TDE: Определение прав доступа к хранилищу ключей
Для получения доступа к зашифрованной базе данных пользователи должны быть аутентифицированы в хранилище ключей. Для этого необходимо выполнение нескольких условий. Первое, должно существовать и быть актуальным хранилище ключей. Второе, база данных должна быть запущена соответствующим образом. Существует два пути аутентификации в хранилище ключей - это аутентификация вручную и автоматическая аутентификация. Аутентификация в хранилище ключей требует ввода Passphrase. Cуществует два вида Passphrase - это User Passphrase и Admin Passphrase. Различие между ними заключается в том, что первый Passphrase обеспечивает доступ к хранилищу ключей только для чтения, а второй Passphrase позволяет его модифицировать, т.е. выполнять административные задачи. При этом любой из этих Passphrase может быть использован для запуска базы данных в режиме ручной аутентификации.
Во время ручной аутентификации, каждый раз, когда пользователь попытается получить доступ к базе данных для ее запуска или для изменения политик шифрования, он должен вводить соответствующий Passphrase. Ручная аутентификация подразумевает, что для работы с OpenEdge-утилитами в командной строке должен быть добавлен дополнительный параметр <-Passphrase>, который позволит этому пользователю выполнить аутентификацию в хранилище ключей. Если доступ нужно получить в однопользовательском режиме, то для ABL-, WebSpeed- и AppServer-клиентов Passphrase должен быть включен в состав оператора CONNECT с параметром <–KeyStorePassPhrase>. Как только клиент аутентифицирован, ему открыт доступ к базе данных.
Во время автоматической аутентификации доступ к хранилищу ключей предоставляется без явного указания Passphrase, вместо этого TDE подставляет его автоматически. Таким образом, можно запускать базу данных, изменять политики шифрования или получать доступ к базе в однопользовательском режиме без указания Passphrase.
Для отмены автоматической аутентификации необходимо включить в состав команды параметр <-Passphrase>.
Ручная аутентификация более безопасна, но она влияет на различные автоматизированные функции, связанные с администрированием базы данных (скрипты). Автоматическая аутентификация не влияет на скрипты, но она предоставляет неограниченный доступ к зашифрованным данным.
Если выбран режим ручной аутентификации, то рекомендуется придерживаться следующих правил:
- Admin Passphrase должны знать только те пользователи, которые будут иметь полномочия на изменение политик шифрования
- User Passphrase должны знать только те пользователи, которые уполномочены запускать базу данных
- Хранение резервной копии Admin/User Passphrase должно осуществляться отдельно от хранения резервной копии хранилища ключей и резервной копии самой базы данных
Как уже отмечалось ранее, запустить базу данных в режиме ручной аутентификации можно как c Admin, так и с User Passphrase. Однако лучше выполнять запуск с помощью User Passphrase, это позволит защитить процесс шифрования от изменений пользователями, кроме тех, кто знает Admin Passphrase.
Как только база данных будет запущена, все остальные пользователи могут к ней подключиться, используя стандартные методы авторизации без необходимости выполнения каких-либо дополнительных действий с их стороны. Аутентификация этих пользователей в хранилище ключей будет выполняться от имени того пользователя, который запустил базу данных. Для них это будет «прозрачно», в чем и заключается одна из особенностей TDE.
| 
Главная
