WHITE PAPER

Una gua completa para

proteger los datos con
cifrado de bases de datos
Hoy da, las empresas piden cada vez ms a sus equipos de seguridad soportar la rpida expansin de
diferentes casos de uso del cifrado de bases de datos. Este documento ofrece un panorama detallado que
explica por qu la demanda de cifrado de bases de datos est siendo cada vez ms difcil y desafiante.
El documento ofrece una perspectiva general de los principales enfoques requeridos para abordar esta
creciente demanda, adems de destacar las diferentes maneras de enfocar el cifrado y ayudar a los
gestores a asegurarse de que estn utilizando las herramientas adecuadas para los fines correctos.
Finalmente, este documento ofrece un resumen de la cartera de soluciones de proteccin de datos
SafeNet y revela cmo dichas soluciones permiten a los equipos de seguridad alcanzar sus objetivos de
proteccin de bases de datos de manera eficiente y holstica.

Por qu est creciendo la demanda de cifrado
de bases de datos y se est haciendo cada vez
ms difcil?
Hoy en da en las empresas, prcticamente cada activo
empresarial digital crtico a la larga se almacena en bases de
datos corporativas. No es de sorprender que estos repositorios
sean a menudo los objetivos ms buscados de los internos
maliciosos y ciberdelincuentes, y es un peligro de la base
de datos que tiende a plantear las sanciones financieras y
estratgicas ms devastadoras para las empresas vctimas de
los ataques.
En estas circunstancias, las polticas de seguridad empresarial y
las normativas reguladoras han subrayado ms la importancia de
emplear el cifrado para establecer slidas salvaguardas en torno
a los datos en bases de datos.
No obstante, si bien la necesidad de proteger los datos en bases
de datos contina siendo ms urgente, tambin sigue siendo
ms desafiante. A medida que incrementa el uso de grandes
cantidades de datos, tambin lo hace el nmero de depsitos
dispares que acceden y aprovechan las bases de datos, lo cual
expande notablemente el nmero de sistemas que es necesario
proteger, as como los vectores de amenazas potenciales. Las
organizaciones se apoyan en una gama cada vez ms variada
de modelos informticos internos, externos e hbridos, lo
cual significa que ms bases de datos necesitan proteccin
en entornos y en ecosistemas ms complejos. Adems, deben
implementarse salvaguardias adicionales para reducir los
riesgos propios a entornos de nube, incluyendo capas adicionales
de riesgos administrativos y exposicin potencial si un proveedor
de nube es citado a comparecer en los tribunales.
Mientras tratan de hacer frente a esta creciente y cada vez
ms urgente demanda de cifrado de bases de datos, muchos
de los equipos de seguridad tienen que lidiar con sus actuales
herramientas y enfoques. En muchas organizaciones, la
implementacin del cifrado ha sido ms bien de carcter
tctico, impulsada por los esfuerzos asociados con equipos de
proyecto especficos, el cumplimiento de requisitos y los silos de
tecnologa. Esto ha redundado en implementaciones de cifrado
que no pueden ser operadas y administradas centralmente.
Especialmente cuando se trata de gestin de claves, la dispar
y fragmentada naturaleza de estas implementaciones ha
comenzado a plantear una serie de desafos, incluyendo la
escalada de almacenes de claves, costos y riesgos.
Determinar cmo cifrar los datos de la base de
datos
El requisito: Un enfoque holstico para la proteccin de las
bases de datos
Para abordar todos los problemas antes mencionados, es
esencial para los equipos de seguridad adoptar estrategias de
proteccin ms estratgicas para la empresa. Por lo tanto, los
equipos de seguridad necesitan aprovechar plataformas que
ofrezcan una gestin de claves y polticas eficiente en toda la
empresa, adems de disponer de las diversas capacidades y
soluciones flexibles necesarias para instituir el cifrado en la
manera ms eficaz para cada caso de uso.
Requisitos fundamentales
Cualquier solucin empleada debe dotar a los equipos de
seguridad con las siguientes capacidades fundamentales:
>> Proteger los datos y controlar el acceso a los mismos.
>> Aplicar estrictos controles para salvaguardar y gestionar
eficazmente las claves durante todo su ciclo de vida.
>> Almacenar y gestionar las claves de manera que
permanezcan fsica y lgicamente aisladas de los depsitos de
almacenamiento de datos.

