Transparent Data Encryption OpenEdge 10.2B

Февраль 19, 2021

Главная
Разное
Transparent Data Encryption OpenEdge 10.2B

Содержание

2. Зачем необходимо шифрование базы данных? Защита бизнеса (примерно 65% компаний становятся банкротами вследствие утраты 20% служебной
3. Зачем необходимо шифрование базы данных?
4. Что такое TDE? Прозрачность Без изменения приложения Без перезагрузки данных Гибкость Шифрование конкретный объектов в области
5. OpenEdge TDE: Доступен начиная с 10.2В Отдельный продукт Лицензируется отдельно Необходима Enterprise лицензия
6. Как работает TDE?
7. Как работает TDE? Encrypt Decrypt & Key Store Policy Area Read I/O Write I/O Key Store
8. Уникальное название Имя файла: Содержит Database Master Key (DMK) Обеспечивает уникальность зашифрованных данных Обеспечивает безопасность DMK
9. Правила формирования Passphrase Количество символов: от 8 до 2048 Набор символов: [a-zA-Z0-9]!@#$%^& *()_+-{}[]|\,./ ?;: Минимальное количество
10. Шифры DMK
11. The Encryption Policy Содержимое политики шифрования Объекты шифрования Таблица, Индекс, LOB (SAT-II) Область хранения (SAT-I) AI/BI
12. Шифры политик шифрования
13. Выбор шифра Политика безопасности Баланс между надежностью и производительностью
14. Шаг №1: Включение шифрования. Создайте новую область хранения SAT-II e “Encryption Policy Area”:12,32;64 . f 1024
15. Шаг №2: Включение шифрования. proutil -C enableencryption [-Cipher ] [-Autostart] [-biencryption enable | disable] [-aiencryption enable
16. Включение шифрования. Шаг №3. Способы создания политик шифрования EPOLICY MANAGE Data Admin OpenEdge SQL DDL
17. Шаг №3: Epolicy Manage proutil -C epolicy manage encrypt | cipher | rekey -Cipher ---------------------------------------------------------------------------------------------------------------------------------------------------------- $
18. Шаг №3: Data Admin Меню: Admin -> Security -> Encryption Policies -> Edit Encryption Policy Только
19. Шаг №3: OpenEdge SQL DDL CREATE TABLE PUB.enctab1 (encid int, encdes int, encdt varchar(25)) AREA "TestArea2"
20. Шаг №3: Data Definition File (.df) ADD TABLE "ENCTAB1" AREA "TestArea2" DUMP-NAME "ENCTAB1" ADD FIELD "ENCID"
21. TDE и OpenEdge Replication TDE для Source и Target базы данных должен быть включен Шифрование BI
22. TDE и OpenEdge Replication TDE для базы с OE Replication offline / online Остановить Target базу
23. proutil -C epolicy manage object-type cipher object-name -Cipher 0 proutil -C epolicy manage object-type update object-name
24. Производительность Показания Buffer Hit Rate Увеличьте Буферный пул (-B) Используйте Альтернативный буферный пул для зашифрованных объектов
26. Скачать презентацию

Зачем необходимо шифрование базы данных?
Защита бизнеса (примерно 65% компаний становятся банкротами вследствие

утраты 20% служебной информации)
Соблюдение законов

Зачем необходимо шифрование базы данных?

Что такое TDE?
Прозрачность
Без изменения приложения
Без перезагрузки данных
Гибкость
Шифрование конкретный объектов в области SAT-II
Шифрование

конкретной области SAT-I
Шифрование блоков на диске
Безопасность
Поддержка хранилища ключей
Ограниченный доступ к физическим данным
Часть стратегии безопасности

OpenEdge TDE:
Доступен начиная с 10.2В
Отдельный продукт
Лицензируется отдельно
Необходима Enterprise лицензия

Как работает TDE?

Как работает TDE?
Encrypt
Decrypt
&
Key Store
Policy Area
Read I/O
Write I/O
Key Store
Database Master Key
Admin/User Passphrase
Manual/Automatic Authentication
Encryption

Policy Area
Encryption Policy – Что (объект) и Как (Шифр)

Уникальное название
Имя файла:
Содержит Database Master Key (DMK)
Обеспечивает уникальность зашифрованных

данных
Обеспечивает безопасность DMK
Хранилище отделено от базы данных
Защита доступа к хранилищу на основе Passphrase
Не входит в состав резервной копии (PROBKUP)

The Key Store

Your database backup is not complete until you have made an OS backup or copy of your keystore. (15525)

Почему?

