Szyfrowanie bez zmian formatu i tokenizacja

1 2 ...
Author: Witold Gajda
0 downloads 1 Views

1

2 Szyfrowanie bez zmian formatu i tokenizacjaPrzykłady projektów referencyjnych Cezary Prokopowicz Menadżer Sprzedaży HPE Security

3 Pięć wielkich wyzwań odnośnie DANYCHObawa o Naruszenie Danych Compliance – PCI, HIPAA, etc. Migracja wrażliwych danych do Chmury Przekaz wrażliwych danych oraz danych z Internetu Rzeczy do Big Data Umożliwienie CISO powiedzenia “TAK”

4 GDPR - RoDo HPE Security – Data SecuritySuggested slide use: Introducing Presenters or Staff

5 HPE Security – Data Security GDPR Mapa produktów

6 HPE SecureData

7 Prezentacja produktów HPE SecureDataHPE SecureData Web Services API HPE SecureData Command Line and Automated Parsers HPE SecureData Native APIs (C, Java, C#, .NET) HPE SecureData Key Servers HPE SecureData Central Management Console HPE Stateless Key Management Encryption + Tokenization Broad Platform Support

8 HPE Security – Data Security zapewnia kompletną ochronęThreats to Data Traditional IT infrastructure security Data Ecosystem Security Gaps HPE Security data-centric security Data and applications Credential Compromise Authentication Management Security gap Middleware Traffic Interceptors SSL/TLS/firewalls Security gap SQL injection, Malware Databases Database encryption Data security coverage End-to-end Protection Security gap Malware, Insiders SSL/TLS/firewalls File systems Security gap Malware, Insiders Disk encryption Storage

9 “FPE” i “SST”

10 HPE Format-Preserving Encryption (FPE)Imię: Jan Nazwisko: Kowalski PESEL: Data Ur.: NIP Imię: Uywjlqo Nazwisko: Muwruwwbp PESEL: DOB: FPE AES-FF1 mode Regular AES-CBC mode Ija&3k24kQotugDF2390^32 0OWioNu2(*872weW 8juYE%Uks&dDFa2345^WFLERG Zatwierdzony jako standard tryb kodowania AES (NIST SP800-38G) - HPE Format-Preserving Encryption Wysoka wydajność, ograniczona ingerencja w infrastrukturę IT Zakodowane od momentu wprowadzenia dane są zabezpieczone. Większość aplikacji może działać z takimi danymi Wpasowuje się do istniejących systemów, protokołów wymiany danych etc. (nazwisko, adres, itp.) Zachowanie „referencyjnej” integralności

11 Format-preserving encryption: standardy i rola liderUżycie „standardowego” szyfrowania jest krytyczne dla projektów ochrony danych Otwarte standardy uniezależniają od dostawców i usuwają ryzyka z tym związane Nie-standardowe i nie-upubliczniona kryptografia implikują problemy bezpieczeństwa i prawne W przypadku naruszenia danych organizacje nie mogą bronić się autorytetem standardów Format-Preserving Encryption (NIST SP800-38G) HPE Security – Data Security jest autorem trybów FFx FPE zatwierdzonych jako standardy przez NIST HPE Security – Data Security opatentowało wszystkie tryby FFx

12 HPE Secure Stateless Tokenization (SST)Tokenizacja rekomendowana przez audytorów PCI DSS dla ochrony danych właścicieli kart Redukcja zakresu audytu PCI upraszcza audyt i obniża jego koszty Tradycyjne technologie tokenizacji: Stosują bazodanowe “sejfy tokenów” Problemy ze skalowalnością, wydajnością i disaster recovery Wprowadzają możliwość kolizji tokenów Wymagają backupu transakcji Encrypted Original Data Token Sejf Tokenów

13 Tradycyjna TokenizacjaEncrypted Original Data Token RNG RNG Encrypted Original Data Token 2200-ABCD 2200-ABCD ? Calling Applications 2200-WXYZ ?

14 Voltage Secure Stateless TokenizationVoltage SecureData Appliance Voltage SecureData Appliance PAN Token PAN Token Management Console Management Console Web Services API Web Services API Calling Application Key Server Key Server 2200-ABCD 2200-ABCD

15 HPE Secure Stateless Tokenization (SST)Karta kredytowa NIP SST Częściowe SST Maskowane SST AZ UYTZ 4321 AZS-UX-23-56 Zastępuje bazę danych tokenów mniejszą tablicą mapowania tokenów Wartości tokenów są mapowane z użyciem liczb losowych Obniżenie kosztów Brak potrzeby użycia hardware, problemów z replikacją

16 Tokenizacja: standardy, pozycja lideraSecure Stateless Tokenization Możliwość przeglądu algorytmów (otwartość) Zweryfikowana przez ekspertów Coalfire dla wymagań PCI Używana przez główne brandy kart kredytowych, emitentów i akwizytorów Zweryfikowana przez środowisko niezależnych ekspertów Standardy ANSI X9.124 and X9.119 HPE Security – Data Security CTO Chair of ANSI X9 F1 Driving tokenization, Format-Preserving Encryption i zarządzanie kluczami dla instytucji finansowych

17 Ochrona danych z HPE FPE i HPE SSTGwarantowana „referencyjna” integralność lub pełna randomizacja danych określana politykami Możliwość zabezpieczenia danych i anonimizacji w ramach jednego rozwiązania Możliwość generacji danych dla celów testowania, szkolenia itp.

