableencryption [-Cipher ] [-Autostart] [-biencryption enable
| disable]
[-aiencryption enable | disable]

Будет усечен BI файл (offline)
Будет создано хранилище ключей .ks
В область Encryption Policy Area будет загружена схема
Будет запрошен Passphrase (User/Admin)
Сгенерирован DMK
Сгенерированы ключи для AI и BI, если не указано обратное
Настроен Autostart
Manual/Automatic
Появится возможность создания политик шифрования
Шифрование данных не происходит!

Слайд 16

Включение шифрования. Шаг №3.

Способы создания политик шифрования
EPOLICY MANAGE
Data Admin
OpenEdge SQL DDL

Включение шифрования. Шаг №3. Способы создания политик шифрования EPOLICY MANAGE Data Admin OpenEdge SQL DDL

Слайд 17

Шаг №3: Epolicy Manage

proutil -C epolicy manage
encrypt | cipher

Шаг №3: Epolicy Manage proutil -C epolicy manage encrypt | cipher |
| rekey
-Cipher < num >
----------------------------------------------------------------------------------------------------------------------------------------------------------
$ proutil sports -C epolicy manage area encrypt "TestArea1"
Encryption policy setting for Area TestArea1 in Area 7 (15504)
Cipher specification setting to AES_CBC_128 completed. (15491)
----------------------------------------------------------------------------------------------------------------------------------------------------------
$ proutil sports -C epolicy scan area "TestArea1"
OpenEdge Release 10.2B1B as of Thu Jul 30 19:00:21 EDT 2009
AREA TestArea1 / 7 CURRENT AES_CBC_128 V:0 79 of 1784 blocks encrypted
----------------------------------------------------------------------------------------------------------------------------------------------------------
$ proutil sports -C epolicy manage area update "TestArea1"
OpenEdge Release 10.2B1B as of Thu Jul 30 19:00:21 EDT 2009
AREA TestArea1 / 7 CURRENT AES_CBC_128 V:0 1705 of 1784 blocks encrypted
----------------------------------------------------------------------------------------------------------------------------------------------------------

Шифрование области (object-type = Area) доступно только для SAT-I
Объекты Table, Index, LOB должны размещаться в области SAT-II
Данные могут быть зашифрованы тремя способами:
Естественный процесс шифрования
Dump & Load
PROUTIL EPOLICY MANAGE UPDATE

Слайд 18

Шаг №3: Data Admin

Меню: Admin -> Security -> Encryption Policies -> Edit

Шаг №3: Data Admin Меню: Admin -> Security -> Encryption Policies ->
Encryption Policy

Только для SAT-II
Только для PUB схемы
Для более чем одного объекта
Только локальный доступ
Шифрование:
Естественное
D&L
EPOLICY UPDATE

Слайд 19

Шаг №3: OpenEdge SQL DDL

CREATE TABLE PUB.enctab1
(encid int, encdes int, encdt

Шаг №3: OpenEdge SQL DDL CREATE TABLE PUB.enctab1 (encid int, encdes int,
varchar(25))
AREA "TestArea2"
ENCRYPT WITH 'AES_CBC_192';
COMMIT;

CREATE INDEX idx1
ON PUB.ENCTAB1
(encid ASC)
AREA "TestArea2"
ENCRYPT WITH 'AES_CBC_192';
COMMIT;

ALTER TABLE PUB.ENCTAB1
SET ENCRYPT WITH 'AES_CBC_128';
COMMIT;

ALTER TABLE PUB.ENCTAB1
SET ENCRYPT REKEY;
COMMIT;

ALTER TABLE PUB.ENCTAB1
SET DECRYPT;
COMMIT;

$ proutil sports -C epolicy manage table update ENCTAB1

Слайд 20

Шаг №3: Data Definition File (.df)

ADD TABLE "ENCTAB1"
AREA "TestArea2"
DUMP-NAME "ENCTAB1"
ADD

Шаг №3: Data Definition File (.df) ADD TABLE "ENCTAB1" AREA "TestArea2" DUMP-NAME
FIELD "ENCID" OF "ENCTAB1" AS integer
FORMAT "->,>>>,>>9"
INITIAL "?"
POSITION 2
MAX-WIDTH 4
ORDER 10
ADD FIELD "ENCDT" OF "ENCTAB1" AS character
FORMAT "x(8)"
INITIAL "?"
POSITION 4
MAX-WIDTH 25
LENGTH 0
ORDER 30
CASE-SENSITIVE
ADD INDEX "IDX1" ON "ENCTAB1"
AREA "TestArea2"
PRIMARY
INDEX-FIELD "ENCID" ASCENDING
UPDATE TABLE "ENCTAB1"
ENCRYPTION YES
CIPHER-NAME AES_CBC_192
.
PSC
encpolicy=yes
cpstream=ibm866
.
0000000605