Правила формирования Passphrase
Количество символов: от 8 до 2048
Набор символов: [a-zA-Z0-9]!@#$%^& *()_+-{}[]|\,./<>?;:
Минимальное

количество целочисленных символов: 1
Минимальное количество буквенных символов: 2
Минимальное количество символов пунктуации: 1
Максимальное количество повторяющихся символов: 0
Использование верхнего и нижнего регистра: Да
Чувствительность к регистру: Да

Слайд 10

Шифры DMK

Слайд 11

The Encryption Policy
Содержимое политики шифрования
Объекты шифрования
Таблица, Индекс, LOB (SAT-II)
Область хранения

(SAT-I)
AI/BI
Шифр
Алгоритм
Длина ключа
Безопасность
Отдельная область хранения (Encryption Policy Area)
Защита от прямого доступа
Обслуживание
EPOLICY MANAGE, Data Admin, OpenEdge SQL DDL
Добавление, удаление, изменение ключа или шифра в online

Слайд 12

Шифры политик шифрования

Слайд 13

Выбор шифра
Политика безопасности
Баланс между надежностью и производительностью

Слайд 14

Шаг №1: Включение шифрования.
Создайте новую область хранения SAT-II
e “Encryption Policy Area”:12,32;64 .

f 1024
e .
С помощью PROSTRC ADD/ADDONLINE добавьте область в базу
prostrct add mydb encrypt.st
Обновите структурный файл базы данных
prostrct list mydb

Слайд 15

Шаг №2: Включение шифрования.
proutil -C enableencryption
[-Cipher ]
[-Autostart]
[-biencryption enable

| disable]
[-aiencryption enable | disable]

Будет усечен BI файл (offline)
Будет создано хранилище ключей .ks
В область Encryption Policy Area будет загружена схема
Будет запрошен Passphrase (User/Admin)
Сгенерирован DMK
Сгенерированы ключи для AI и BI, если не указано обратное
Настроен Autostart
Manual/Automatic
Появится возможность создания политик шифрования
Шифрование данных не происходит!

Слайд 16

Включение шифрования. Шаг №3.
Способы создания политик шифрования
EPOLICY MANAGE
Data Admin
OpenEdge SQL DDL

Слайд 17

Шаг №3: Epolicy Manage
proutil -C epolicy manage
encrypt | cipher

| rekey
-Cipher < num >
----------------------------------------------------------------------------------------------------------------------------------------------------------
$ proutil sports -C epolicy manage area encrypt "TestArea1"
Encryption policy setting for Area TestArea1 in Area 7 (15504)
Cipher specification setting to AES_CBC_128 completed. (15491)
----------------------------------------------------------------------------------------------------------------------------------------------------------
$ proutil sports -C epolicy scan area "TestArea1"
OpenEdge Release 10.2B1B as of Thu Jul 30 19:00:21 EDT 2009
AREA TestArea1 / 7 CURRENT AES_CBC_128 V:0 79 of 1784 blocks encrypted
----------------------------------------------------------------------------------------------------------------------------------------------------------
$ proutil sports -C epolicy manage area update "TestArea1"
OpenEdge Release 10.2B1B as of Thu Jul 30 19:00:21 EDT 2009
AREA TestArea1 / 7 CURRENT AES_CBC_128 V:0 1705 of 1784 blocks encrypted
----------------------------------------------------------------------------------------------------------------------------------------------------------

Шифрование области (object-type = Area) доступно только для SAT-I
Объекты Table, Index, LOB должны размещаться в области SAT-II
Данные могут быть зашифрованы тремя способами:
Естественный процесс шифрования
Dump & Load
PROUTIL EPOLICY MANAGE UPDATE

Слайд 18

Шаг №3: Data Admin
Меню: Admin -> Security -> Encryption Policies -> Edit

Encryption Policy

Только для SAT-II
Только для PUB схемы
Для более чем одного объекта
Только локальный доступ
Шифрование:
Естественное
D&L
EPOLICY UPDATE

Слайд 19

Шаг №3: OpenEdge SQL DDL
CREATE TABLE PUB.enctab1
(encid int, encdes int, encdt

varchar(25))
AREA "TestArea2"
ENCRYPT WITH 'AES_CBC_192';
COMMIT;

CREATE INDEX idx1
ON PUB.ENCTAB1
(encid ASC)
AREA "TestArea2"
ENCRYPT WITH 'AES_CBC_192';
COMMIT;

ALTER TABLE PUB.ENCTAB1
SET ENCRYPT WITH 'AES_CBC_128';
COMMIT;

ALTER TABLE PUB.ENCTAB1
SET ENCRYPT REKEY;
COMMIT;

ALTER TABLE PUB.ENCTAB1
SET DECRYPT;
COMMIT;

$ proutil sports -C epolicy manage table update ENCTAB1

Слайд 20

Шаг №3: Data Definition File (.df)
ADD TABLE "ENCTAB1"
AREA "TestArea2"
DUMP-NAME "ENCTAB1"
ADD

