Sécurisation des données au repos et des données en mouvement

Cheryl Allison

La création d’une application sécurisée nécessite de nombreuses protections, mais les furthermore importantes sont de loin celles qui sécurisent les données dans l’application. Ce sont aussi les additionally difficiles à mettre en œuvre.

Lorsqu’il s’agit de sécuriser les données d’application, il existe deux styles de données distincts qui doivent être sécurisés :

  • Données au repos. Il s’agit de données stockées dans une banque de données, une foundation de données, un cache, un système de fichiers ou un autre référentiel. Il comprend tout, de la foundation de données de l’application aux fichiers journaux, en passant par les fichiers de configuration du système, les sauvegardes et les archives.
  • Données en mouvement. Il s’agit de données activement consultées et utilisées par l’application. Il peut s’agir de données transférées d’une partie de l’application à une autre partie de l’application, par exemple entre le shopper et le serveur, ou entre deux applications ou providers différents.

Un exemple straightforward de données au repos est votre profil utilisateur dans une software SaaS. Ce profil peut inclure votre nom d’utilisateur, votre mot de passe, votre picture de profil, votre adresse e-mail, votre adresse physique et d’autres informations de get hold of. Il peut inclure des informations d’application sur la façon dont vous utilisez l’application. Dans un environnement moreover neighborhood, les données au repos incluent tous les fichiers stockés sur votre ordinateur : vos feuilles de calcul, vos documents Term, vos présentations, vos pics, vos vidéos, tout.

Un exemple straightforward de données en mouvement est la même application SaaS lorsqu’elle vous demande votre nom d’utilisateur et votre mot de passe. Ces informations sont transférées de votre ordinateur, tablette ou smartphone vers les serveurs principaux de l’application SaaS. Pendant que les données sont transmises, elles sont en mouvement. Toutes les données que vous tapez sur votre clavier, ou envoyez un e-mail, ou mettez dans un information texte, ou envoyez une requête API, tout cela est des données en mouvement.

Les procedures utilisées pour sécuriser les données au repos sont très différentes des strategies utilisées pour sécuriser les données en mouvement.

Sécurisation des données au repos

Il existe deux stratégies principales pour sécuriser les données au repos : la sécurisation du système qui stocke les données et le chiffrement des données elles-mêmes.

Un système de stockage sécurisé est le modèle le moins sécurisé. Cela implique de s’assurer que la foundation de données ou le magasin de données contenant les données est physiquement inaccessible aux acteurs malveillants. Cela implique généralement des pare-feu et d’autres limitations physiques. Bien que ceux-ci réussissent généralement à empêcher les mauvais acteurs extérieurs d’accéder aux données, si un mauvais acteur s’infiltre dans votre système, toutes les données stockées dans le système deviennent vulnérables à la compromission. Ce modèle ne doit être utilisé que pour les données moins sensibles.

Une méthode as well as sécurisée de stockage des données sensibles consiste à chiffrer les données au fur et à mesure qu’elles sont stockées. De cette façon, si quelqu’un tentait d’accéder aux données stockées, de l’intérieur ou de l’extérieur, il ne serait pas en mesure de lire ou d’utiliser les informations sans les clés et autorisations de cryptage/décryptage appropriées.

Un problème critique avec le chiffrement des données stockées est où et comment vous stockez les clés de chiffrement. Vous ne voulez pas les stocker au même endroit que les données elles-mêmes, auto cela supprime les avantages de sécurité du décryptage (pour la même raison, vous ne stockez pas la clé de la porte d’entrée de votre maison sous votre paillasson). Au lieu de cela, les clés doivent être stockées dans un emplacement indépendant inaccessible à un acteur malveillant en cas de violation du système de stockage.

Il existe de nombreuses options pour stocker les clés de chiffrement/déchiffrement, certaines simples et d’autres complexes. Une excellente selection pour une application cloud consiste à utiliser le company de stockage de clés de votre fournisseur de cloud. Par exemple, Amazon World-wide-web Providers propose le AWS Important Administration Company (KMS) précisément dans ce but. En moreover de stocker vos clés de cryptage/décryptage, ces services fournissent une aid pour organiser les clés et changer les clés régulièrement (rotation des clés) pour les garder en sécurité.