18 “Data-Centric” Security

19 Przepływ danych PAN External Internal Web Form New Account Application Web Form New Account Application Central Database Fraud Detection Hadoop Analytics Customer Service Application HP NonStop External Internal

20 Ograniczenie dostępu do danych PAN – PCI DCC Web Form New Account Application Central Database HP SecureData Fraud Detection Hadoop Analytics Customer Service Application HP NonStop CDE Internal External

21 Przepływ poufnych danych John Smith John Smith John Smith Web Form New Account Application Fraud Detection John Smith Database This flow is to illustrate the “before” state, where sensitive data comes from a source, and then quickly finds its way all around the organisation. Even if the data isn’t actually needed in every place.. It goes there anyway and makes every spot on the diagram susceptible to attack and data loss. CC Processing John Smith John Smith Customer Service Application Hadoop Analytics

22 To samo środowisko z HPE SecureData Jan Kowalski Kelt Dqitp Jan Kowalski Web Form New Account Application Fraud Detection HPE SecureData Kelt Dqitp Database The “AFTER” state of the same flow. The orange lines are integration points where information is protected or accessed using the HPE SecureData solution. Some things to point out: -Analytics can still be done on the PROTECTED forms of the data in the Fraud Detection and Hadoop segments. To put it technically: referential integrity is preserved with FPE. -Only the data that is really needed at any spot needs to be exposed. Point to the example of the Customer Service Application. -The default state of the data has changed to be protected so that it is only ever exposed when it is really needed. This is a much better position to be in from a risk and compliance standpoint. CC Processing Jan Kowalski Kelt Dqitp Customer Service Application Hadoop Analytics

23 Analityka w przypadku wewnętrznej i zewnętrznej organizacjiJan Kowalski Spokojna 10 Jan Kowalski Spokojna 10 Widok wewnątrz (Re-iidentyfikacja jeśli potrzeba) Wewnętrzna Aplikacja Jan Kowalski Spokojna 10 Widok wewnątrz Wewnętrzna Baza Danych Wewnętrzna Aplikacja BI HP SecureData Jan Kowalski Spokojna 10 ETL Fkjn Waoqt 192 Geoq Dewapw Widok zewnątrz (tylko wskazane dane) Fkjn Waoqt 192 Geoq Dewapw Administratorzy nie widzą zabezpieczonej informacji

24 HPE SecureData – platforma zabezpieczenia danychHSM Źródła uwierzytelnienia i autoryzacji (active directory) Konsola zarządzająca HPE SecureData HPE SecureData Command Lines Volume Key Management HPE SecureData Web Services API HPE SecureData Native APIs (C, Java, C#/.NET) HPE SecureData File Processor HPE SecureData Native UDFs HPE SecureData z/Protect, z/FPE Partner integrations SaaS & PaaS cloud apps Payment terminals Kontrolowane politykami usługi zabezpieczenia danych i klienci Aplikacje biznesowe, składowanie danych i procesy Volumes and storage ETL & data integration suites Teradata, Hadoop & HPE Haven HPE Nonstop Applications & Databases Mainframe applications & databases Web/cloud applications (AWS, Azure) Enterprise applications Production databases Payment systems 3rd party applications Network Interceptors 3rd party SaaS gateways

25 HPE SecureData HPE Stateless Key ManagementBrak bazy danych kluczy dla ich przechowywania i zarządzania nimi Wysoka wydajność, nieograniczona skalowalność Obie technologie kodowania & tokenizacji Kastomizowane rozwiązanie dla spełnienia wymagań Wsparcie różnych platform On-premise / cloud / Big Data Ustrukturyzowane / Nieustrukturyzowane Linux, Hadoop, Windows, AWS, IBM z/OS, HP NonStop, Teradata, etc. Szybki zwrot z inwestycji Kompleksowe zabezpieczenie „end-to-end” na wspólnej platformie Zachowanie formatu zasadniczo upraszcza wdrożenie HPE SecureData Key Servers HPE SecureData Central Management Console HPE SecureData Web Services API HPE SecureData Command Line and Automated Parsers HPE SecureData Native APIs (C, Java, C#, .NET)

26 Dziękuję! Pytania?