Una gua completa para proteger los datos con cifrado de bases de datos - White Paper 1
 Elegir el enfoque adecuado para cada caso de uso
Cuando se trata de cifrar la informacin contenida en la base
de datos, los equipos de seguridad pueden elegir una serie
de enfoques y soluciones. Necesitan seleccionar soluciones
que aborden los medios de ataque ms crticos, al tiempo de
equilibrar factores tales como el coste, la integracin y el
trabajo de administracin, y niveles de servicio y conveniencia
del usuario. A continuacin se ofrece una descripcin general de
algunos de los mtodos disponibles y sus fortalezas y debilidades.
>> Cifrado y tokenizacin a nivel de la aplicacin. Aprovechando
el cifrado y tokenizacin a nivel de la aplicacin, las
organizaciones a menudo pueden obtener los ms altos niveles
de seguridad. Con este enfoque, las empresas pueden proteger
activos confidenciales durante todo su ciclo de vida, desde el
punto de creacin o captura inicial hasta la eliminacin. Por
otro lado, este enfoque tiende a requerir el mximo nivel de
esfuerzo de implementacin.
>> Cifrado de la base de datos. Mediante el cifrado en la capa
de la base de datos, las organizaciones pueden proteger
columnas especficas dentro de la base de datos. Por ejemplo,
pueden cifrar una columna que contiene nmeros de la
seguridad social de empleados, al tiempo que dejan accesibles
otros datos. Este enfoque puede facilitar la implementacin
de aplicaciones de cifrado, pero no puede abordar tantas
amenazas potenciales.
>> Cifrado a nivel de sistema de archivos. Con este enfoque,
las empresas pueden cifrar el archivo de la base de datos
completa. Este enfoque puede no ofrecer la amplia proteccin
que ofrece el cifrado a nivel de base de datos y aplicaciones,
pero puede ser una manera ptima de proteger archivos de
base de datos antes o cuando se exportan, se hace una copia de
seguridad y se almacenan. En comparacin con los enfoques
anteriores, esta alternativa es a menudo mucho ms fcil de
emplear y gestionar.
Dnde cifrar y administrar las claves?
En general, el uso de cifrado al nivel ms alto en la pila
informtica ofrece mayor seguridad, al tiempo que requiere
ms trabajo de implementacin
Fuente
Seguridad
Aplicacin
Base de datos
Archivo
Almacenamiento/Cinta/Disco
Destino
Trabajo de implementacin
Soluciones de proteccin de bases de datos
SafeNet
Con la cartera de soluciones de proteccin de datos SafeNet de
Gemalto, su organizacin puede establecer un enfoque amplio
y estratgico para la proteccin de datos contenidos en la base
de datos de su empresa. Gemalto ofrece una gama completa de
soluciones de cifrado y tokenizacin, y tambin soluciones de
gestin de claves central que permiten a su equipo de seguridad
administrar eficientemente todas las implementaciones de
Una gua completa para proteger los datos con cifrado de bases de datos - White Paper
cifrado de su organizacin y las claves. Las soluciones de
proteccin de datos SafeNet ofrecen estas ventajas exclusivas:
Proteccin de datos unificada
Gemalto ofrece una cartera completa de soluciones que
permitirn la proteccin de datos unificada en toda la empresa.
Virtual
En las instalaciones
Nube
Plataforma de proteccin
Base criptogrfica
de datos unificada
Certificaciones
Gestin de claves
Gestin de polticas Seguridad
>> Robusta gestin de claves centralizada. Todas las soluciones
de proteccin de datos SafeNet son implementadas con SafeNet
KeySecure, que ofrece una gestin centralizada y segura de
las claves de cifrado en toda la empresa. Al ofrecer gestin de
claves y polticas centralizada, y al permitir la rotacin de clave
de datos automatizados y la reintroduccin de datos, la solucin
contribuye a fortalecer la seguridad y reducir el trabajo
administrativo.
>> Eficiente implementacin y operacin. Las soluciones
de proteccin de datos SafeNet ofrecen administracin
centralizada, gestin de polticas, auditoria e informes, lo
cual promueve una adhesin de poltica coherente y una
administracin racionalizada. Con estas soluciones podr
aprovechar una arquitectura eficiente que minimiza el impacto
en el rendimiento del cifrado.
>> Adaptado a una gran variedad de entornos. Estas soluciones
ofrecen soporte a una amplia gama de entornos y modelos
informticos, incluidos varios servicios de nube pblica,
sistemas virtualizados, centros de datos tradicionales,
