Sicurezza

Nel precedente articolo SQL Server Transparent Data Encryption, il secondo di questa serie di articoli dedicati alle funzionalità di Encryption di SQL Server, abbiamo descritto come per proteggere i dati crittografandoli a livello di I/O, quando sono a riposo.

Questo articolo presenta una introduzione ad un’altra funzionalità di crittografia, nota in un primo momento con il nome di Column Encryption, e successivamente rinominata in Always Encrypted.

Always Encrypted è una funzionalità progettata per proteggere i dati riservati, come i numeri di carte di credito, l’appartenenza ad un partito politico, le informazioni sullo stato di salute di una persona, etc. archiviati in SQL Server, on-premise oppure in cloud con Azure SQL. Always Encrypted consente di crittografare i dati sensibili all’interno delle applicazioni client e non rivelare mai le chiavi di crittografia all’Engine di SQL Server. Questa tecnologia fornisce una separazione tra coloro che possiedono i dati e possono visualizzarli e coloro che li gestiscono ma che non dovrebbero avere accesso a tali informazioni: ci riferiamo agli amministratori di database locali, operatori di database cloud o altri utenti non autorizzati con privilegi elevati. Always Encrypted consente quindi di archiviare in sicurezza i propri dati sensibili (anche in cloud) riducendo il rischio che tali informazioni vengano accedute da malintenzionati in possesso di credenziali con privilegi elevati.

Nel precedente articolo SQL Server Backup Encryption, il primo di questa serie di articoli dedicati alle funzionalità di Encryption di SQL Server, abbiamo descritto come implementare la crittografia nella propria strategia di backup. In questo articolo descriveremo un’altra funzionalità di crittografia dei dati, la Transparent Data Encryption.

Transparent Data Encryption (TDE) è stata introdotta in SQL Server 2008 per proteggere i dati crittografandoli a livello di I/O, si parla quindi di crittografica dei dati a riposo. Transparent Data Encryption crittografa i file fisici, sia i file di dati (.mdf, .ndf) che il file di log (.ldf) mentre i dati effettivi archiviati all’interno del database non vengono crittografati.

I database aziendali rappresentano il luogo in cui le informazioni sono memorizzate per guidare i processi produttivi dell’azienda. Tera di dati, decine di database, milioni di righe, l’intera attività dipende da questo e la sicurezza delle informazioni non può più essere un optional, si parla quindi di sicurezza by design e sicurezza by default.

Se gli ambienti sono all-on-premise la protezione dei dati appare più semplice rispetto ad ambienti ibridi o completamente cloud ma cosa succede se i backup dei database sono archiviati off-site o nel cloud? Scenari di questo tipo richiedono qualche precauzione in più, i dati risiedono letteralmente sull’infrastruttura di qualcun altro! Se qualcuno ottenesse l’accesso non autorizzato al sito, potrebbe semplicemente ripristinare una copia dei vostri database da un backup. A che serve, allora, proteggere in modo maniacale il perimetro aziendale se i backup possono essere archiviati all’esterno senza precauzioni? Le pratiche di sicurezza devono essere implementate non solo nell’ambiente di produzione ma anche all’interno della strategia di backup!

Segnalo l’edizione 2022 del Rapporto Clusit che, come di consueto, inizia con una panoramica degli incidenti di sicurezza più significativi avvenuti a livello globale nel primo semestre 2022, i dati raccolti nel 2022 vengono quindi confrontati con i dati raccolti nei 4 anni precedenti. Il Rapporto tratta anche l’evoluzione degli attacchi in Italia, che è ben rappresentata dalle rilevazioni e segnalazioni della Polizia Postale e delle Comunicazioni, che forniscono al Clusit dati e informazioni estremamente interessanti su attività ed operazioni svolte nel corso dei primi sei mesi del 2022.

Le sessioni presentate durante l’evento PASS Marathon “Edizione GDPR”, tenuto lo scorso 13 marzo 2018, sono state registrate e sono già disponibili per essere riguardate o viste per la prima volta nel caso non abbiate potuto seguire la diretta.

Ogni video è disponibile accedendo alla pagina della relativa sessione, qui trovate lo schedule completo:

http://www.pass.org/marathon/2018/march/Schedule.aspx

Ricordo che GDPR è l’acronimo di General Data Protection Regulation, parte del Regolamento Europeo 679/2016 sulla protezione dei dati personali. Aziende e professionisti sono tenuti, entro il 25 maggio 2018, ad uniformarsi alle nuove regole in materia di protezione dei dati, pena il rischio di incorrere in pesanti sanzioni.