¿Cifrado de la base de datos o cifrado del sistema de archivos?

8

Recientemente he estado trabajando en algunos datos que, aunque no están regidos directamente por las leyes de seguridad de la información, son lo suficientemente sensibles como para justificar el cifrado. Me interesa conocer las mejores prácticas con respecto al almacenamiento de dichos datos, en particular si el cifrado se implementa mejor a nivel del sistema operativo / sistema de archivos o al nivel de la base de datos ?

¿Cuáles son las ventajas y desventajas de estos dos enfoques en términos de seguridad, escalabilidad y accesibilidad, y cualquiera de estos enfoques es intrínsecamente mejor que el otro?

La aplicación en particular en la que estoy trabajando es una aplicación web, y no hace falta decir que los datos deberán transmitirse a través de HTTPS, ya que almacenar los datos de forma segura no tiene sentido cuando se transmite a través de una conexión abierta.

    
pregunta Richard Keller 02.05.2013 - 22:24
fuente

1 respuesta

6

El cifrado que utiliza depende del riesgo que está tratando de mitigar. El cifrado de archivos / discos se utiliza generalmente para proteger contra el robo de los medios físicos. es decir, no podrán acceder al contenido ya que está cifrado. Para una aplicación web, esto no proporciona ninguna protección adicional, por lo que la protección de los datos dentro de la base de datos puede tener más sentido.

Si un usuario externo malintencionado logra volcar la base de datos, solo tendrá acceso a los datos cifrados (y es de esperar que no sean las claves de cifrado / descifrado) y su control de cifrado ha sido un éxito. Alternativamente, si el usuario final manipula la aplicación para extraer datos de la base de datos en forma descifrada (lo que la aplicación debe poder hacer), ¡el control de cifrado no ha mitigado ese riesgo en particular!

Además, como es probable que solo desee cifrar algunos de los datos, hacerlo en un nivel de columna de la base de datos debería proporcionar una sobrecarga mínima.

    
respondido por el AndyMac 02.05.2013 - 22:41
fuente

Lea otras preguntas en las etiquetas