Proteja sus datos con Actian Vector, Parte 5

En las entradas anteriores de esta serie se explicaban los conceptos de "cifrado en reposo" y las distintas claves de cifrado que se utilizan para ello. Con todas estas diversas claves en juego, la pregunta es: "¿Cómo pueden y deben gestionarse estas claves?". Afortunadamente, en Actian Vector, muchas partes de esta tarea son realizadas automáticamente por el servidor de base de datos, y el administrador se ocupa principalmente sólo de la frase de contraseña.

Gestión de claves de cifrado para el cifrado en reposo

Cambiar sólo la frase de contraseña

La tarea más frecuente de toda la gestión de claves es cambiar la frase de contraseña de una base de datos. Cambiar regularmente la frase de contraseña bien puede considerarse una buena práctica porque una frase de contraseña comprometida permitiría el acceso no autorizado a la base de datos después de haberla bloqueado.

Sin embargo, las posibilidades de que una frase de contraseña de base de datos comprometida también comprometa las claves que protege son mucho menores. Las claves se almacenan internamente en el servidor de la base de datos y su ubicación de almacenamiento no es accesible sólo con la frase de contraseña de la base de datos.

El acceso a la máquina que ejecuta el servidor de base de datos, así como los derechos de acceso a los archivos apropiados, también serían necesarios para llegar a las claves cifradas, que luego podrían descifrarse utilizando la frase de contraseña. Por lo tanto, la mayoría de las veces cambiar sólo la frase de contraseña debería proporcionar suficiente seguridad. Pueden darse situaciones en las que también sea necesario cambiar las claves, pero no deberían ser frecuentes.

A partir de Actian Vector 7.0, cada base de datos tiene una "clave principal" y, por tanto, también una frase de contraseña para proteger la clave principal. En versiones anteriores, sólo las bases de datos encriptadas tienen una frase de contraseña para proteger directamente la "clave de base de datos." Para mantener el comportamiento compatible con versiones anteriores de Actian Vector, Actian Vector 7.0 maneja la frase de contraseña de manera diferente para bases de datos encriptadas y no encriptadas:

Para bases de datos encriptadas:

• Al crear una base de datos cifrada, se solicita al usuario la frase de contraseña para la base de datos.
• El creador de la base de datos tiene que recordar la frase de contraseña proporcionada para poder bloquear y desbloquear la base de datos más adelante.
• Tras su creación, la base de datos permanece desbloqueada hasta que se bloquea activamente con la frase de contraseña, o hasta que se apaga el servidor de base de datos.
• Tras un reinicio del servidor de base de datos, la base de datos queda bloqueada y es necesario desbloquearla con la frase de contraseña para que sea accesible. Esto se debe a que la clave de base de datos derivada de la clave principal sólo se almacena en la memoria y se "pierde" cuando se apaga el servidor de base de datos. Al arrancar, la frase de contraseña es necesaria para descifrar la clave principal cifrada, de modo que la clave de la base de datos pueda derivarse de nuevo de la clave principal.
• La base de datos puede bloquearse manualmente con la frase de contraseña.

Bases de datos no encriptadas:

• Cuando se crea una base de datos no encriptada, no se requiere una frase de contraseña del usuario. En su lugar, se genera internamente una frase aleatoria, se oculta y se almacena. Esto también se conoce como "almacenamiento" de la frase de contraseña.
• El creador de la base de datos no conoce la frase de contraseña y, por tanto, no necesita recordarla.
• La base de datos no necesita desbloquearse porque permanece siempre desbloqueada, incluso después de reiniciar el servidor de base de datos. Esto se debe a que el servidor de bases de datos utiliza internamente la frase de contraseña almacenada.
• No es posible bloquear la base de datos manualmente.

Esta no encriptación es el comportamiento por defecto en Actian Vector 7.0, que desde la perspectiva del usuario es compatible con versiones anteriores. En Actian Vector 7.0 este comportamiento predeterminado se puede cambiar activando o desactivando el almacenamiento de la frase de contraseña. Más sobre esto se compartirá en una entrada de blog posterior sobre "Almacenamiento de la frase de contraseña".

Cómo cambiar la frase de contraseña de una base de datos cifrada

Con el comportamiento por defecto es posible cambiar la frase de contraseña para una base de datos encriptada. La longitud mínima de una frase de contraseña es de ocho caracteres y la máxima de 512 caracteres. Para cambiar la frase de contraseña, el DBA se conecta a la base de datos desbloqueada y emite los siguientes comandos SQL:

ACTIVAR AUTOCOMMIT;

ALTER PASSPHRASE ‘<old passphrase>’ TO ‘<new passphrase>’;

El DBA debe recordar la nueva contraseña. La contraseña antigua es necesaria para restaurar una copia de seguridad de la base de datos anterior al cambio de contraseña.

Autocommit debe estar activado como requisito previo para la sentencia ALTER PASSPHRASE. La sentencia ALTER PASSPHRASE comprueba si la antigua frase de contraseña es correcta. En caso afirmativo, la antigua "clave de protección" se deriva de la antigua frase de contraseña y la clave principal cifrada se descifra con ella. La nueva clave de protección se obtiene a partir de la nueva frase de contraseña y, a continuación, la clave principal se cifra con la nueva clave de protección y se vuelve a almacenar. La clave principal en sí no cambia. Sólo se protege con una nueva clave de protección. Como sólo hay que descifrar y volver a cifrar la clave principal, cambiar la frase de contraseña es una operación rápida. Esto se representa en el siguiente gráfico:

Los elementos modificados se muestran en rojo. Dado que la clave principal en sí no se modifica, tampoco se modifican la clave de base de datos y otras claves derivadas de la clave principal. Y con ello, no hay necesidad de descifrar y volver a cifrar los datos protegidos por estas claves.

Seguridad de la frase de contraseña en la que puede confiar

Cambiar la contraseña de una base de datos en Actian Vector es sencillo y seguro. Dado que la clave principal subyacente permanece inalterada, los administradores de bases de datos pueden actualizar la protección sin introducir complejidad o riesgos innecesarios. Este equilibrio entre cifrado robusto y simplicidad operativa ayuda a las organizaciones a mantener las mejores prácticas en seguridad de datos al tiempo que se mantiene la eficiencia de la gestión diaria.

Como siempre, mantener las frases de contraseña actualizadas es una parte crítica de una estrategia de seguridad por capas. Con Actian Vector, los administradores de bases de datos tienen la flexibilidad de adaptar las políticas de frases de contraseña a las necesidades de su organización, sin interrumpir el rendimiento o el acceso.

En la próxima entrega de esta serie, veremos más de cerca la rotación de la clave principal en Actian Vector 7.0 y cómo puede simplificar la administración mientras se mantiene una seguridad robusta.

Sobre Martin Fuerderer

Martin Fuerderer es ingeniero de software principal de HCLSoftware, con más de 25 años de experiencia en el desarrollo de servidores de bases de datos. Recientemente se ha centrado en las funciones de seguridad de los entornos de bases de datos, garantizando el cumplimiento de las normativas y una sólida protección de los datos. Martin ha contribuido a importantes lanzamientos de productos y colabora frecuentemente con sus colegas para perfeccionar los estándares de seguridad de las bases de datos. En el blog de Actian, Martin comparte sus conocimientos sobre el desarrollo de servidores de bases de datos seguros y las mejores prácticas. Consulte sus últimas publicaciones para obtener orientación sobre la protección de los datos empresariales.