Transparent Data Encryption – Cifrar por columna o tablespace
28/08/2015 -
Transparent Data Encryption (TDE) es la opción de seguridad que proporciona Oracle para cifrar los datos a nivel de sistema operativo. En este post hice una pequeña introducción de este producto y dentro del Oracle Security Tour hablamos más en profundidad sobre él, en concreto en el webinar desde la óptica de la regulación.
Cuando se desea cifrar los datos de la base de datos con TDE, una de las primeras cuestiones que se plantea es qué tipo de cifrado aplicar.
TDE puede cifrar a nivel de columna o de tablespace.
Tipos de cifrado
En el cifrado a nivel de columna se elige qué columna o columnas, de qué tabla o tablas se desean cifrar, y se aplica el cifrado. En el cifrado a nivel de tablespace se crea un tablespace cifrado y todos los objetos que se creen o se muevan ahí estarán cifrados. Cada uno tiene sus ventajas, inconvenientes y puntos a tener en cuenta, que se resumen en la siguiente tabla:
| CIFRADO DE COLUMNA | CIFRADO DE TABLESPACE |
| Se conoce dónde está la información sensible | Se desconoce dónde está la información sensible |
| Menos del 5% de las columnas de la aplicación son candidatas a cifrarse | La mayoría de los datos de la aplicación se han definido como sensibles o aplica algún tipo de legislación vigente |
| El tipo de datos y la longitud están soportados por cifrado de columna | No todos los tipos de datos que contiene está soportados por cifrado de columna |
| Las columnas candidatas a ser cifradas no son claves ajenas | Las columnas candidatas a ser cifradas son claves ajenas |
| Los índices sobre las candidatas son índices b-tree normales | Los índices de las candidatas a ser cifradas son índices funcionales |
| La aplicación no realiza escaneos de rango sobre los datos cifrados | La aplicación realiza búsquedas por rangos sobre los datos sensibles |
| Es aceptable un incremento de almacenamiento de 1 a 52 bytes por valor cifrado | No es aceptable un incremento en la ocupación de almacenamiento |
| El impacto en el rendimiento depende del porcentaje de columnas cifradas, con qué frecuencia los valores cifrados son seleccionados o actualizados, el tamaño de los datos cifrados y otras variables | Se desea tener un impacto constante de rendimiento por debajo del 10% |
| Se desea beneficiarse de aceleración de cifrado por hardware | |
| Se desea beneficiarse de cifrado y compresión al mismo tiempo |