Architekturální řešení pro ochranu klasifikovaných dat v databázích
Klasifikovaná data, jako čísla platebních karet (PAN) nebo osobní údaje (GDPR), vyžadují ochranu před úniky prostřednictvím záloh databází a přístupu administrátorů. Hlavní výzvy: ukládání šifrovaných dat s možností vyhledávání, bezpečné řízení klíčů a minimalizace rizik kompromitace. Analýza ukazuje rozdělení na PCI DSS pro PAN a 152-FZ/GDPR pro osobní data kvůli rozdílným požadavkům, včetně úplného vymazání dat na požádání.
Číslo karty není absolutní tajemstvím: prvních 6–8 cifer je BIN banky, poslední kontrolní součet, zbývá 7–9 cifer k prohledání (10–1000 milionů variant na BIN). Ukládání hashů PAN se solí v databázi je zranitelné vůči útokům GPU, pokud je sůl dostupná.
Šifrování dat a varianty HSM
HSM (Hardware Security Module) je zařízení pro bezpečné ukládání klíčů a kryptografických operací. Hardwarové HSM fyzicky chrání klíč před extrakcí, softwarové HSM chrání klíč organizovaně prostřednictvím přístupů.
Pro softwarové HSM se používá schéma Shamira: master klíč se rozdělí na N částí, pro obnovení je potřeba K z N (K < N). Příklad: 5 částí, 3 pro aktivaci. Jedná se o kompromis – přenáší riziko na organizaci, snižuje náklady.
Varianty vyhledávání v šifrovaných datech:
- TDE (Transparent Data Encryption): Šifruje soubory na disku, data v paměti jsou nešifrovaná. Chrání před krádeží disků, ale ne před DBA.
- Hash se solí: Ukládá se hash PAN + sůl z HSM, index podle hashu. Sůl není v databázi, jinak je prohledávání možné.
- Deterministické šifrování: Bez IV, stejný plaintext – stejný ciphertext. Indexování možné, ale zranitelné při kompromitaci klíče.
Optimálně: databáze obsahuje šifrované PAN, kryptohash a ID klíče (pro rotaci). Vyhledávání podle hashu, služby pracují jen s hashi. PCI DSS omezuje hash v okruhu PAN, alternativa – tokeny v odděleném úložišti.
Řízení klíčů: Vault a jeho limity
HashiCorp Vault, Azure Key Vault, AWS Secrets Manager jsou vhodné pro řízení tajemství, ale ne pro kryptoklíče. Chrání před:
- Commitováním tajemství do git.
- Úniky env proměnných.
- Neautorizovaným čtením.
Nechrání před:
- Administrátorem Vaultu.
- Administrátorem serveru (výpis paměti).
- Vlastníkem mTLS certifikátu.
Posílení: mTLS s hardwarovými klíči, limit požadavků, audit. Vault není HSM. Azure Key Vault Premium využívá HSM v datacentrech Microsoftu, klíč neexportovatelný, API pro operace.
Kubernetes Secrets: rizika kontejnerizace
Kubernetes Secrets se ukládají v etcd jako base64 (nešifrované). Přístup k API serveru odhalí všechna tajemství. Kontejnery jsou zranitelné:
- Root host čte FS kontejneru.
- nsenter do procesu.
- Výpis paměti.
- Síťový provoz.
Pro kryptoslužby nepřijatelné. Posílení (gVisor, Kata Containers, Confidential Computing) možná, ale složitá.
Cloudová řešení a model odpovědnosti
Cloudy (AWS, Azure) jsou certifikovány PCI DSS na infrastruktuře (datacentra, šifrování disků), ale klient odpovídá za klíče a přístupy. V cloudu je provoz ve virtuální síti, admin provisioningu může zachytit. Doporučení: vyhrazený kryptoservis s fyzickou izolací (oddělený kabel), v cloudu – izolovaný HSM.
Konsensuální architektura
- Vyhrazený kryptoservis mimo kontejnery, minimální rozhraní.
- Neextrahovatelný klíč v HSM (hardwarový/softwarový/cloudový).
- Schéma Shamira bez hardwarového HSM.
- Kryptohash pro vyhledávání, sůl z HSM.
- Rozdělení PAN/GDPR.
- Kompletní audit.
- Rotace klíčů.
Co je důležité:
- Ukládat sůl/klíče mimo databázi, použít HSM.
- Vyhledávání podle kryptohashu nebo tokenů, vyhnout se deterministickému šifrování.
- Organizační kompromisy (Shamir) snižují náklady.
- Vault pro tajemství, HSM pro klíče.
- Rozdělit PCI DSS a GDPR podle regulací.
— Editorial Team
Zatím žádné komentáře.