infraestructuras hbridas e implementaciones de tipo Big Data.
>> Soporte de cifrado multi-capa. Con las soluciones de
proteccin de datos SafeNet, los equipos de seguridad
pueden adoptar una serie de estrategias, incluidas cifrado de
columnas, archivos y carpetas, y la totalidad de las mquinas
virtuales o instancias. La suite incluye ofertas a nivel de base
de datos y soluciones a nivel de aplicacin para cifrado y
tokenizacin.
>> Completo soporte de base de datos. Con las soluciones
SafeNet, su organizacin podr cifrar datos en bases de datos
NoSQL, incluyendo Cassandra, MongoDB, y HBase; bases de
datos SQL, incluyendo Microsoft SQL Server, Oracle, IBM DB2,
MySQL, y PostgreSQL.
Soluciones para la proteccin de columnas
seleccionadas en bases de datos
SafeNet ProtectDB: Cifrado a nivel de columna
SafeNet ProtectDB cifra los datos a nivel de columna para
datos estructurados y bases de datos SQL. SafeNet ProtectDB
permite a las organizaciones alcanzar sus objetivos de seguridad,
incluyendo la proteccin de datos financieros, el cumplimiento
con PCI DSS y la salvaguardia de informacin de identificacin
personal.
2
 La solucin incluye capacidades de cifrado transparente y
eficiente. Con SafeNet ProtectDB, los equipos de seguridad
pueden instituir controles de acceso granular, incluyendo por
funcin, usuario, hora del da, y otras variables. La solucin
ofrece eficaces salvaguardias, tales como permitir a su equipo
de seguridad impedir que un administrador de base de datos
suplante la identidad de otro usuario para obtener acceso a datos
confidenciales. Para mayor seguridad se integran en la solucin,
rotacin de claves automatizada y reintroduccin de claves de
datos, as como un completo registro y generacin de informes.
SafeNet ProtectApp: Cifrado a nivel de aplicacin
SafeNet ProtectApp cifra los datos a nivel de la aplicacin, antes
de guardarlos en la base de datos. La solucin tambin ofrece
una interfaz para las tareas de gestin de claves.
Muchas organizaciones utilizan SafeNet ProtectApp para
proteger la informacin confidencial, tal como la propiedad
intelectual o informacin de identificacin personal (PII) y para
abordar los mandatos regulatorios y de cumplimiento.
La solucin es compatible con bases de datos SQL y NoSQL
y puede proteger datos estructurados y no estructurados. El
cifrado se realiza en la plataforma SafeNet KeySecure, que
garantiza un rendimiento ptimo y permite la gestin centralizada
de claves y polticas.
Con SafeNet ProtectApp, las empresas pueden proteger
de manera transparente los datos en todo su ciclo de vida,
dondequiera que se enven, almacenen o copien. La solucin
ofrece las siguientes caractersticas y capacidades:
>> API que ayudan a racionalizar la integracin a travs de
infraestructuras de servidores de aplicaciones de proveedores
mltiples.
>> Controles granulares que permiten a los equipos de seguridad
garantizar que slo usuarios autorizados puedan obtener
acceso a datos cifrados.
>> Registro y auditora integrales.
>> Funcionalidades integradas de rotacin de claves
automatizadas y regeneracin de claves
SafeNet Tokenization: Tokenizacin a nivel de aplicacin
Con SafeNet Tokenization, las empresas pueden sustituir
segmentos de datos confidenciales con un token, un valor que
no tiene ningn significado o valor si se acceden. La solucin
tokeniza los datos antes de que se almacenan en la base de datos.
SafeNet Tokenization ofrece la flexibilidad de poder usar formatos
estndar o personalizados. Las capacidades de tokenizacin
preservadoras de formato de la solucin le permiten garantizar
que estos datos tokenizados mantengan propiedades similares
a las del valor original, lo cual ayuda a minimizar el impacto
potencial sobre los procesos y las aplicaciones asociadas que
pueden acceder a los datos. SafeNet Tokenization incluye
controles de acceso granular, as como capacidades de registro
y auditora completas. La solucin ofrece una amplia variedad
de funciones que racionalizan la implementacin, incluyendo
soporte para servicios web, tokenizacin masiva y soporte API
por lotes.
SafeNet Tokenization puede utilizarse para tokenizar cualquier
tipo de datos confidenciales, incluyendo nmeros de cuentas,
nmeros de tarjetas de crdito, nmeros de seguridad social,
etc. Muchas organizaciones utilizan SafeNet Tokenization para
proteger los nmeros de cuenta asociadas a una tarjeta de