FIELD "ENCID" OF "ENCTAB1" AS integer
FORMAT "->,>>>,>>9"
INITIAL "?"
POSITION 2
MAX-WIDTH 4
ORDER 10
ADD FIELD "ENCDT" OF "ENCTAB1" AS character
FORMAT "x(8)"
INITIAL "?"
POSITION 4
MAX-WIDTH 25
LENGTH 0
ORDER 30
CASE-SENSITIVE
ADD INDEX "IDX1" ON "ENCTAB1"
AREA "TestArea2"
PRIMARY
INDEX-FIELD "ENCID" ASCENDING
UPDATE TABLE "ENCTAB1"
ENCRYPTION YES
CIPHER-NAME AES_CBC_192
.
PSC
encpolicy=yes
cpstream=ibm866
.
0000000605

UPDATE TABLE
ENCRYPTION YES
CIPHER-NAME <полное название шифра>
DEFINITION TRAILER
encpolicy=yes

Слайд 21

TDE и OpenEdge Replication
TDE для Source и Target базы данных должен быть

включен
Шифрование BI для Target только после пересоздания Target
Шифрование AI для Target включается автоматически Агентом репликации
Номера областей Encryption Policy Area должны быть одинаковыми
Хранилище ключей (dbname.ks), копируется с Source базы данных

Слайд 22

TDE и OpenEdge Replication
TDE для базы с OE Replication offline / online
Остановить

Target базу данных
Добавить область Encryption Policy Area в Source и Target базы
Включить шифрование на Source базе
Настроить политики шифрования на Source базе
Скопировать хранилище ключей (dbname.ks) с Source на Target
Старт:
Source и Target базы данных.
Target

Слайд 23

proutil -C epolicy manage object-type cipher object-name -Cipher 0
proutil -C

epolicy manage object-type update object-name

Выключение TDE

proutil -C disableencryption
[-Passphrase]
[
[-userid userid]
[-password password]
]

Отключается шифрование BI (только в offline)
Отключается шифрование AI
Все данные расшифровываются
Удаляются все политики шифрования
Архивируется хранилище ключей, файл .ks переименовывается в .ksbk.

Слайд 24

Производительность
Показания Buffer Hit Rate
Увеличьте Буферный пул (-B)
Используйте Альтернативный буферный пул для зашифрованных

объектов (-B2)
Нормализация данных
Отделите конфиденциальную информацию от обычной
Используйте область с типом SAT-II
Тщательно выбирайте индексы для шифрования
Тщательно выбирайте шифр (алгоритм + длина ключа)
Баланс между безопасностью и производительностью

Transparent Data Encryption OpenEdge 10.2B

Содержание

Зачем необходимо шифрование базы данных?Защита бизнеса (примерно 65% компаний становятся банкротами вследствие

Зачем необходимо шифрование базы данных?

Что такое TDE?ПрозрачностьБез изменения приложенияБез перезагрузки данныхГибкостьШифрование конкретный объектов в области SAT-IIШифрование

OpenEdge TDE:Доступен начиная с 10.2ВОтдельный продуктЛицензируется отдельноНеобходима Enterprise лицензия

Как работает TDE?

Как работает TDE?EncryptDecrypt&Key StorePolicy AreaRead I/OWrite I/OKey StoreDatabase Master KeyAdmin/User PassphraseManual/Automatic AuthenticationEncryption

Уникальное название Имя файла: Содержит Database Master Key (DMK) Обеспечивает уникальность зашифрованных

Правила формирования Passphrase Количество символов: от 8 до 2048Набор символов: [a-zA-Z0-9]!@#$%^& *()_+-{}[]|\,./<>?;:Минимальное

Шифры DMK

The Encryption Policy Содержимое политики шифрования Объекты шифрованияТаблица, Индекс, LOB (SAT-II)Область хранения

Шифры политик шифрования

Выбор шифра Политика безопасностиБаланс между надежностью и производительностью

Шаг №1: Включение шифрования.Создайте новую область хранения SAT-IIe “Encryption Policy Area”:12,32;64 .

Шаг №2: Включение шифрования.proutil -C enableencryption [-Cipher ] [-Autostart] [-biencryption enable

Включение шифрования. Шаг №3.Способы создания политик шифрованияEPOLICY MANAGEData AdminOpenEdge SQL DDL

Шаг №3: Epolicy Manageproutil -C epolicy manage encrypt | cipher

Шаг №3: Data AdminМеню: Admin -> Security -> Encryption Policies -> Edit

Шаг №3: OpenEdge SQL DDLCREATE TABLE PUB.enctab1 (encid int, encdes int, encdt

Шаг №3: Data Definition File (.df)ADD TABLE "ENCTAB1" AREA "TestArea2" DUMP-NAME "ENCTAB1"ADD

TDE и OpenEdge ReplicationTDE для Source и Target базы данных должен быть

TDE и OpenEdge ReplicationTDE для базы с OE Replication offline / onlineОстановить

proutil -C epolicy manage object-type cipher object-name -Cipher 0proutil -C

ПроизводительностьПоказания Buffer Hit RateУвеличьте Буферный пул (-B)Используйте Альтернативный буферный пул для зашифрованных

Похожие презентации