HPE SecureData
advertisement
Szyfrowanie bez zmian formatu i tokenizacja Przykłady projektów referencyjnych Cezary Prokopowicz Menadżer Sprzedaży HPE Security [email protected] Pięć wielkich wyzwań odnośnie DANYCH 1. 2. 3. 4. Obawa o Naruszenie Danych Compliance – PCI, HIPAA, etc. Migracja wrażliwych danych do Chmury Przekaz wrażliwych danych oraz danych z Internetu Rzeczy do Big Data 5. Umożliwienie CISO powiedzenia “TAK” 3 GDPR - RoDo HPE Security – Data Security HPE Security – Data Security GDPR Mapa produktów 5 HPE SecureData 6 Prezentacja produktów HPE SecureData HPE SecureData Key Servers HPE SecureData HPE SecureData Central Management Console HPE Stateless Key Management Encryption + Tokenization Broad Platform Support HPE SecureData Web Services API HPE SecureData Command Line and Automated Parsers HPE SecureData Native APIs (C, Java, C#, .NET) HPE Security – Data Security zapewnia kompletną ochronę Threats to Data Traditional IT infrastructure security Data Ecosystem Security Gaps HPE Security data-centric security Data and applications Credential Compromise Authentication Management Middleware SSL/TLS/firewalls Security gap SQL injection, Malware Database encryption Databases Security gap Malware, Insiders Malware, Insiders SSL/TLS/firewalls File systems End-to-end Protection Traffic Interceptors Data security coverage Security gap Security gap Disk encryption Storage 8 “FPE” i “SST” HPE Format-Preserving Encryption (FPE) NIP Imię: Jan Nazwisko: Kowalski PESEL: 66070814729 Data Ur.: 08-07-1966 934-721-23-56 FPE AES-FF1 mode 253-678-23-56 Imię: Uywjlqo Nazwisko: Muwruwwbp PESEL: 67091284623 DOB: 12-09-1967 Regular AES-CBC mode 8juYE%Uks&dDFa2345^WFLERG Ija&3k24kQotugDF2390^32 0OWioNu2(*872weW Oiuqwriuweuwr%oIUOw1@ – Zatwierdzony jako standard tryb kodowania AES (NIST SP800-38G) - HPE Format-Preserving Encryption – Wysoka wydajność, ograniczona ingerencja w infrastrukturę IT – Zakodowane od momentu wprowadzenia dane są zabezpieczone. Większość aplikacji może działać z takimi danymi – Wpasowuje się do istniejących systemów, protokołów wymiany danych etc. (nazwisko, adres, itp.) – Zachowanie „referencyjnej” integralności 10 Format-preserving encryption: standardy i rola lider – Użycie „standardowego” szyfrowania jest krytyczne dla projektów ochrony danych − Otwarte standardy uniezależniają od dostawców i usuwają ryzyka z tym związane − Nie-standardowe i nie-upubliczniona kryptografia implikują problemy bezpieczeństwa i prawne − W przypadku naruszenia danych organizacje nie mogą bronić się autorytetem standardów – Format-Preserving Encryption (NIST SP800-38G) − HPE Security – Data Security jest autorem trybów FFx FPE zatwierdzonych jako standardy przez NIST − HPE Security – Data Security opatentowało wszystkie tryby FFx 11 HPE Secure Stateless Tokenization (SST) –Tokenizacja rekomendowana przez audytorów PCI DSS dla ochrony danych właścicieli kart –Redukcja zakresu audytu PCI upraszcza audyt i obniża jego koszty –Tradycyjne technologie tokenizacji: − Stosują bazodanowe “sejfy tokenów” − Problemy ze skalowalnością, wydajnością i disaster recovery Sejf Tokenów − Wprowadzają możliwość kolizji tokenów Encrypted Original Data Token − Wymagają backupu transakcji Encrypted Original Data Token Encrypted Original Data Token Tradycyjna Tokenizacja RNG RNG Encrypted Original Data Token Encrypted Original Data Token Encrypted Original Data Token Encrypted Original Data Token Encrypted Original Data Token Encrypted Original Data Token 2200-ABCD-1234-1111 Calling Applications 2200-ABCD-1234-1111 ? 