Сегодня «облачные» технологии входят в арсенал большинства компаний. Вместе с тем мы наблюдаем целую волну громких скандалов, связанных с утечками данных, и можем сделать вывод, что вопросы безопасности выходят для предприятия на первый план. В мире бизнеса растет понимание того, что мероприятия по защите данных играют определяющую роль в организации деятельности компании. И, поскольку обеспечение информационной безопасности относится к числу важнейших задач предприятия, важно понимать, какова наилучшая стратегия защиты коммерческой структуры. Инциденты, связанные с утечкой данных, могут оборачиваться большими затратами, а также иметь нежелательные последствия для репутации компании. Вспомним пример корпораций Home Depot и Target; в обеих имели место масштабные утечки информации с далеко идущими последствиями. В Home Depot на протяжении пяти месяцев было скомпрометировано около 56 млн кредитных и дебетовых карт. Как раз в это время Home Depot приступила к реализации проекта, в соответствии с которым все данные, размещенные на терминале платежей, должны были быть полностью зашифрованы, но, к сожалению, взлом произошел до его завершения. Специалисты Home Depot подсчитали, что расходы на расследование, службу мониторинга кредитов, услуги центра обработки вызовов и другие меры по ликвидации последствий инцидента составят приблизительно 62 млн долл. В компании Target тоже имела место большая утечка данных. Как сообщалось, в 2013 году злоумышленники похитили сведения о кредитных и дебетовых картах 40 млн клиентов. В конечном итоге руководителям Target пришлось выплатить 10 млн долл. в рамках урегулирования коллективного иска. Так что, когда сохранность данных оказывается под угрозой, безопасность немедленно выходит на первый план.

Реализованная в системе SQL Server 2016 функция Always Encrypted позволяет защитить секретные данные от всех видов несанкционированного доступа, даже со стороны администраторов баз данных. Данные шифруются в процессе записи в базу данных и расшифровываются клиентом в тот момент, когда к ним обращается уполномоченное приложение. Always Encrypted принципиально отличается от технологии Transparent Data Encryption (TDE), применявшейся в более ранних версиях SQL Server. TDE обеспечивает шифрование данных «в состоянии покоя», то есть они шифруются при сохранении на диске, но SQL Server осуществляет их расшифровку в момент, когда к этим данным обращаются пользователи, имеющие соответствующие полномочия.

Отсюда следует, что в процессе перемещения данных они не шифруются и что пользователи с широкими полномочиями имеют доступ к этим данным. Функция SQL Server 2016 Always Encrypted реализуется с помощью готового к взаимодействию с Always Encrypted драйвера баз данных, используемого соответствующим приложением. Специалисты Microsoft оснастили средствами для работы с Always Encrypted драйверы. NET Framework 4.6, Microsoft JDBC 6.0 и Microsoft ODBC 13. Драйвер баз данных Always Encrypted подключается к базе данных с помощью ключа шифрования. Данные могут быть расшифрованы только с помощью ключа шифрования. Другие приложения либо запросы к данным могут извлекать зашифрованные значения, но эти значения не будут расшифровываться, а стало быть, останутся защищенными. Процессор баз данных SQL Server работает только с зашифрованными данными. Схема обработки данных Always Encrypted приведена на рисунке. Как вы можете видеть, шифрование данных осуществляется драйвером Enhanced ADO. NET, тогда как данные, хранящиеся в SQL Server, всегда зашифрованы. Функция Always Encrypted системы SQL Server 2016 исключает возможность нарушений информационной безопасности и обеспечивает порядок, при котором допуск к засекреченным данным получают только уполномоченные приложения.

 

Схема обработки данных Always Encrypted
Рисунок. Схема обработки данных Always Encrypted