UPDATE TABLE
ENCRYPTION YES
CIPHER-NAME <полное название шифра>
DEFINITION TRAILER
encpolicy=yes

Слайд 21

TDE и OpenEdge Replication

TDE для Source и Target базы данных должен быть

TDE и OpenEdge Replication TDE для Source и Target базы данных должен
включен
Шифрование BI для Target только после пересоздания Target
Шифрование AI для Target включается автоматически Агентом репликации
Номера областей Encryption Policy Area должны быть одинаковыми
Хранилище ключей (dbname.ks), копируется с Source базы данных

Слайд 22

TDE и OpenEdge Replication

TDE для базы с OE Replication offline / online
Остановить

TDE и OpenEdge Replication TDE для базы с OE Replication offline /
Target базу данных
Добавить область Encryption Policy Area в Source и Target базы
Включить шифрование на Source базе
Настроить политики шифрования на Source базе
Скопировать хранилище ключей (dbname.ks) с Source на Target
Старт:
Source и Target базы данных.
Target

Слайд 23

proutil -C epolicy manage object-type cipher object-name -Cipher 0
proutil -C

proutil -C epolicy manage object-type cipher object-name -Cipher 0 proutil -C epolicy
epolicy manage object-type update object-name

Выключение TDE

proutil -C disableencryption
[-Passphrase]
[
[-userid userid]
[-password password]
]

Отключается шифрование BI (только в offline)
Отключается шифрование AI
Все данные расшифровываются
Удаляются все политики шифрования
Архивируется хранилище ключей, файл .ks переименовывается в .ksbk.

Слайд 24

Производительность

Показания Buffer Hit Rate
Увеличьте Буферный пул (-B)
Используйте Альтернативный буферный пул для зашифрованных

Производительность Показания Buffer Hit Rate Увеличьте Буферный пул (-B) Используйте Альтернативный буферный
объектов (-B2)
Нормализация данных
Отделите конфиденциальную информацию от обычной
Используйте область с типом SAT-II
Тщательно выбирайте индексы для шифрования
Тщательно выбирайте шифр (алгоритм + длина ключа)
Баланс между безопасностью и производительностью
Имя файла: Transparent-Data-Encryption-OpenEdge-10.2B.pptx
Количество просмотров: 166
Количество скачиваний: 0
- Предыдущая
Доклад Белозерова Александра Владимировича начальника отдела по взаимодействию с правоохранительными органами департамента ре
Следующая -
ПЕРМСКИЙ КАДЕТСКИЙ КОРПУС

Похожие презентации

Что такое Декоративно - прикладное искусство
Предлагается Вашему вниманию комфортабельные помещения
Практика на предприятии кулинарии
Производственная кооперация
Оказание услуг как объект гражданских прав. Отличие данного объекта от иных объектов гражданских прав
Печенье. Классификация
Добро пожаловать в Хогвартс!
Брожения. Типы жизни, основанные на субстратном фосфорилировании
Что есть красота?
Географическая оболочка
ФСС РФ
Страны Западной Европы и США в 1918 -1939
Гавриил Романович Державин (1743 – 1816)
Группа «Эффективные модели обновления систем повышения квалификации и аттестации педагогических работников»
Нефть. Добыча. Использование
Микеланджело Буонаротти
Настроение и эмоции. Эмоции и чувства. Боязнь, фобия
Основная проблема разработки двухфазных залежей. Лекция 2
Электрические сети
Информационные технологии в журналистикеИнтернет – телевидение(IPTV)
Теория и практика перевода с английского
Сетевой инженерный хакатон
Константин Эдуардович Циолковский
Спектральный анализ
Геометрические построения
МОДЕРНИЗАЦИЯ УСТРОЙСТВА ДЛЯ КОРРЕКЦИИ ФУНКЦИОНАЛЬНЫХ СИСТЕМ ОРГАНИЗМА ЧЕЛОВЕКА (метод Тетериной Т.П.) Автор проекта: Федоров Иль
Музеи России
0ab41c66e037f0d2f7c7ce942f5e0967bcfa960f-1663933091827
LiveInternet
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть