Soluciones arquitectónicas para proteger datos sensibles en bases de datos
Los datos sensibles como números de tarjetas de pago (PAN) e información personal identificable (PII) requieren una protección robusta contra filtraciones a través de copias de seguridad de bases de datos y accesos de administradores. Los principales desafíos incluyen almacenar datos encriptados permitiendo búsquedas, gestión segura de claves y minimizar riesgos de brechas. El análisis muestra una división: PCI DSS para PAN y leyes como 152-FZ/RGPD para PII debido a requisitos distintos, como la eliminación total de datos bajo demanda.
Un número de tarjeta no es un secreto absoluto: los primeros 6-8 dígitos son el BIN del banco, el último es un checksum, dejando 7-9 dígitos para fuerza bruta (10-1000 millones de combinaciones por BIN). Almacenar hashes de PAN con sal en la base de datos es vulnerable a ataques con GPU si la sal se expone.
Opciones de encriptación de datos y HSM
El HSM (Hardware Security Module o Módulo de Seguridad de Hardware) es un dispositivo para almacenar claves de forma segura y realizar operaciones criptográficas. Los HSM de hardware protegen físicamente las claves contra extracción; los de software dependen de controles de acceso.
Los HSM de software usan el esquema de Shamir's Secret Sharing: la clave maestra se divide en N fragmentos, necesitando K de N para reconstruirla (K < N). Ejemplo: 5 fragmentos, 3 para activar. Es un equilibrio: traslada el riesgo a tu organización, pero reduce costos.
Opciones para buscar datos encriptados:
- TDE (Transparent Data Encryption o Encriptación transparente de datos): Encripta archivos en disco, pero los datos son texto plano en memoria. Protege contra discos robados, no contra administradores de BD.
- Hash con sal: Almacena hash de PAN + sal del HSM, indexado por hash. La sal queda fuera de la BD para bloquear fuerza bruta.
- Encriptación determinista: Sin IV, el mismo texto plano genera el mismo cifrado. Permite indexación, pero es riesgosa si las claves se filtran.
Mejor enfoque: La BD guarda PAN encriptado, crypto-hash y ID de clave (para rotación). Búsqueda por hash; los servicios solo ven hashes. PCI DSS limita hashes en el entorno de datos del titular de tarjeta: usa tokens en un almacén separado.
Gestión de claves: Vault y sus límites
Herramientas como HashiCorp Vault, Azure Key Vault y AWS Secrets Manager manejan secretos bien, pero fallan con claves criptográficas. Protegen contra:
- Secretos subidos a git.
- Fugas de variables de entorno.
- Lecturas no autorizadas.
No protegen contra:
- Administradores de Vault.
- Administradores de servidores (volcados de memoria).
- Propietarios de certificados mTLS.
Refuerza con mTLS usando claves de hardware, límites de tasa y auditoría. Vault no es un HSM. Azure Key Vault Premium aprovecha HSM de centros de datos de Microsoft con claves no exportables y operaciones por API.
Secretos de Kubernetes: Riesgos de contenedorización
Los Secrets de Kubernetes están codificados en base64 en etcd (sin encriptar). El acceso al servidor API expone todos los secretos. Los contenedores son vulnerables a:
- Root del host leyendo el FS del contenedor.
- nsenter en procesos.
- Volcados de memoria.
- Sniffing de tráfico de red.
Inaceptable para servicios criptográficos. Mitigaciones como gVisor, Kata Containers o Confidential Computing ayudan, pero añaden complejidad.
Soluciones en la nube y responsabilidad compartida
Nubes como AWS y Azure están certificadas PCI DSS para infraestructura (centros de datos, encriptación de discos), pero tú eres responsable de claves y accesos. El tráfico en la nube va por redes virtuales: administradores del proveedor podrían espiar. Recomendación: Servicio criptográfico dedicado con aislamiento físico (cableado separado); en la nube, usa HSM aislados.
Arquitectura consensuada
- Servicio criptográfico dedicado fuera de contenedores, interfaces mínimas.
- Claves no extraíbles en HSM (hardware/software/nube).
- Esquema de Shamir sin HSM de hardware.
- Crypto-hash para búsquedas, sal del HSM.
- Manejo separado de PAN/PII.
- Auditoría completa.
- Rotación de claves.
Lecciones clave:
- Mantén sales/claves fuera de la BD: usa HSM.
- Busca vía crypto-hashes o tokens; evita encriptación determinista.
- Equilibrios organizacionales (Shamir) ahorran dinero.
- Vault para secretos, HSM para claves.
- Separa PCI DSS y PII por regulaciones.
— Editorial Team
Aún no hay comentarios.