pago principal para lograr el cumplimiento con el Estndar
de Seguridad de Datos para la Industria de Tarjetas de Pago
(PCI DSS). Asimismo, la solucin permite a las organizaciones
proteger PII y datos confidenciales en entornos Big Data.
Por ltimo, las organizaciones pueden utilizar la solucin
para proteger los datos en entornos no relacionados con la
produccin, incluidos los utilizados para el desarrollo y prueba de
aplicaciones, investigacin y ms.
Una gua completa para proteger los datos con cifrado de bases de datos - White Paper
Opciones de cifrado de bases de datos
La cartera de soluciones de proteccin de datos de SafeNet
permite a las organizaciones aprovechar una variedad de
enfoques para garantizar la seguridad de los datos en las bases
de datos.
Base de datos
Protege el archivo de toda
Protege columnas
seleccionadas la base de datos
Protege a nivel Protege a nivel
de base de datos de archivo o carpeta
SafeNet SafeNet
ProtectDB ProtectFile
Protege a nivel Protege toda
de aplicacin la MV o instancia
SafeNet SafeNet
Cifra
ProtectApp ProtectV
Tokeniza
SafeNet
Tokenization
Soluciones para proteger todo el archivo de la
base de datos.
SafeNet ProtectFile: Cifrado a nivel de sistema de archivo
SafeNet ProtectFile aplica el cifrado transparente a todo el
archivo de la base de datos. La solucin ofrece soporte para
las bases de datos SQL y NoSQL y puede cifrar archivos no
estructurados. Con SafeNet ProtectFile, los equipos de seguridad
podrn usar protocolos de uso compartido de archivos, tales
como Common Internet File System (CIFS) y Network File System
(NFS) para proteger archivos de bases de datos seguros que
residen en entornos de servidor de almacenamiento conectado
directamente (DAS), red de rea de almacenamiento (SAN) y
almacenamiento conectado a la red (NAS).
La solucin ofrece eficaces salvaguardias contra el abuso interno,
por ejemplo, es capaz de impedir que un administrador mal
intencionado pueda suplantar la identidad de un usuario para
obtener acceso a los datos cifrados. Para mayor seguridad la
rotacin de claves automatizada y la re-generacion de claves de
dato se integran en la solucin, as como un registro y generacin
de informes completo.
SafeNet ProtectFile ofrece una solucin ptima para proteger
archivos de bases de datos seguros, incluyendo archivos
utilizados para exportaciones, archivos comprimidos y copias
de seguridad. La solucin tambin ofrece proteccin efectiva
en implementacin de tipo Big Data, incluidos aquellos que se
ejecutan en Apache Hadoop e IBM InfoSphere Big Insights.
SafeNet ProtectV: Cifrado completo de disco de
mquina virtual
SafeNet ProtectV permite a las organizaciones cifrar las
mquinas virtuales al completo, incluidos los volmenes de
almacenamiento asociados, snapshots y copias de seguridad de
instancias y particiones. La solucin puede cifrar archivos no
estructurados en bases de datos NoSQL y SQL.
Con esta solucin, las organizaciones pueden proteger entornos
virtualizados y de nube de forma efectiva. Los equipos de
seguridad pueden mantener en todo momento la propiedad y
el control de los datos y claves de cifrado, ademas de instituir
controles a fin de autorizar el arranque de instancias de mquinas
virtuales. Tambin pueden auditar e informar sobre el acceso
a todas las claves y revocar el acceso con clave en caso de
violacin. SafeNet ProtectV funciona con SafeNet KeySecure para
habilitar la gestin de claves y polticas centralizada.
3
 Comparativa de las soluciones SafeNet de proteccin de BBDD
Solucin Tipo/nivel de implementacin Bases de datos Tipos de datos Entornos
Estructurados y
SafeNet ProtectApp Cifrado a nivel de aplicacin NoSQL y SQL
no estructurados >> Nubes pblicas
SafeNet Tokenization Cifrado a nivel de aplicacin NoSQL y SQL Estructurados >> Entornos virtuales
SafeNet ProtectDB Cifrado a nivel de columna SQL Estructurados >> Centros de datos tradicionales
No >> Entornos hbridos
SafeNet ProtectFile Cifrado a nivel de archivo y carpeta NoSQL y SQL
estructurados >> Implementaciones de tipo Big
SafeNet Transparent Gestin de claves empresariales para No Data
SQL
Data Encryption el cifrado de bases de datos nativas estructurados
Entornos virtuales y nubes pblicas
No seleccionadas, incluidos Amazon
SafeNet ProtectV Cifrado de mquinas virtuales NoSQL y SQL
estructurados Web Services, Microsoft Azure, IBM
SoftLayer Cloud y VMware

