Szyfrowanie bez zmian formatu i tokenizacja

Slides:



Advertisements
Podobne prezentacje
Longhorn Academy - AD Warszawa, 12 kwietnia 2007
Advertisements

Jarosław Kurek WZIM SGGW
Projekt Do kariery na skrzydłach – studiuj Aviation Management Projekt współfinansowany ze ś rodków Europejskiego Funduszu Społecznego. Biuro projektu:
Horyzontalne scenariusze pracy
ADAM Active Directory w trybie aplikacyjnym
Projektowanie Aplikacji Komputerowych
Wdrażanie ERP Firmy w województwie podlaskim: Małe i średnie - Symfonia Małe i średnie - Symfonia Duże - SAP Duże - SAP.
Information Bridge Framework platforma integracji Microsoft Office 2003 z aplikacjami Line of Business Krzysztof Michalski10/01/2005.
Co to jest SOA Czym SOA nie jest
1/18 LOGO Profil zespołu. 2/18 O nas Produkcja autorskich rozwiązań informatycznych dla małych i średnich firm w zakresie systemów: Baz danych Aplikacji.
Analiza, projekt i częściowa implementacja systemu obsługi kina
Przegląd zagadnień Struktura sieci systemu Windows 2003
2017/3/28 Jak zyskać przewagę konkurencyjną wykorzystując najnowsze technologie Microsoft? Dariusz Grzesiński ISV Lead Central & Eastern Europe Developer.
Licencjonowanie wirtualizacji
Licencjonowanie rodziny System Center 2012
Licencjonowanie Exchange 2013
Licencjonowanie Lync 2013 Poziom 200.
Licencjonowanie SharePoint 2013
... CZYLI 100% HYBRID Tomasz Onyszko IAM Kung-Fu Evangelist.
IT Asset Management Service
Bezpieczna platforma SharePoint
Publiczne bazy danych w obszarze municypalnym
Wirtualna baza SQL zgodna z SQL Server SQL as a Service
Administracja serwerem bazy danych Oracle 11g Zarządzanie strukturą bazy danych Wykład nr 2 Michał Szkopiński.
Licencjonowanie aplikacji serwerowych
Ogólne informacje licencyjne Kluczowe funkcjonalności Dostępne wersje i porównanie Zasady licencjonowania Downgrade, SA Licencjonowanie w środowisku chmury.
Office 365.
Usługi online oraz Office 365. Przegląd usług online Dodawanie usług online do umów grupowych Nabywanie licencji Office 365.
WinMagic SecureDoc ważny element polityki bezpieczeństwa
Podstawy modeli i programów licencyjnych Microsoft.
Licencjonowanie rodziny produktów Forefront oraz System Center
Co nowego w klastrach Windows Server 8
Projekt i realizacja aplikacji sklepu internetowego z obsługą księgowania w środowisku cloud computing Rafał Ogrodnik Promotor mgr inż. Michał Dobrzyński.
Aplikacja od SaaS do IdaaS
Internetowego Biura Rachunkowego
© 2007 AMX AMX ® Resource Management Suite ®. © 2007 AMX Confidential Rozwiązania sieciowe Video Konferencje Centra zarządzania Kino domowe Sale wykładowe.
OWASP + DevOps, kilka przydatnych narzędzi
Wydział Elektroniki Kierunek: AiR Zaawansowane metody programowania Wykład 5.
Informatyka 1 Aplikacje w chmurze.
C OMPUTER. P ODZESPOŁY KOMPUTEROWE - C OMPUTER COMPONENTS.
CROSSWORD: SLANG. Konkurs polega na rozwiązaniu krzyżówki. CROSSWORD: SLANG Wypełnione karty odpowiedzi prosimy składać w bibliotece CJK, lub przesyłać.
Przegląd usług online Dodawanie usług online do umów grupowych Nabywanie licencji Office 365.
Zwiększenie poziomu bezpieczeństwa IT oraz dostępności aplikacji bankowych poprzez automatyzację kontroli zgodności z zewnętrznymi i wewnętrznymi regulacjami.
Wdrożenie Foglight w Urzędzie Dozoru Technicznego
Wdrożenie ChangeAuditor case study
Bezpieczeństwo cloud computing FAKTY I MITY Beata Marek, cyberlaw.pl Beata Marek, cyberlaw.pl Kancelaria w chmurze, Kancelaria w chmurze, 19.X X.2012.
Nowoczesna architektura dla analityki wg Microsoft Paweł Potasiński| Grzegorz Stolecki|
Produkty Oracle Identity i Access Management Jaroslaw Stakun IdM & Security Product Director Oracle Central & Eastern Europe.
ARCHITEKTURA SOA JAKO KLUCZ DO CYFROWEJ TRANSFORMACJI Agata Kubacka, Poczta Polska Tomasz Gajewski, Poczta Polska Jerzy Niemojewski, Savangard © 2016 Software.
Marcin Gliński Instytut Języków Romańskich i Translatoryki UŚ Regionalny Ośrodek Doskonalenia Nauczycieli WOM w Katowicach NOCNE POWTÓRKI MATURALNE 2016.
BIG DATA Przetwarzanie i analiza zbiorów danych w czasie rzeczywistym Marcin Żuchowski SKILLSLEASE Sp. z o.o. |
TWOJA CYFROWA PRZYSZŁOŚĆ. JUŻ DZISIAJ. © 2016 Software AG.
Opracowanie: Katarzyna Gagan, Anna Krawczuk
systemy informatyczne dla przemysłu
How to use this deck This deck is designed with animations on almost every slide. For most slides, the animation will play automatically, and it is not.
Zaprojektowaliśmy nowoczesny polski inteligentny falownik i komponenty smart z myślą o KLASTRACH. Spirvent: Wynalazcy, Projektanci energoelektroniki, zaprojektowaliśmy.
Microsoft dla ZDROWIA Dlaczego technologii chmurowych nie da się
Dell EMC Channel Technology Event
GTS Shared Infrastructure (GSI)
Managed Service Identity dla zasobów w Microsoft Azure
Darmowe narzędzia Veeam dla administratorów infrastruktury.
Aktywacja i przypisanie dostępnych licencji Dynamics 365 w Microsoft Partner Network Instrukcja Ostatnia aktualizacja
Running Dictation Activity to Engage Students in Reading, Writing, Listening, and Speaking.
Pobranie dostępnych licencji partnerskich i sprawdzenie ich liczby w Microsoft Partner Network Instrukcja Ostatnia aktualizacja
Lesson 11 – Problem Solving & Applications of Functions
Aktywacja i przypisanie dostępnych licencji Office 365 w Microsoft Partner Network Instrukcja Ostatnia aktualizacja
Technologie Informacyjne Bazy danych
zl
1) What is Linux 2) Founder and mascot of linux 3) Why Torvalds created linux ? 4) System advantages and disadvantages 5) Linux distributions 6) Basic.
SatMapping Your map from space Cover page
Zapis prezentacji:

