Mejora de la seguridad de los datos a través de SQL Server 2005

Uso del cifrado de SQL Server 2005 como ayuda en la protección de datos

Publicado: octubre 1, 2005

Artículo técnico

*

* *
* *

Situación

Las recientes leyes federales, estatales e internacionales que definen las obligaciones del cumplimiento de las disposiciones legales correspondientes a las empresas que almacenan información de identificación personal han hecho que Microsoft IT vuelva a evaluar los marcos de seguridad de bases de datos existentes.

Solución

Las capacidades de cifrado de niveles de columna y la administración de claves integrada de Microsoft SQL Server permiten a Microsoft IT desarrollar diferentes estrategias de cifrado para mejorar la seguridad de la información importante en el espacio de aplicaciones empresariales de Microsoft IT.

Ventajas

La administración de claves de Microsoft SQL Server 2005 permite la creación de un marco de administración de claves de cifrado sólido, al tiempo que sencillo y de uso fácil.
Las capacidades de cifrado de niveles de columna integradas proporcionan la flexibilidad necesaria para cifrar datos importantes en las aplicaciones sin necesidad de considerar la sobrecarga que conlleva el cifrado de un almacén completo.
Las características de cifrado integradas de SQL Server 2005 permiten el descifrado de datos en una vista, así como un fácil acceso a los datos cifrados.
La jerarquía de administración de claves completa de SQL Server 2005 ofrece la capacidad de crear procedimientos almacenados con firma digital para simplificar el cifrado de datos.

Productos y tecnologías

Microsoft SQL Server 2005

En esta página
Resumen ejecutivo Resumen ejecutivo
Introducción Introducción
Entorno de aplicación Entorno de aplicación
Solución: Cifrado de SQL Server 2005 Solución: Cifrado de SQL Server 2005
FeedStore FeedStore
Payroll Controls Reporting System (Sistema de generación de informes de controles de nóminas) Payroll Controls Reporting System (Sistema de generación de informes de controles de nóminas)
Metropolis Metropolis
Prácticas recomendadas Prácticas recomendadas
Conclusión Conclusión
Información adicional Información adicional
Apéndice: Escenarios de uso de cifrado Apéndice: Escenarios de uso de cifrado

Resumen ejecutivo

Al igual que sucede con muchas grandes empresas, Microsoft analiza detenidamente los marcos de seguridad de bases de datos existentes para garantizar que cumplen con los recientes requisitos de las disposiciones legales gubernamentales, como, por ejemplo, la ley Sarbanes-Oxley de 2002. Estos requisitos especifican las condiciones para el almacenamiento de información de identificación personal. Dichos requisitos no sólo afectan a la información almacenada en una base de datos, sino que también repercuten en los mecanismos de transferencia de datos, los controles de acceso y autorización de bases de datos y la auditoría de éstas.

Con el uso de este análisis de la base de datos, Microsoft Information Technology (Microsoft IT) determinaba que los datos importantes se duplicaban en todo el espacio de aplicaciones empresariales de Microsoft IT. Esta información se duplicaba cuando los datos se transferían y replicaban durante las operaciones diarias de la empresa.

En respuesta a este análisis, Microsoft IT desarrolló estrategias con el fin de reducir la duplicación de datos importantes y mejorar la seguridad de la información de identificación personal en el espacio de aplicaciones empresariales de Microsoft IT. Estas estrategias se basan en las nuevas funcionalidades y características de seguridad que incluye Microsoft® SQL Server™ 2005.

El grupo de servicios de datos empresariales (Enterprise Data Service) de Microsoft IT creó un depósito de información central de 2 terabytes denominado FeedStore. El grupo desarrolló un proyecto piloto para mejorar la seguridad de la información de identificación personal que se transmite a través de FeedStore. En el proyecto se incluía la creación de un almacén de cifrado centralizado, denominado Digital Asset Store (almacén de activos digitales), que se destinaba a alojar información de identificación personal de gran importancia. Los servicios de datos empresariales diseñaron el almacén para utilizar las características de administración de claves y la funcionalidad de cifrado de niveles de columna en SQL Server 2005 para descifrar datos importantes en una ubicación central. Este proyecto tenía unos claros objetivos empresariales y funcionales para ayudar a eliminar o reducir la duplicación de datos en aplicaciones empresariales de Microsoft IT.