2200-WXYZ-9999-1111 ? 4040-1111-1111-1111 Voltage Secure Stateless Tokenization Voltage SecureData Appliance Voltage SecureData Appliance PANManagement Token Console PANManagement Token Console 00000000000 19182929129 00000000000 19182929129 00000000001 87871251521 00000000001 87871251521 Web Services API 00000000002 21872773612 Web Services API 00000000002 21872773612 00000000003 00000000003 … 39289736131 Key Server 99999999999 67362615625 2200-ABCD-1234-1111 Calling Application 4040-1111-1111-1111 … 39289736131 Key Server 99999999999 67362615625 2200-ABCD-1234-1111 14 HPE Secure Stateless Tokenization (SST) Karta kredytowa 1234 5678 8765 4321 SST NIP 934-721-23-56 8736 5533 4678 9453 347-98-83-09 Częściowe SST 1234 5633 4678 4321 347-98-23-56 Maskowane SST 1234 56AZ UYTZ 4321 AZS-UX-23-56 – Zastępuje bazę danych tokenów mniejszą tablicą mapowania tokenów – Wartości tokenów są mapowane z użyciem liczb losowych – Obniżenie kosztów – Brak potrzeby użycia hardware, problemów z replikacją 15 Tokenizacja: standardy, pozycja lidera – Secure Stateless Tokenization − Możliwość przeglądu algorytmów (otwartość) − Zweryfikowana przez ekspertów Coalfire dla wymagań PCI − Używana przez główne brandy kart kredytowych, emitentów i akwizytorów − Zweryfikowana przez środowisko niezależnych ekspertów – Standardy ANSI X9.124 and X9.119 − HPE Security – Data Security CTO Chair of ANSI X9 F1 − Driving tokenization, Format-Preserving Encryption i zarządzanie kluczami dla instytucji finansowych 16 Ochrona danych z HPE FPE i HPE SST Imię Nazwisko Jan Kowalski Anna Radunska Zbigniew Nowak Robert Alerski Anna Berman NIP 385-12-11-99 857-64-41-90 761-58-67-33 604-41-66-87 416-03-42-26 Karta Kredytowa # 3712 3456 7890 1001 5587 0806 2212 0139 5348 9261 0695 2829 4929 4358 7398 4379 4556 2525 1285 1830 Adres Piaskowa 10 Sasanki 345 Parkowa 1 Braci Rojek 17 Trubadurów 72 ID Klienta G8199143 S3626248 B0191348 G8888767 S9298273 FPE FPE FPE SST FPE Imię Nazwisko NIP Karta Kredytowa # Adres ID Klienta Kwfdv Cqvzgk Veks Iounrfo Pdnme Wntob Eskfw Gzhqlv Jsfk Tbluhm 161-82-1292 200-79-7127 095-52-8683 178-17-8353 525-25-2125 3712 3486 3545 1001 5587 0856 7634 0139 5348 9209 2367 2829 4929 4333 0934 4379 4556 2545 6223 1830 Ykzbpoi Clpppn 2890 Cmxto Osfalu 406 Zejojtbbx Pqkag 1498 Saicbmew Yotv 8261 Wbbhalhs Ueyzg 8412 S7202483 B0928254 G7265029 G3951257 B6625294 – Gwarantowana „referencyjna” integralność lub pełna randomizacja danych określana politykami – Możliwość zabezpieczenia danych i anonimizacji w ramach jednego rozwiązania – Możliwość generacji danych dla celów testowania, szkolenia itp. “Data-Centric” Security Przepływ danych PAN 4040 1234 1234 9999 Web Form 4040 1234 1234 9999 New Account Application 4040 1234 1234 9999 Central Database 4040 1234 1234 9999 Fraud Detection 4040 1234 1234 9999 Hadoop Analytics 4040 1234 1234 9999 HP NonStop External Internal 4040 1234 1234 9999 Customer Service Application Ograniczenie dostępu do danych PAN – PCI DCC 4040 1234 1234 9999 