[ /start quote ] Date: Thu, 24 Sep 2009 01:24:10 +0200 mi capita di avere a che fare con database che contengono dati molto sensibili e di doverli rendere disponibili a applicazioni web per un tempo limitato ma, a volte, sufficientemente lungo (parliamo di mesi). normalmente questi db risiedono su partizioni criptate che, una volta smontate, rendono inaccessibili i dati, il problema che sto cercando di affrontare ora però è di alzare il livello di sicurezza facendo sì che questi dati siano disponibili solo nel momento in cui vi accedo. mi spiego: una volta montata la partizione essa è accessibile senza alcuna limitazione, io invece vorrei avere un sistema che rende disponibile il dato solo al momento della sua richiesta. tempo fa avevo sentito parlare di qualcosa del genere relativo ai files, che venivano decriptati solo al momento della loro apertura da certe credenziali piuttosto che essere leggibili sempre, io vorrei un qualcosa di simile ma orientato al lato database. esiste secondo voi qualcosa del genere o andrebbe tutto implementato a livello applicativo mantenendo nelle tabelle criptati i singoli campi sensibili?
grazie [ /end quote ] Non sono un'esperto in materia DB, pertanto è forte il rischio di non fornire un aiuto "sostanziale", ma provo comunque a proporre di dare un'occhiata anche alle soluzioni SafeNet (non conosco equivalenti open source). Si tratta di soluzioni appliance-based, nativamente integrabili con db Oracle, MS-SQL, IBM-DB2 e Teradata, che lavorano interponendosi tra il motore applicativo e il motore DB, facendosi carico delle operazioni di cifratura/decifratura dei dati contenuti nel db medesimo. Ho riassunto (ormai quasi un anno fa), quello che avevo scoperto partecipando ad una loro sessione dimostrativa: http://svalerio.blogspot.com/2008/09/in-tema-di-data-protection.html Sottolineo, per dovere di completezza, che non intrattengo relazioni di sorta con l'azienda in questione. Con l'auspicio di avere fornito un piccolo suggerimento ... Cordialmente, Sonia ----------------------------------------------------------- Sonia Valerio - CISSP, OPSA Information Security Manager AR Enterprise S.r.l. [email protected] ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