Robusta gestin de claves empresariales Acerca de Gemalto

centralizada A travs de la adquisicin de SafeNet, Gemalto ofrece una de las

Gemalto 2016. All rights reserved. Gemalto, the Gemalto logo, are trademarks and service marks of Gemalto and are registered in certain countries.-WP (ES) - Aug.30.2016 - Design: ELC
SafeNet KeySecure gamas ms completas de soluciones de seguridad empresarial
SafeNet KeySecure es una plataforma validada con FIPS 140-2 del mundo, permitiendo a sus clientes acogerse a una proteccin
que le permite crear un servicio de cifrado centralizado capaz de datos, identidades digitales, pagos y transacciones lder de la
de racionalizar los despliegues de cifrado en toda su empresa. industria desde el permetro hasta el ncleo. La recientemente
SafeNet KeySecure se integra perfectamente en la suite de ampliada gama de soluciones de proteccin de datos e identidades
soluciones de cifrado SafeNet, incluidas SafeNet ProtectApp, SafeNet de Gemalto permite a las empresas a numerosos niveles,
SafeNet ProtectDB, SafeNet ProtectFile, SafeNet ProtectV y incluidas importantes instituciones financieras y gobiernos,
SafeNet Tokenization. adoptar un enfoque basado en datos en materia de seguridad
SafeNet KeySecure tambin ofrece una amplia gama de mediante el uso de innovadores mtodos de cifrado, las mejores
bibliotecas de desarrollo y API estndar, y soporte para la tcnicas de gestin criptogrficas y soluciones de autenticacin
norma del protocolo de interoperabilidad de gestin de claves fuerte y gestin de identidades para proteger lo que importa,
(KMIP). Como resultado, su organizacin puede realizar una donde importa. A travs de estas soluciones, Gemalto ayuda a
implementacin de ptima eficiencia, no importa cundo, dnde y las organizaciones a alcanzar cumplimiento de normas estrictas
cmo integra usted el cifrado. en materia de privacidad de datos y garantizar que los activos
confidenciales de la empresa, la informacin de los clientes y
Gestin de claves de cifrado de datos las transacciones digitales permanezcan a salvo de cualquier
transparente con SafeNet KeySecure exposicin y manipulacin protegiendo la confianza del cliente en
Hoy en da, muchas versiones de bases de datos Oracle y un mundo cada vez ms digital.
Microsoft SQL Server ofrecen funcionalidad de cifrado de datos
transparente (TDE) que permite a las organizaciones utilizar
cifrado de datos en bases de datos. Sin embargo, cuando se
usan las funciones de TDE, las claves de cifrado generadas se
almacenan en la base de datos, junto con los datos cifrados,
lo cual deja a la organizacin expuesta a brechas y al fallo de
las auditoras de cumplimiento. Con SafeNet KeySecure, las
organizaciones pueden aprovechar las capacidades de TDE
nativas, al tiempo de gestionar las claves de una forma separada
y ms segura. Adems, este enfoque es transparente para
las aplicaciones y los usuarios que tienen acceso a los datos
protegidos.
Conclusin
Para las empresas de hoy en da, las demandas de garantizar la
seguridad de los datos en las bases de datos siguen siendo cada
vez ms urgentes. Con la cartera de soluciones de proteccin
de datos SafeNet de Gemalto, su empresa puede aprovechar las
capacidades que necesita para atender esta demanda, y hacerlo
con una eficiencia sin precedentes Con estas soluciones podr
aprovechar las capacidades de una gestin de claves y polticas
unificada y centralizada, al tiempo de implementar enfoques de
proteccin de bases de datos que estn perfectamente alineadas
con los riesgos, las tecnologas, el cumplimiento de normativas y
los objetivos empresariales especficos de su organizacin.

Contacto: Para consultar todas las localizaciones de oficinas e informacin de contacto safenet.gemalto.com
Sganos: blog.gemalto.com/security

GEMALTO.COM

Una gua completa para proteger los datos con cifrado de bases de datos - White Paper 4