Szyfrowanie bez zmian formatu i tokenizacja Przykłady projektów referencyjnych Cezary Prokopowicz Menadżer Sprzedaży HPE Security prokopow@hpe.com
Pięć wielkich wyzwań odnośnie DANYCH Obawa o Naruszenie Danych Compliance – PCI, HIPAA, etc. Migracja wrażliwych danych do Chmury Przekaz wrażliwych danych oraz danych z Internetu Rzeczy do Big Data Umożliwienie CISO powiedzenia “TAK”
GDPR - RoDo HPE Security – Data Security Suggested slide use: Introducing Presenters or Staff
HPE Security – Data Security GDPR Mapa produktów
HPE SecureData
Prezentacja produktów HPE SecureData HPE SecureData Web Services API HPE SecureData Command Line and Automated Parsers HPE SecureData Native APIs (C, Java, C#, .NET) HPE SecureData Key Servers HPE SecureData Central Management Console HPE Stateless Key Management Encryption + Tokenization Broad Platform Support
HPE Security – Data Security zapewnia kompletną ochronę Threats to Data Traditional IT infrastructure security Data Ecosystem Security Gaps HPE Security data-centric security Data and applications Credential Compromise Authentication Management Security gap Middleware Traffic Interceptors SSL/TLS/firewalls Security gap SQL injection, Malware Databases Database encryption Data security coverage End-to-end Protection Security gap Malware, Insiders SSL/TLS/firewalls File systems Security gap Malware, Insiders Disk encryption Storage
“FPE” i “SST”
HPE Format-Preserving Encryption (FPE) Imię: Jan Nazwisko: Kowalski PESEL: 66070814729 Data Ur.: 08-07-1966 NIP 934-721-23-56 Imię: Uywjlqo Nazwisko: Muwruwwbp PESEL: 67091284623 DOB: 12-09-1967 FPE AES-FF1 mode 253-678-23-56 Regular AES-CBC mode Ija&3k24kQotugDF2390^32 0OWioNu2(*872weW Oiuqwriuweuwr%oIUOw1@ 8juYE%Uks&dDFa2345^WFLERG Zatwierdzony jako standard tryb kodowania AES (NIST SP800-38G) - HPE Format-Preserving Encryption Wysoka wydajność, ograniczona ingerencja w infrastrukturę IT Zakodowane od momentu wprowadzenia dane są zabezpieczone. Większość aplikacji może działać z takimi danymi Wpasowuje się do istniejących systemów, protokołów wymiany danych etc. (nazwisko, adres, itp.) Zachowanie „referencyjnej” integralności
Format-preserving encryption: standardy i rola lider Użycie „standardowego” szyfrowania jest krytyczne dla projektów ochrony danych Otwarte standardy uniezależniają od dostawców i usuwają ryzyka z tym związane Nie-standardowe i nie-upubliczniona kryptografia implikują problemy bezpieczeństwa i prawne W przypadku naruszenia danych organizacje nie mogą bronić się autorytetem standardów Format-Preserving Encryption (NIST SP800-38G) HPE Security – Data Security jest autorem trybów FFx FPE zatwierdzonych jako standardy przez NIST HPE Security – Data Security opatentowało wszystkie tryby FFx
HPE Secure Stateless Tokenization (SST) Tokenizacja rekomendowana przez audytorów PCI DSS dla ochrony danych właścicieli kart Redukcja zakresu audytu PCI upraszcza audyt i obniża jego koszty Tradycyjne technologie tokenizacji: Stosują bazodanowe “sejfy tokenów” Problemy ze skalowalnością, wydajnością i disaster recovery Wprowadzają możliwość kolizji tokenów Wymagają backupu transakcji Encrypted Original Data Token Sejf Tokenów
Tradycyjna Tokenizacja Encrypted Original Data Token RNG RNG Encrypted Original Data Token 2200-ABCD-1234-1111 2200-ABCD-1234-1111 ? Calling Applications 2200-WXYZ-9999-1111 ? 4040-1111-1111-1111
Voltage Secure Stateless Tokenization Voltage SecureData Appliance Voltage SecureData Appliance PAN Token 00000000000 19182929129 00000000001 87871251521 00000000002 21872773612 00000000003 39289736131 … 99999999999 67362615625 PAN Token 00000000000 19182929129 00000000001 87871251521 00000000002 21872773612 00000000003 39289736131 … 99999999999 67362615625 Management Console Management Console Web Services API Web Services API Calling Application Key Server Key Server 4040-1111-1111-1111 4040-1111-1111-1111 4040-1111-1111-1111 2200-ABCD-1234-1111 2200-ABCD-1234-1111
HPE Secure Stateless Tokenization (SST) Karta kredytowa NIP 1234 5678 8765 4321 934-721-23-56 SST 8736 5533 4678 9453 347-98-83-09 Częściowe SST 1234 5633 4678 4321 347-98-23-56 Maskowane SST 1234 56AZ UYTZ 4321 AZS-UX-23-56 Zastępuje bazę danych tokenów mniejszą tablicą mapowania tokenów Wartości tokenów są mapowane z użyciem liczb losowych Obniżenie kosztów Brak potrzeby użycia hardware, problemów z replikacją
Tokenizacja: standardy, pozycja lidera Secure Stateless Tokenization Możliwość przeglądu algorytmów (otwartość) Zweryfikowana przez ekspertów Coalfire dla wymagań PCI Używana przez główne brandy kart kredytowych, emitentów i akwizytorów Zweryfikowana przez środowisko niezależnych ekspertów Standardy ANSI X9.124 and X9.119 HPE Security – Data Security CTO Chair of ANSI X9 F1 Driving tokenization, Format-Preserving Encryption i zarządzanie kluczami dla instytucji finansowych
Ochrona danych z HPE FPE i HPE SST Gwarantowana „referencyjna” integralność lub pełna randomizacja danych określana politykami Możliwość zabezpieczenia danych i anonimizacji w ramach jednego rozwiązania Możliwość generacji danych dla celów testowania, szkolenia itp.