Szyfrowanie bez zmian formatu i tokenizacja Przykłady projektów referencyjnych Cezary Prokopowicz Menadżer Sprzedaży HPE Security prokopow@hpe.com

Pięć wielkich wyzwań odnośnie DANYCH Obawa o Naruszenie Danych Compliance – PCI, HIPAA, etc. Migracja wrażliwych danych do Chmury Przekaz wrażliwych danych oraz danych z Internetu Rzeczy do Big Data Umożliwienie CISO powiedzenia “TAK”

GDPR - RoDo HPE Security – Data Security Suggested slide use: Introducing Presenters or Staff

HPE Security – Data Security GDPR Mapa produktów

HPE SecureData

Prezentacja produktów HPE SecureData HPE SecureData Web Services API HPE SecureData Command Line and Automated Parsers HPE SecureData Native APIs (C, Java, C#, .NET) HPE SecureData Key Servers HPE SecureData Central Management Console HPE Stateless Key Management Encryption + Tokenization Broad Platform Support

HPE Security – Data Security zapewnia kompletną ochronę Threats to Data Traditional IT infrastructure security Data Ecosystem Security Gaps HPE Security data-centric security Data and applications Credential Compromise Authentication Management Security gap Middleware Traffic Interceptors SSL/TLS/firewalls Security gap SQL injection, Malware Databases Database encryption Data security coverage End-to-end Protection Security gap Malware, Insiders SSL/TLS/firewalls File systems Security gap Malware, Insiders Disk encryption Storage

“FPE” i “SST”

HPE Format-Preserving Encryption (FPE) Imię: Jan Nazwisko: Kowalski PESEL: 66070814729 Data Ur.: 08-07-1966 NIP 934-721-23-56 Imię: Uywjlqo Nazwisko: Muwruwwbp PESEL: 67091284623 DOB: 12-09-1967 FPE AES-FF1 mode 253-678-23-56 Regular AES-CBC mode Ija&3k24kQotugDF2390^32 0OWioNu2(*872weW Oiuqwriuweuwr%oIUOw1@ 8juYE%Uks&dDFa2345^WFLERG Zatwierdzony jako standard tryb kodowania AES (NIST SP800-38G) - HPE Format-Preserving Encryption Wysoka wydajność, ograniczona ingerencja w infrastrukturę IT Zakodowane od momentu wprowadzenia dane są zabezpieczone. Większość aplikacji może działać z takimi danymi Wpasowuje się do istniejących systemów, protokołów wymiany danych etc. (nazwisko, adres, itp.) Zachowanie „referencyjnej” integralności

