¿Qué es el cifrado de datos transparente (TDE)?
Cifrado de datos transparente (TDE)
¿Qué tan transparente?
Esta fue la pregunta del autor cuando se desarrolló este método de encriptación. Aunque es un método de encriptación, el nombre puede indicar que es un método abierto; como si alguien pudiera ver a la persona detrás de la cortina. Afortunadamente, la transparencia es desde el punto de vista del usuario: no necesitan claves especiales para acceder a sus datos seguros. Y los malos no obtienen un anillo decodificador mágico para ver cómo se aseguraron los datos.
El cifrado de datos transparente (TDE) se desarrolló con SQL Server 2008 y también está disponible en los sistemas de administración de bases de datos de Oracle. Es un método de cifrado que protege los datos centrales de la base de datos.
El método de cifrado protege los datos de la base de datos cifrando los archivos subyacentes de la base de datos y no los datos en sí. Esto evita que los datos sean pirateados y copiados a otro servidor; para abrir los archivos, debe tener el certificado de cifrado original y una clave maestra.
El cifrado real de la base de datos se realiza a nivel de página . En el contexto de la base de datos real, una página se refiere a la unidad de almacenamiento de datos en el servidor (no una página web). Una página en el servidor SQL es pequeña (8 KB de tamaño); por lo tanto , el Cifrado de datos transparente (TDE) opera en el nivel estructural de la base de datos.
Debido a que TDE protege/encripta la estructura de la base de datos, se considera un método de encriptación en reposo . Otras opciones de cifrado protegen los datos en tránsito, pero dado que TDE cifra la estructura subyacente de los datos, protege los datos mientras descansan o se almacenan en la base de datos.
La palabra clave en el método es Transparente . Esto significa que el método de cifrado es transparente para los usuarios autorizados de la base de datos; no necesitan crear macros especiales ni actualizar configuraciones complejas para acceder a los datos. Un buen ejemplo del mundo real es el de un llavero.
Analogía de entrada sin llave
TDE es muy parecido a un llavero que se usa para acceder a un vehículo: solo el propietario del automóvil (o la persona que tiene el llavero) puede ingresar al vehículo bloqueado. No hay nada especial que tenga que hacer el titular del llavero; simplemente presionan el botón de desbloqueo. En una base de datos SQL u Oracle, los usuarios no necesitan preocuparse por cómo se cifran los datos; siempre que tengan acceso a la base de datos, todo el cifrado y descifrado es perfecto para ellos.
TDE y servidor SQL
Como se mencionó, el TDE funciona con datos en reposo: lo hace en toda la base de datos. Eso significa que los datos se cifran cuando se escriben en el disco y se descifran cuando se vuelven a leer.
La jerarquía de cifrado se muestra en la figura TDE SQL Server . Hay una clave maestra que se encuentra en la instancia del servidor; hay una base de datos maestra que requiere una clave maestra y un certificado de servidor; finalmente, la base de datos del usuario está protegida por la clave de cifrado.
El motor de base de datos de SQL Server hace todo el trabajo: cifrado y descifrado en tiempo real. TDE utiliza métodos de encriptación AES y 3DES (sobre los cuales puede leer en lecciones posteriores de estudyando.com); y todos estos se ejecutan en segundo plano.
TDE y Oracle
En los sistemas de bases de datos Oracle, TDE funciona de manera similar a SQL Server. Los usuarios que hayan iniciado sesión en la base de datos seguirán teniendo acceso a los datos, sin necesidad de escribir código adicional ni realizar cambios de configuración. Sin embargo, los atacantes no pueden leer la información de las copias de seguridad o de los discos robados porque no tienen las llaves del reino.
La figura Oracle TDE muestra una jerarquía similar a la de SQL Server: la flecha azul del usuario muestra el acceso autorizado; la línea roja indica que el acceso no autorizado está bloqueado.
Recuerde: tanto para SQL Server como para Oracle, los datos se cifran en reposo cifrando los archivos de la base de datos subyacente, ¡no los datos en sí!
Resumen de la lección
Esta lección ha descrito el Cifrado de datos transparente (TDE) , un método de cifrado utilizado para cifrar datos en una base de datos. Tanto en SQL Server como en Oracle, los datos se cifran en reposo , es decir, mientras se almacenan en el servidor. Si un usuario no tiene las llaves del reino, por así decirlo, no puede obtener ninguna copia o archivo de respaldo en una base de datos. Recuerde: TDE cifra los archivos de datos y no los datos en sí; para un entorno totalmente seguro, se deben emplear métodos de seguridad adicionales para complementar TDE.
Rodrigo Ricardo
Apasionado por compartir conocimientos y ayudar a otros a aprender algo nuevo cada día.
Articulos relacionados
- Hashing vs Cifrado
- Cifrado simétrico: definición y ejemplo
- Cifrado simétrico: tipos y ventajas
- ¿Qué es el Estándar de cifrado avanzado (AES)? – Definición y descripción general
- ¿Qué es el estándar de cifrado de datos (DES)?
- ¿Qué es el cifrado de correo electrónico? – Definición y Métodos
- ¿Qué es el cifrado de disco completo?
- ¿Qué es el cifrado de enlaces?
- ¿Qué es el cifrado polimórfico?
- ¿Qué es el cifrado SSL? – Definición y explicación