Шифрование базы данных или шифрование файловой системы?

Question

Недавно я работал над некоторыми данными, которые, хотя и не регулируются никакими законами о infosec, достаточно чувствительны, чтобы гарантировать шифрование. Мне интересно узнать о лучших практиках в отношении данных таких данных, в частности , следует ли лучше использовать шифрование на уровне ОС/файловой системы или на уровне базы данных.

Каковы преимущества и недостатки этих двух подходов с точки зрения безопасности, масштабируемости и доступности?

Answer 1

Системное шифрование уровня файловой системы защитит вашу базу данных только в том случае, если ваше оборудование будет украдено.

Если злоумышленник получает доступ к работающей системе, он может получить доступ к базе данных, в результате чего будет установлена ​​файловая система.

Ошибка в уровне базы данных будет защищать вас от взломов и т. Д., Если это гарантирует, что ключи не могут получить доступ злоумышленником легко (например, сгенерировать ключ «на лету» из сеанса пользователей и сбросить ключ при выходе из системы).

Это не очень легко реализовать, так как в большинстве случаев информация будет необходима для вашего приложения.

Если у вас есть один ключ приложения, возможно, этот ключ можно было бы украсть.

Также было бы невозможно использовать большинство функций современных баз данных, и вместо этого вы должны реализовать много вещей в своем приложении (например, объединение, фильтрация и т. Д. На основе зашифрованных данных).