GSS資安電子報0044期【企業資料加解密解決方案-SafeNet Protect DB 簡介】

撰稿：叡揚資訊資訊安全事業處 專業顧問

SafeNet DataSecure應用程式是所有SafeNet資料加密與控制解決方案的中心。DataSecure裝置使用硬體式加密後，能提供商業解決方案所能提供最高等級的資料安全性，涵蓋的資料類型範圍最廣。DataSecure提供統一平台，透過此平台集中提供可套用到資料庫、應用程式、大型主機環境與各個檔案上的資料加密與細微化存取控制功能。DataSecure能集中管理金鑰、政策、日誌、稽核與報表功能，不但可簡化管理作業，也有助於確保遵循法規以及達到最大的安全性。

SafeNet企業資料加密提供的解決方案有以下三類：

• 資料中心保護：ProtectDB, Tokenization, ProtectApp, ProtectFile, ProtectZ
• 端點保護：ProtectFile, ProtectDrive
• 雲端安全性：ProtectV

本次要介紹的是市場詢問度最高的資料庫加密保護，ProtectDB資料庫的加密方式，是在欲加密的資料庫伺服器上安裝一個Connector，這個Connector負責將欲儲存在資料庫的加密欄位資料(Cleartext values)，把它傳送給DataSecure進行資料加密，並接收DataSecure傳送回來的加密資料(Encrypted values)交給database server進行資料儲存。另外，ProtectDB也提供Transform Utility (TU)做大量批次性的資料加密處理，此工具可減少因初次加密須對大量資料進行資料加密所造成的耗用資料庫伺服器資源問題。

ProtectDB目前支援主流資料庫，如：Oracle, SQL Server, Informix, Sybase…，支援的加密演算法為：3DES, DES, AES，支援的平台有：Windows, Linux, Solarias, HP-UX, AIX以及IBM z/OS。ProtectDB最主要的特點為不需要修改原AP的程式碼，即可做到資料庫資料加密的保護功能。

ProtectDB可以做到不修改AP程式碼而做到資料庫的資料加密功能，主要的原理如下說明：

1. 假設欲加密的資料欄位為「SSN」，此時ProtectDB會在table schema上新增一個SSN_NEW欄位，此欄位用來儲存SSN加密後的資料。

2. 接下來ProtectDB Connector將SSN欄位上的資料傳送給DataSecure Appliance做資料加密，再將加密後的結果儲存在SSN_NEW欄位。

3. 之後SSN欄位的加密資料會被ProtectDB清除。

4. ProtectDB會將原本的CUSTOMER資料表名稱改為CUSTOMER_NEW，並新增CUSTOMER與CUSTOMER_IDV兩個View，這兩個View分別建立INSERT Trigger及UPDATE Trigger，透過Trigger維護CUSTOMER(View)與CUSTOMER_NEW(Table)之間的關係。

原始的SQL command是針對Table做存取，透過ProtectDB的資料加密處理機制，SQL command改為由View做存取，Table與View之間的關連性，透過兩個Trigger來維護兩者的一致性。這就是ProtectDB資料庫加密的簡單工作原理。

SafeNet另外一個solution跟資料庫加密應用有關的是Tokenization，Tokenization可以應用在資料庫敏感性資料欄位被用來做primary key或index時的解決方案，詳細的內容介紹將以另外專篇說明，敬請期待。