web-dev-qa-db-ja.com

IS TDE PCI準拠?

PCIによるとPAN強力な暗号化が使用されている限り、データベースに保存できます。PCIによると、どの暗号化が強力であると見なすことができませんでした。ここに問題があります:PAN数値は私のデータベースの1つにクリアテキストとして保存され、これらの数値は(設定されたアクセス権を持つ)特定のアプリケーションから収集されてレポートを生成します。現在、[ 〜#〜] sql [〜#〜]データベースは数値をクリアテキストとして表示またはコピーできます。TDEについて私が言われたことは、ネットワーク内からデータベースにアクセスする誰もが数値をクリアテキストとして表示できることです。データベースが外部にコピーされた場合のみ、これらの番号は暗号化されます。私の質問は次のとおりです。データベースがTDE暗号化されている場合でも、データベース管理者が番号を明確に表示できることはPCI標準では大丈夫ですか?SQLデータベース他の方法で暗号化されている(DESの可能性がありますか?)ので、番号はアプリケーション内からのみ表示でき、ev DBにアクセスする全員が暗号化されたデータのみを表示しますか?

4
Optimus Prime

ここでは、Microsoft SQL Serverが提供する「TDE」機能について話していると想定しています。


[〜#〜] tde [〜#〜]透過的データ暗号化を意味し、「透過的」に重点を置いています。これは、保存時にデータに適用される暗号化レイヤーです。 SQL Serverが管理するすべてのバイトは、ディスクに書き込まれる前に暗号化され、読み取られるときに復号化されます。 SQL Serverを使用するアプリケーションは、そのプロセスを認識する必要はありません。これは、SQL Serverとそのストレージファイルの間の対話にのみ存在する問題です。したがって、透明性。その良い点は、適用が簡単で、非常に良好に機能することです(CPUオーバーヘッドが小さいから無視できる程度、余分なI/O、余分なスペースがありません...)。悪い面は、アプリケーションではなくSQL Server自体がゲートキーパーであるということです。SQLServerによってアクセスを許可されたユーザーは、明確なデータを見ることができます。

PCIコンプライアンスについては、この段落を含む このドキュメント を参照してください(最後に):

一部の暗号化ソリューションは、データベースに格納されている情報の特定のフィールドを暗号化します。他のものは、単一のファイル、またはデータが保存されているディスク全体を暗号化します。フルディスク暗号化を使用する場合、論理アクセスは、ネイティブのオペレーティングシステムのアクセス制御メカニズムとは別に管理する必要があります。復号化キーをユーザーアカウントに関連付けないでください。カード会員データの暗号化に使用される暗号化キーは、開示と誤用の両方から保護する必要があります。カード会員データの暗号化に使用される鍵のすべての鍵管理プロセスと手順は、完全に文書化され実装されている必要があります。詳細については、PCI DSS要件3を参照してください。

「フルディスク暗号化」はTDEに適用されるものです(TDEは名目上ファイルに適用されますが、すべてのファイルに適用されます)。 TDEでは、実際の暗号化キーはSQL Serverによって管理されます。SQLServerは、その構成に基づいてユーザーに論理アクセスを許可するかどうかを決定します。これは、ユーザーアカウントにマップする場合としない場合があります。したがって、TDEがPCIコンプライアンスを許可するかどうかは、それがどのように使用されるかに依存すると言えます。

TDEを使​​用してPCIコンプライアンスを実現する方法について明確な回答をする資格はありませんが、 Wikipediaページ には励みになる抜粋が含まれています。「企業は通常、PCIなどのコンプライアンス問題を解決するためにTDEを採用DSS。」したがって、TDEでPCI要件を満たすことは可能である、または少なくとも多くの人がそれが可能であると確信しているように思われ、これはほぼ同じです。 。

Microsoftは、SQL Serverをどのように構成し、コンプライアンスのコンテキストで使用するかについて ドキュメント を持っています。彼らは Webcast も持っています。これには多くの有用な情報が含まれている可能性があります(私はそれを表示していません)。

5
Tom Leek

PCIコンプライアンスと暗号化は、キー管理のセキュリティの観点から暗号化を扱います。強力な暗号化を参照していますが、これは一般に、3DES 112、AES 128/256などの業界標準を意味します。公開鍵暗号化が参照されている場合、RSA2048を探しています。

カード会員データ(PAN)は、強力な暗号化を使用して保存時に暗号化する必要があります。 TDEでは、データはSQLから選択したものを使用して保存時に暗号化されるため、AES128またはAES256になる可能性があります。

PCIに準拠するには、暗号化キーの二重制御と分割知識を示すことができる必要があります。 TDEでこれを(できるはずですが)示すことができれば、それは可能です。 QSAをお持ちの場合は、QSAと話し合う価値があります。

暗号化が必要な理由とそれが保護する理由について考える必要があります(PCIのボックスにチェックを入れたい場合を除きます)。 TDEでは暗号化は透過的であるため、ディスクが盗まれた場合、泥棒はデータベース空間で暗号化されたデータを表示しますが、ローカルユーザーは常にクリアテキストデータを表示します。物理的なセキュリティ管理のため、物理的な盗難は問題ではなく、データの盗難です。 TDEを使​​用すると、データは内部スタッフによってコピーおよび表示可能になり、フロントエンドに配置されたコントロールに応じて、[悪意のある]エンドユーザーがクリアテキストで抽出することもできます。

4
AndyMac