En el entorno corporativo actual, las empresas optan por proteger la propiedad intelectual y los datos de los clientes no sólo para protegerse de los daños asociados a las filtraciones de datos, sino también para cumplir los requisitos de privacidad y normativos.
Por suerte, existen varias formas de proteger los datos incluidos en la jerarquía de claves de cifrado de SQL Server. Las opciones van desde el cifrado a nivel de celda y columna hasta el cifrado completo de la base de datos (TDE).
El cifrado de una base de datos completa en el disco duro mediante el cifrado transparente de datos es transparente y no hay sobrecarga de rendimiento perceptible. Es eficaz para proteger los datos mientras están en reposo. Por ejemplo, si alguien robara una copia de la base de datos o una copia de seguridad de los datos, la capa de cifrado protegería los datos y haría que la base de datos fuera ilegible sin las claves de descifrado adecuadas.
Sin embargo, los datos se descifran antes de transmitirse por la red, por lo que hay que pensar en cifrar la comunicación, concretamente la capa de red. Aunque existen varias opciones para las comunicaciones, SSL es el método más comúnmente implementado. SSL utiliza certificados para autenticar el servidor ante el cliente y establecer un canal de comunicaciones cifrado con la base de datos. A diferencia de otras opciones, como IPsec, que se implementa a nivel de sistema operativo y admite la autenticación mediante certificados Kerberos, cuando se utiliza un certificado SSL se configura en el servidor SQL. Configurar SSL en el servidor es más sencillo que configurar IPsec. Además, SSL requiere una configuración mínima del cliente.
Pero ¿por qué utilizar certificados de SSL ? No sólo son necesarios en la infraestructura informática actual para cifrar la información confidencial que viaja por las redes, sino que, además del cifrado, un certificado SSL adecuado también proporciona autenticación. Esto significa que puede estar seguro de que está enviando información al servidor correcto, ya que cualquiera puede hacerse pasar por un sitio web al que podría enviar sus datos sensibles, personales y confidenciales.
Es posible evitar los hackeos, las infracciones y las filtraciones utilizando una autoridad emisora de certificados y una raíz de infraestructura de clave pública (PKI) adecuadas y obteniendo un certificado SSL de un proveedor de autoridad de confianza.
¿Cómo puedo cifrar las conexiones de SQL Server entre mis aplicaciones y la base de datos para mejorar la seguridad? Cuando se utiliza un certificado SSL , la información se vuelve ilegible para todo el mundo excepto para el servidor al que se está enviando la información. De este modo, SSL protege la conexión, es decir, los datos en su tránsito entre el cliente y el servidor SQL Server.
Pero, ¿cuál es la diferencia de rendimiento entre la sobrecarga de cifrado de SSL y la comunicación de socket sin cifrar? El cifrado puede ralentizar el rendimiento porque requiere acciones adicionales en ambos lados de la conexión de red, pero las ventajas siguen compensando la penalización del rendimiento, especialmente cuando los clientes se conectan a servidores SQL a través de redes públicas. La principal sobrecarga de SSL es el apretón de manos y, tras la negociación, se utilizan cifrados relativamente rápidos.
Entonces, ¿qué más implica la encriptación de la transmisión de datos desde los datos y los clientes de la aplicación web? Puede utilizar el administrador de IIS para crear un certificado autofirmado o puede duplicar una plantilla de servidor web de la entidad emisora de certificados de su empresa y luego añadirla a través de la MMC de Certificados para la cuenta del equipo. Aunque es posible utilizar certificados autofirmados, sólo se recomienda hacerlo con fines de prueba, ya que disminuye significativamente el nivel de seguridad. El siguiente paso es dar a la cuenta de servicio del servidor SQL permisos de lectura sobre el certificado, y elegir el certificado en la configuración de red del servidor SQL en el administrador de configuración. Además, puede que necesites añadir "encrypt=true" en la cadena de conexión en tus aplicaciones entre otras cosas como MSSQL Library (por ejemplo para aplicaciones basadas en web) etc.
Para poder disfrutar de todas las ventajas de los certificados de SSL , la implantación debe realizarse correctamente desde el principio. Por ejemplo, el rol de Servicios de Certificación que se ofrece como rol de servidor en los Servidores Microsoft Windows se despliega de forma segura, en línea con las mejores prácticas, y la Autoridad de Certificación Raíz y todas sus Autoridades de Certificación Emisoras están protegidas. El despliegue no consiste únicamente en instalar un rol, sino también en utilizar un HSM (Hardware Security Module) para proteger las claves y utilizar varios servidores para lograr el mejor despliegue de PKI con comprobación de listas de revocación de certificados. Una PKI correctamente construida debería ser la piedra angular de la seguridad de una organización y soportar muchos casos de uso para autenticación, firma digital y cifrado.
Certified Security Solutions (CSS), ofrece software y productos que trabajan conjuntamente con su PKI y añaden valor a la implantación. Por su nombre, el Sistema de Gestión de Certificados (CMS) ofrece niveles mejorados de identidad segura para dispositivos fuera de los cortafuegos corporativos y utiliza Cifrado Transparente de Datos. CMS utiliza el cifrado a nivel de columna SQL para cualquier columna o columnas que deban cifrarse y es capaz de gestionar y supervisar por completo la PKI de su empresa y sus informes.