“Data-Centric” Security
Przepływ danych PAN External Internal Web Form New Account Application 4040 1234 1234 9999 Web Form 4040 1234 1234 9999 New Account Application 4040 1234 1234 9999 Central Database 4040 1234 1234 9999 Fraud Detection 4040 1234 1234 9999 4040 1234 1234 9999 Hadoop Analytics Customer Service Application 4040 1234 1234 9999 HP NonStop External Internal
Ograniczenie dostępu do danych PAN – PCI DCC 4040 1234 1234 9999 Web Form 4040 1234 1234 9999 New Account Application 4040 6763 0123 9999 Central Database HP SecureData 4040 6763 0123 9999 Fraud Detection 4040 6763 0123 9999 4040 6763 0123 9999 Hadoop Analytics Customer Service Application 4040 1234 1234 9999 HP NonStop CDE Internal External
Przepływ poufnych danych 4040 1234 1234 9999 John Smith 4040 1234 1234 9999 John Smith 4040 1234 1234 9999 John Smith Web Form New Account Application Fraud Detection 4040 1234 1234 9999 John Smith Database This flow is to illustrate the “before” state, where sensitive data comes from a source, and then quickly finds its way all around the organisation. Even if the data isn’t actually needed in every place.. It goes there anyway and makes every spot on the diagram susceptible to attack and data loss. CC Processing 4040 1234 1234 9999 John Smith 4040 1234 1234 9999 John Smith Customer Service Application Hadoop Analytics
To samo środowisko z HPE SecureData 4040 1234 1234 9999 Jan Kowalski 4040 6763 0123 9999 Kelt Dqitp 4040 1234 1234 9999 Jan Kowalski Web Form New Account Application Fraud Detection HPE SecureData 4040 6763 0123 9999 Kelt Dqitp Database The “AFTER” state of the same flow. The orange lines are integration points where information is protected or accessed using the HPE SecureData solution. Some things to point out: -Analytics can still be done on the PROTECTED forms of the data in the Fraud Detection and Hadoop segments. To put it technically: referential integrity is preserved with FPE. -Only the data that is really needed at any spot needs to be exposed. Point to the example of the Customer Service Application. -The default state of the data has changed to be protected so that it is only ever exposed when it is really needed. This is a much better position to be in from a risk and compliance standpoint. CC Processing 4040 6763 0123 9999 Jan Kowalski 4040 6763 0123 9999 Kelt Dqitp Customer Service Application Hadoop Analytics
Analityka w przypadku wewnętrznej i zewnętrznej organizacji Jan Kowalski 4040 1234 1234 9999 Spokojna 10 62102278325 Jan Kowalski 4040 1234 1234 9999 Spokojna 10 62102278325 Widok wewnątrz (Re-iidentyfikacja jeśli potrzeba) Wewnętrzna Aplikacja Jan Kowalski 4040 1298 7203 9999 Spokojna 10 62102229148 Widok wewnątrz Wewnętrzna Baza Danych Wewnętrzna Aplikacja BI HP SecureData Jan Kowalski 4040 1234 1234 9999 Spokojna 10 62102278325 ETL Fkjn Waoqt 4040 1298 7203 9999 192 Geoq Dewapw 62102229148 Widok zewnątrz (tylko wskazane dane) Fkjn Waoqt 4040 1298 7203 9999 192 Geoq Dewapw 62102229148 Administratorzy nie widzą zabezpieczonej informacji
HPE SecureData – platforma zabezpieczenia danych HSM Źródła uwierzytelnienia i autoryzacji (active directory) Konsola zarządzająca HPE SecureData HPE SecureData Command Lines Volume Key Management HPE SecureData Web Services API HPE SecureData Native APIs (C, Java, C#/.NET) HPE SecureData File Processor HPE SecureData Native UDFs HPE SecureData z/Protect, z/FPE Partner integrations SaaS & PaaS cloud apps Payment terminals Kontrolowane politykami usługi zabezpieczenia danych i klienci Aplikacje biznesowe, składowanie danych i procesy Volumes and storage ETL & data integration suites Teradata, Hadoop & HPE Haven HPE Nonstop Applications & Databases Mainframe applications & databases Web/cloud applications (AWS, Azure) Enterprise applications Production databases Payment systems 3rd party applications Network Interceptors 3rd party SaaS gateways
HPE SecureData HPE Stateless Key Management Brak bazy danych kluczy dla ich przechowywania i zarządzania nimi Wysoka wydajność, nieograniczona skalowalność Obie technologie kodowania & tokenizacji Kastomizowane rozwiązanie dla spełnienia wymagań Wsparcie różnych platform On-premise / cloud / Big Data Ustrukturyzowane / Nieustrukturyzowane Linux, Hadoop, Windows, AWS, IBM z/OS, HP NonStop, Teradata, etc. Szybki zwrot z inwestycji Kompleksowe zabezpieczenie „end-to-end” na wspólnej platformie Zachowanie formatu zasadniczo upraszcza wdrożenie HPE SecureData Key Servers HPE SecureData Central Management Console HPE SecureData Web Services API HPE SecureData Command Line and Automated Parsers HPE SecureData Native APIs (C, Java, C#, .NET)
Dziękuję! Pytania?