El departamento financiero de Microsoft IT creó la aplicación Payroll Controls Reporting System (PCRS). Este departamento desarrolló un marco de seguridad para mejorar la seguridad de los datos mediante el cifrado de información importante que se podía almacenar en el almacén de datos de PCRS. Asimismo, el departamento de tecnología de la información de servicios de Microsoft IT utilizó las capacidades de cifrado de niveles de columna y la funcionalidad de administración de claves de SQL Server 2005 para crear un sólido mecanismo de cifrado (confiable y eficaz) que cifrara los datos en la aplicación empresarial Metropolis.

En este documento se comparten las experiencias de Microsoft IT con estas estrategias de seguridad y con las capacidades de cifrado de SQL Server 2005. Actualmente se llevan a cabo varios proyectos piloto de SQL Server 2005, por lo que Microsoft IT ha adoptado valiosos conocimientos y prácticas adecuadas que se relacionan con el cifrado y la consolidación de datos en el espacio de aplicaciones empresariales de Microsoft IT. Debido a que los requisitos de Microsoft IT constituyen unos de los mayores desafíos técnicos a nivel mundial, las estrategias desarrolladas y los conocimientos adquiridos a través de la implementación de SQL Server 2005 deben proporcionar un asesoramiento importante para las empresas que desean implementar un marco de administración de claves y cifrado basado en esta aplicación.

Este documento se dirige a los empresarios y técnicos responsables de tomas de decisiones, arquitectos de TI, desarrolladores de bases de datos y administradores de implementación. Aunque en el artículo se incluyen recomendaciones basadas en las primeras experiencias adoptadas de Microsoft IT, no se pretende ofrecer una guía de procedimiento. Cada entorno empresarial tiene sus propias circunstancias. Por tanto, cada organización debe adaptar esta información para cumplir sus necesidades específicas.

Nota: por razones de seguridad, los nombres de ejemplo de recursos internos, organizaciones y nombres de archivos de seguridad desarrollados internamente que aparecen en este artículo no representan nombres de recursos reales de Microsoft y se incluyen únicamente por motivos ilustrativos.

Introducción

Los empresarios responsables de la toma de decisiones suelen solicitar información sobre la experiencia del uso de productos y tecnologías de Microsoft en la propia compañía. Los departamentos de Microsoft IT no sólo ofrecen servicios de tecnología de la información; estos departamentos también actúan como primer cliente para cada nuevo lanzamiento de software para servidores y productividad empresarial. Debido a que los requisitos de Microsoft IT constituyen unos de los mayores desafíos mundiales desde el punto de vista técnico, los métodos que se emplean para implementar estas tecnologías y la experiencia que adquiere Microsoft gracias a estas implementaciones suelen ofrecer importantes pautas operativas y de implementación para otras empresas que desean implementar productos de Microsoft.

Los departamentos de Microsoft IT trabajan con nuevos productos desde las ediciones preliminares hasta las ediciones de salida a fabricación (RTM), por lo que Microsoft obtiene comentarios importantes sobre los resultados respecto a las características y funcionalidades. Esta información sobre resultados mejora los productos de software y ayuda a los clientes y socios de Microsoft a implementar con éxito estos productos y tecnologías.

Información general sobre los requisitos de las disposiciones legales

Al igual que sucede con otras empresas, Microsoft ha vuelto a evaluar los marcos de seguridad actuales para garantizar que cumplen con las recientes leyes federales, estatales e internacionales que definen las obligaciones del cumplimiento de las disposiciones legales para la información personal. En Estados Unidos, estas disposiciones incluyen las siguientes leyes federales y estatales:

Ley Sarbanes-Oxley de 2002.
Ley Gramm-Leach-Bliley (GLBA) de 1999.
Ley de transferencia y responsabilidad de seguros de salud (HIPAA) de 1996.
Ley de privacidad y derechos educativos de la familia (FERPA).
FDA Título 21, CFR Sección 11.
Proyecto de ley 1386 del Senado de California.
Proyecto de ley 6043 del Senado de Washington.

