web-dev-qa-db-ja.com

データベースサーバーよりもアプリケーションサーバーでデータを暗号化する方が良いのはなぜですか?

これは、アプリケーションで機密データを保護する場合です。 OWASP Top 10:A6 Sensitive Data Exposure に記載されています。

3
ghost

答えは、あなたが読んだチートシートの文の横に記載されています。

RDBMSデータベース、行、またはテーブルレベルの暗号化を使用しないでください。データは、サーバーに直接アクセスできる誰でも、またはアプリケーションの資格情報を使用してネットワーク経由で、クリアテキストで取得できます。ディスク上で「暗号化」されているにもかかわらず、ネットワークを平文で通過することさえあります。

基本的に、DBでのみ暗号化する場合は、機密データがアプリサーバーからDBに移動している間も、機密データを読み取ることができます。

セキュリティ/パフォーマンス要件と脅威モデルに応じて、2層の暗号化を使用できます。

5
Jedi