Web Form 4040 1234 1234 9999 New Account Application 4040 6763 0123 9999 Central Database 4040 6763 0123 9999 HP SecureData Fraud Detection 4040 6763 0123 9999 4040 6763 0123 9999 Hadoop Analytics Customer Service Application 4040 1234 1234 9999 HP NonStop External CDE Internal Przepływ poufnych danych 4040 1234 1234 9999 John Smith Web Form 4040 1234 1234 9999 John Smith Fraud Detection New Account Application 4040 1234 1234 9999 John Smith 4040 1234 1234 9999 John Smith Database CC Processing 4040 1234 1234 9999 John Smith Customer Service Application 4040 1234 1234 9999 John Smith Hadoop Analytics To samo środowisko z HPE SecureData 4040 1234 1234 9999 Jan Kowalski Web Form 4040 6763 0123 9999 Kelt Dqitp Fraud Detection New Account Application 4040 1234 1234 9999 Jan Kowalski 4040 6763 0123 9999 Kelt Dqitp HPE SecureData Database CC Processing 4040 6763 0123 9999 Jan Kowalski Customer Service Application 4040 6763 0123 9999 Kelt Dqitp Hadoop Analytics Analityka w przypadku wewnętrznej i zewnętrznej organizacji Jan Kowalski 4040 1234 1234 9999 Spokojna 10 62102278325 Widok wewnątrz Jan Kowalski 4040 1234 1234 9999 Spokojna 10 62102278325 Wewnętrzna Aplikacja Widok wewnątrz (Re-iidentyfikacja jeśli potrzeba) Wewnętrzna Baza Danych Jan Kowalski 4040 1234 1234 9999 Spokojna 10 62102278325 HP SecureData ETL Fkjn Waoqt 4040 1298 7203 9999 192 Geoq Dewapw 62102229148 Widok zewnątrz (tylko wskazane dane) Jan Kowalski 4040 1298 7203 9999 Spokojna 10 62102229148 Fkjn Waoqt 4040 1298 7203 9999 192 Geoq Dewapw 62102229148 Administratorzy nie widzą zabezpieczonej informacji Wewnętrzna Aplikacja BI HPE SecureData – platforma zabezpieczenia danych HPE SecureData HSM Źródła uwierzytelnienia i autoryzacji (active directory) Konsola zarządzająca HPE SecureData Volume Key Management HPE SecureData Web Services API HPE SecureData Command Lines HPE SecureData HPE SecureData HPE Native APIs File Processor SecureData (C, Java, C#/.NET) Native UDFs HPE SecureData z/Protect, z/FPE Partner integrations SaaS & PaaS cloud apps Payment terminals Kontrolowane politykami usługi zabezpieczenia danych i klienci Aplikacje biznesowe, składowanie danych i procesy Volumes and storage Enterprise applications Production databases Payment systems ETL & data integration suites 3rd party applications Teradata, Hadoop & HPE Haven HPE Nonstop Applications & Databases Mainframe applications & databases Network Interceptors Web/cloud applications (AWS, Azure) 3rd party SaaS gateways 24 HPE SecureData – HPE Stateless Key Management − Brak bazy danych kluczy dla ich przechowywania i zarządzania nimi HPE SecureData Key Servers HPE SecureData Central Management Console − Wysoka wydajność, nieograniczona skalowalność – Obie technologie kodowania & tokenizacji − Kastomizowane rozwiązanie dla spełnienia wymagań – Wsparcie różnych platform − On-premise / cloud / Big Data − Ustrukturyzowane / Nieustrukturyzowane − Linux, Hadoop, Windows, AWS, IBM z/OS, HP NonStop, Teradata, etc. – Szybki zwrot z inwestycji − Kompleksowe zabezpieczenie „end-to-end” na wspólnej platformie − Zachowanie formatu zasadniczo upraszcza wdrożenie HPE SecureData Web Services API HPE SecureData Command Line and Automated Parsers HPE SecureData Native APIs (C, Java, C#, .NET) Dziękuję! Pytania? 26
