Sécurité des données: authentification, autorisation et cryptage

En savoir plus sur la sécurité d'entreprise, y compris l'authentification, la communication cryptée, l'autorisation et l'audit des données.

Notre récent webinar, Sécurité d'entreprise dans l'accès aux données présente les implémentations de sécurité dans l'accès aux données paysage. La sécurité est bien plus que la boîte de connexion de l'ID utilisateur et du mot de passe que nous connaissons tous. Dans un paysage d'entreprise, la sécurité englobe l'authentification, la communication cryptée, l'autorisation et l'audit des données. Chacun de ces domaines a un large éventail de technologies et de défis à relever.

Pour en savoir plus sur ce sujet, rencontrons Brian Derwart. Brian est Product Owner en Recherche et Développement chez Progress. Il travaille sur les produits DataDirect depuis 1999. Brian possède une grande expertise dans le domaine du protocole fil de conducteur et de la communication réseau pour les bases de données relationnelles et NoSQL sur site et dans le cloud.

Discutons de quelques questions que Brian a abordées lors de notre récent webinaire sur les technologies impliquées dans l'authentification, le cryptage, l'autorisation et l'audit de données

Entretien avec Brian Derwart

Merci de nous avoir rejoint Brian Il se passe beaucoup de choses dans le graphique ci-dessus (lecteurs: cliquez pour agrandir), alors commençons par l'authentification.

Brian Derwart: Quand il s'agit de vérifier l'identité de l'utilisateur, il faut d'abord tenir compte de vos besoins: l'envoi de mots de passe sur le réseau peut être acceptable dans un environnement de développement derrière un pare-feu. probablement assez sécurisé dans un environnement d'accès aux données basé sur la production ou sur le cloud.Vous pouvez souhaiter accéder à des services cloud dans lesquels votre identité est vérifiée à l'aide de deux méthodes ou plus, appelées deux faits. ou ou authentification multi-facteurs. Une alternative plus sûre consiste à utiliser Kerberos. Kerberos est un protocole d'authentification de réseau informatique qui utilise des tickets pour permettre aux nœuds qui communiquent sur un réseau non sécurisé de prouver leur identité les uns aux autres de manière sécurisée. Windows Active Directory utilise Kerberos comme mécanisme d'authentification par défaut et, bien qu'Active Directory simplifie ce processus d'attribution de tickets, la gestion des tickets d'utilisateur et de service dans les environnements de serveurs Web et d'applications dans lesquels vous disposez de plusieurs niveaux est surchargée. Il y a de nombreux choix d'implémentation à effectuer dans l'authentification.

En quoi l'autorisation est-elle différente de l'authentification?

Brian Derwart: L'authentification est de savoir qui est l'utilisateur, l'autorisation est ce que l'utilisateur est autorisé à faire une fois connecté dans le système. Nous avons une autorisation de niveau de service, où la base de données elle-même est le service, et les autorisations peuvent être définies avec un annuaire actif ou sur LDAP pour savoir si les utilisateurs ont accès à ce service de base de données. Dans la base de données, nous pouvons définir des autorisations d'utilisateur ou des autorisations basées sur des rôles. Ces autorisations peuvent être au niveau de la base de données, au niveau de la table et au niveau des colonnes, et autoriser l'accès en lecture-écriture par rapport à l'autorisation en lecture seule ou métadonnées uniquement.

Sur le webinaire, nous allons utiliser OAuth comme exemple. OAuth est un protocole d'autorisation plutôt qu'un protocole d'authentification. Le processus OAuth inclut plusieurs types d'authentification, mais l'existence de ces événements d'authentification dans le protocole OAuth ne se traduit pas par le fait que le protocole OAuth peut lui-même transmettre l'authentification de manière fiable. Afin de fournir une authentification en plus de cette autorisation fournie par OAuth, OpenID vous permet d'utiliser un compte existant pour vous connecter à plusieurs sites Web sans avoir besoin de créer de nouveaux mots de passe.

Comment le masquage de données entre-t-il en jeu?

Brian Derwart : Le masquage de données est la transmission de données sensibles. à l'utilisateur est masqué. Par exemple, même si vos utilisateurs peuvent interroger des données qui incluent un numéro de sécurité sociale, vous ne souhaitez généralement pas communiquer tous les numéros de sécurité sociale à tous vos utilisateurs. Vous pouvez donc supprimer tous les chiffres, sauf les quatre derniers. .

Cryptage strictement pour la sécurité du réseau?

Brian Derwart: Le cryptage est critique à la fois lorsque les données sont déplacées sur un réseau et lorsque les données sont au repos . Les technologies les plus fréquentes que nous voyons sur le réseau sont le cryptage SSL et TLS qui négocient un chiffrement pour déterminer comment les données sont cryptées. Un autre moyen de vérifier que les données ont été reçues sans attaque man-in-the-middle est d'utiliser un hachage. Les données elles-mêmes sont hachées et l'intégrité des données est vérifiée au niveau du client en vérifiant que le hachage correspond à un hachage généré sur le côté client. Le cryptage des données au repos n'occupe pas autant d'attention, mais c'est plus important que vous ne le pensez. Même lorsque les données sont stockées sur disque dans la base de données, si les données elles-mêmes sont cryptées et que quiconque accède à cette machine hôte, elles ne voient que des données cryptées et rien ne peut voler car la clé de cryptage n'est pas stockée dans la base de données. 19659003]

Est-ce que le cryptage SSL / TLS ajoute des performances?

Brian Derwart: Avec les problèmes de sécurité du trafic réseau, la communication LDAP peut être cryptée avec SSL ou TLS. Alors que le chiffrement ajoute généralement une surcharge de performances, les connexions des clients au serveur LDAP sont persistantes, de sorte qu'une fois l'étape d'authentification terminée, le reste de la communication est en réalité assez bon marché. La communication réseau LDAP est légère en termes de paquets codés ASN.1 binaires, ce qui signifie qu'ils sont compacts et faciles à analyser. Windows Active Directory et Oracle Internet Directory utilisent tous les deux des implémentations LDAP pour gérer l'autorisation d'authentification des utilisateurs.

Quoi de neuf dans le domaine de l'audit des données?

Brian Derwart: Vraiment, le gros problème de cette année est de détecter les menaces au lieu de les le fait. Les bases de données ajoutent ce concept de technologies intelligentes lorsqu'elles examinent les tendances en matière d'accès aux données, telles que la provenance de l'utilisateur ou le type de données qu'elles demandent, et essaient de développer des algorithmes pour déterminer s'il existe des différences comportement typique de l'utilisateur. Si elle est interprétée comme une attaque, la base de données peut être codée pour fermer cet utilisateur et arrêter l'attaque comme cela se produit.

Brian, merci beaucoup pour votre temps. Pour plus de détails sur Enterprise Data Security, y compris tous les sujets abordés ci-dessus, visionnez le webinaire complet.

View Webinar