Format-preserving encryption: standardy i rola lider Użycie „standardowego” szyfrowania jest krytyczne dla projektów ochrony danych Otwarte standardy uniezależniają od dostawców i usuwają ryzyka z tym związane Nie-standardowe i nie-upubliczniona kryptografia implikują problemy bezpieczeństwa i prawne W przypadku naruszenia danych organizacje nie mogą bronić się autorytetem standardów Format-Preserving Encryption (NIST SP800-38G) HPE Security – Data Security jest autorem trybów FFx FPE zatwierdzonych jako standardy przez NIST HPE Security – Data Security opatentowało wszystkie tryby FFx

HPE Secure Stateless Tokenization (SST) Tokenizacja rekomendowana przez audytorów PCI DSS dla ochrony danych właścicieli kart Redukcja zakresu audytu PCI upraszcza audyt i obniża jego koszty Tradycyjne technologie tokenizacji: Stosują bazodanowe “sejfy tokenów” Problemy ze skalowalnością, wydajnością i disaster recovery Wprowadzają możliwość kolizji tokenów Wymagają backupu transakcji Encrypted Original Data Token Sejf Tokenów

Tradycyjna Tokenizacja Encrypted Original Data Token RNG RNG Encrypted Original Data Token 2200-ABCD-1234-1111 2200-ABCD-1234-1111 ? Calling Applications 2200-WXYZ-9999-1111 ? 4040-1111-1111-1111

Voltage Secure Stateless Tokenization Voltage SecureData Appliance Voltage SecureData Appliance PAN Token 00000000000 19182929129 00000000001 87871251521 00000000002 21872773612 00000000003 39289736131 … 99999999999 67362615625 PAN Token 00000000000 19182929129 00000000001 87871251521 00000000002 21872773612 00000000003 39289736131 … 99999999999 67362615625 Management Console Management Console Web Services API Web Services API Calling Application Key Server Key Server 4040-1111-1111-1111 4040-1111-1111-1111 4040-1111-1111-1111 2200-ABCD-1234-1111 2200-ABCD-1234-1111

HPE Secure Stateless Tokenization (SST) Karta kredytowa NIP 1234 5678 8765 4321 934-721-23-56 SST 8736 5533 4678 9453 347-98-83-09 Częściowe SST 1234 5633 4678 4321 347-98-23-56 Maskowane SST 1234 56AZ UYTZ 4321 AZS-UX-23-56 Zastępuje bazę danych tokenów mniejszą tablicą mapowania tokenów Wartości tokenów są mapowane z użyciem liczb losowych Obniżenie kosztów Brak potrzeby użycia hardware, problemów z replikacją

Tokenizacja: standardy, pozycja lidera Secure Stateless Tokenization Możliwość przeglądu algorytmów (otwartość) Zweryfikowana przez ekspertów Coalfire dla wymagań PCI Używana przez główne brandy kart kredytowych, emitentów i akwizytorów Zweryfikowana przez środowisko niezależnych ekspertów Standardy ANSI X9.124 and X9.119 HPE Security – Data Security CTO Chair of ANSI X9 F1 Driving tokenization, Format-Preserving Encryption i zarządzanie kluczami dla instytucji finansowych

Ochrona danych z HPE FPE i HPE SST Gwarantowana „referencyjna” integralność lub pełna randomizacja danych określana politykami Możliwość zabezpieczenia danych i anonimizacji w ramach jednego rozwiązania Możliwość generacji danych dla celów testowania, szkolenia itp.