Las disposiciones legales internacionales también definen las obligaciones de cumplimiento para las empresas que almacenan información de identificación personal. Entre estas disposiciones se incluyen:

Ley canadiense de protección de información personal y documentos electrónicos (PIPEDA).
Directiva de la Unión Europea de protección de datos.
Acuerdo de Basilea, conocido como Basilea II.

Las organizaciones que almacenan información personal del cliente deben considerar detenidamente las implicaciones de estos nuevos requisitos de las disposiciones legales. Estos requisitos afectan a las siguientes operaciones de bases de datos:

Autenticación de bases de datos, incluidas las directivas de contraseñas y los protocolos de autenticación
Controles de acceso y autorización de bases de datos
Protección de datos para la información confidencial almacenada en una base de datos
Protección de datos para la información confidencial que se transfiere desde una base de datos o a una de ellas
Auditorías de transacciones de base de datos para ayudar a garantizar la confidencialidad e integridad de la información

Las empresas deben respetar las obligaciones del cumplimiento de las disposiciones legales relativas a la información de identificación personal. Para ofrecer una protección de datos eficaz y rentable, los departamentos empresariales de TI deben reconsiderar el modo en que sus organizaciones almacenan y administran la información importante.

Descripción general del cifrado de datos

Durante la evaluación de un marco de seguridad, puede que los departamentos empresariales de TI tengan que volver a considerar la seguridad de sus organizaciones. Estas precauciones de seguridad pueden incluir directivas de contraseñas y auditoría, aislamiento de servidores de base de datos, así como controles de autorización y autenticación de aplicaciones. No obstante, la barrera de seguridad final para ayudar a proteger la información importante suele ser el cifrado de datos.

El cifrado es un mecanismo de protección de datos. Ayuda a proteger la confidencialidad de la información ocultando los datos de forma que únicamente los usuarios autorizados puedan leerlos y tener acceso a ellos. La información se cifra cuando los datos originales, denominados texto sin formato, junto con un valor que se conoce como clave, se transmiten a través de una o varias fórmulas matemáticas. Este procedimiento hace que los datos originales resulten ilegibles. Los datos resultantes se denominan texto cifrado. Para que esta información se pueda leer de nuevo, el destinatario descifra los datos invirtiendo el proceso matemático junto con la clave correcta.

Sin embargo, este tipo de protección de datos supone un costo de requisitos de almacenamiento y tiempo de procesamiento del equipo. Una clave de cifrado más larga ayuda a que el texto cifrado sea más seguro que si la organización utiliza una clave más corta. No obstante, esta operación de cifrado y descifrado más compleja supone un mayor costo respecto al tiempo de procesamiento que el cifrado donde se emplea una clave más corta. Asimismo, con el cifrado aumenta el tamaño de los datos de destino (cifrados).

Existen dos tipos principales de cifrado:

Cifrado simétrico. También se denomina cifrado de clave compartida.
Cifrado asimétrico. Se conoce como cifrado de dos partes o cifrado de clave pública.

 

* Con SQL Server 2005 podremos mejorar la seguridad y cifrar la información que necesita protección; por ejemplo, los números de la seguridad social, entre otros datos importantes. *
David Fahey
Tecnólogo
Microsoft Corporation

Cifrado simétrico

Este tipo de cifrado emplea la misma clave para cifrar y descifrar los datos. Los algoritmos utilizados en este procedimiento son más sencillos que los que se usan en el cifrado asimétrico. Por esta razón, y debido a que se utiliza la misma clave para cifrar y descifrar los datos, el cifrado simétrico resulta mucho más rápido que el asimétrico. Por lo tanto, el cifrado simétrico es adecuado para cifrar y descifrar una gran cantidad de datos. En la figura 1 se muestra el proceso del cifrado simétrico.

Figura 1. Proceso de cifrado simétrico