“Data-Centric” Security

Przepływ danych PAN External Internal Web Form New Account Application 4040 1234 1234 9999 Web Form 4040 1234 1234 9999 New Account Application 4040 1234 1234 9999 Central Database 4040 1234 1234 9999 Fraud Detection 4040 1234 1234 9999 4040 1234 1234 9999 Hadoop Analytics Customer Service Application 4040 1234 1234 9999 HP NonStop External Internal

Ograniczenie dostępu do danych PAN – PCI DCC 4040 1234 1234 9999 Web Form 4040 1234 1234 9999 New Account Application 4040 6763 0123 9999 Central Database HP SecureData 4040 6763 0123 9999 Fraud Detection 4040 6763 0123 9999 4040 6763 0123 9999 Hadoop Analytics Customer Service Application 4040 1234 1234 9999 HP NonStop CDE Internal External

Przepływ poufnych danych 4040 1234 1234 9999 John Smith 4040 1234 1234 9999 John Smith 4040 1234 1234 9999 John Smith Web Form New Account Application Fraud Detection 4040 1234 1234 9999 John Smith Database This flow is to illustrate the “before” state, where sensitive data comes from a source, and then quickly finds its way all around the organisation. Even if the data isn’t actually needed in every place.. It goes there anyway and makes every spot on the diagram susceptible to attack and data loss. CC Processing 4040 1234 1234 9999 John Smith 4040 1234 1234 9999 John Smith Customer Service Application Hadoop Analytics

To samo środowisko z HPE SecureData 4040 1234 1234 9999 Jan Kowalski 4040 6763 0123 9999 Kelt Dqitp 4040 1234 1234 9999 Jan Kowalski Web Form New Account Application Fraud Detection HPE SecureData 4040 6763 0123 9999 Kelt Dqitp Database The “AFTER” state of the same flow. The orange lines are integration points where information is protected or accessed using the HPE SecureData solution. Some things to point out: -Analytics can still be done on the PROTECTED forms of the data in the Fraud Detection and Hadoop segments. To put it technically: referential integrity is preserved with FPE. -Only the data that is really needed at any spot needs to be exposed. Point to the example of the Customer Service Application. -The default state of the data has changed to be protected so that it is only ever exposed when it is really needed. This is a much better position to be in from a risk and compliance standpoint. CC Processing 4040 6763 0123 9999 Jan Kowalski 4040 6763 0123 9999 Kelt Dqitp Customer Service Application Hadoop Analytics

Analityka w przypadku wewnętrznej i zewnętrznej organizacji Jan Kowalski 4040 1234 1234 9999 Spokojna 10 62102278325 Jan Kowalski 4040 1234 1234 9999 Spokojna 10 62102278325 Widok wewnątrz (Re-iidentyfikacja jeśli potrzeba) Wewnętrzna Aplikacja Jan Kowalski 4040 1298 7203 9999 Spokojna 10 62102229148 Widok wewnątrz Wewnętrzna Baza Danych Wewnętrzna Aplikacja BI HP SecureData Jan Kowalski 4040 1234 1234 9999 Spokojna 10 62102278325 ETL Fkjn Waoqt 4040 1298 7203 9999 192 Geoq Dewapw 62102229148 Widok zewnątrz (tylko wskazane dane) Fkjn Waoqt 4040 1298 7203 9999 192 Geoq Dewapw 62102229148 Administratorzy nie widzą zabezpieczonej informacji

HPE SecureData – platforma zabezpieczenia danych HSM Źródła uwierzytelnienia i autoryzacji (active directory) Konsola zarządzająca HPE SecureData HPE SecureData Command Lines Volume Key Management HPE SecureData Web Services API HPE SecureData Native APIs (C, Java, C#/.NET) HPE SecureData File Processor HPE SecureData Native UDFs HPE SecureData z/Protect, z/FPE Partner integrations SaaS & PaaS cloud apps Payment terminals Kontrolowane politykami usługi zabezpieczenia danych i klienci Aplikacje biznesowe, składowanie danych i procesy Volumes and storage ETL & data integration suites Teradata, Hadoop & HPE Haven HPE Nonstop Applications & Databases Mainframe applications & databases Web/cloud applications (AWS, Azure) Enterprise applications Production databases Payment systems 3rd party applications Network Interceptors 3rd party SaaS gateways

HPE SecureData HPE Stateless Key Management Brak bazy danych kluczy dla ich przechowywania i zarządzania nimi Wysoka wydajność, nieograniczona skalowalność Obie technologie kodowania & tokenizacji Kastomizowane rozwiązanie dla spełnienia wymagań Wsparcie różnych platform On-premise / cloud / Big Data Ustrukturyzowane / Nieustrukturyzowane Linux, Hadoop, Windows, AWS, IBM z/OS, HP NonStop, Teradata, etc. Szybki zwrot z inwestycji Kompleksowe zabezpieczenie „end-to-end” na wspólnej platformie Zachowanie formatu zasadniczo upraszcza wdrożenie HPE SecureData Key Servers HPE SecureData Central Management Console HPE SecureData Web Services API HPE SecureData Command Line and Automated Parsers HPE SecureData Native APIs (C, Java, C#, .NET)

Dziękuję! Pytania?