Parfois, il est préférable de sécuriser les données au repos en ne stockant pas du tout les données. Un exemple classique est celui des informations de carte de crédit. Il y a peu de raisons pour que la plupart des web pages World wide web déjà stocker les informations de carte de crédit, cryptées ou non, dans l’application. Cela s’applique aux magasins de commerce électronique ainsi qu’aux internet sites d’abonnement au contenu. Même les web pages qui débitent la carte de crédit d’un consumer d’un montant récurrent n’ont pas besoin de stocker les informations de carte de crédit dans l’application.

Au lieu de stocker les informations de carte de crédit, la meilleure pratique consiste à utiliser un provider de traitement de carte de crédit et à les laisser stocker les informations pour vous. Ensuite, il vous suffit de stocker un jeton faisant référence à la carte de crédit afin de donner à votre software l’accès à la carte de crédit pour une transaction.

Il existe de nombreux services de traitement des cartes de crédit, notamment Stripe, Square et PayPal. De as well as, certains grands magasins de commerce électronique fournissent des products and services de traitement des cartes de crédit, notamment Amazon et Shopify. Ces sociétés fournissent toutes les capacités de sécurité et répondent à toutes les exigences légales pour stocker et traiter avec succès les cartes de crédit. En utilisant des jetons, vous pouvez toujours fournir à vos clients une interface qui donne l’impression que vous traitez nativement les cartes de crédit, mais vous ne stockerez jamais les cartes de crédit et n’aurez donc jamais à vous soucier de leur sécurité.

Sécurisation des données en mouvement

La security des données en mouvement consiste à empêcher le piratage des données lorsqu’elles sont envoyées d’un provider à un autre, d’une application à une autre ou entre un serveur et un consumer. Les données en mouvement comprennent les communications entre les expert services internes (comme entre un panier d’achat et un catalogue de produits), les communications entre les companies internes et les expert services externes (comme un company de traitement des cartes de crédit) et les communications entre les expert services internes et le navigateur Web ou le mobile d’un customer. application.

Il existe trois principaux risques pour les données en mouvement :

  1. Données lues. Un risque de lecture de données signifie que le straightforward fait de voir les données par un mauvais acteur créerait une situation compromettante. Les exemples de données vulnérables au risque de lecture de données incluent les mots de passe, les numéros de carte de crédit et les informations personnellement identifiables. Lorsque de telles données sensibles peuvent être exposées, il est essentiel de protéger les données en transit contre leur lecture par un acteur malveillant.
  2. Changement de données. Un risque de modification des données signifie que les données sensibles sont susceptibles d’être modifiées par un acteur malveillant lors de leur transmission d’un emplacement à un autre. La modification des données en vol pourrait donner à un acteur malveillant un accès supplémentaire à un système, ou pourrait endommager les données et le consommateur des données d’une manière ou d’une autre. Les exemples incluent la modification du montant en pounds d’un virement bancaire ou la modification de la spot d’un virement bancaire.
  3. Changement d’origine des données. Un risque d’origine des données signifie qu’un acteur malveillant pourrait créer des données tout en donnant l’impression que les données ont été créées par quelqu’un d’autre. Cette menace est similaire à la menace de modification des données et entraîne les mêmes styles de résultats, mais plutôt que de modifier les données existantes (telles que le montant en dollars d’un dépôt), l’acteur malveillant crée de nouvelles données avec une nouvelle signification. Les exemples incluent la création de virements bancaires frauduleux et l’émission de demandes illégales ou préjudiciables au nom d’une victime sans méfiance.

Lorsque nous pensons à la security des données en transit, nous parlons normalement de chiffrer les données. Le chiffrement protège contre les attaques de lecture de données et les attaques de modification de données. Pour les attaques d’origine de données, des stratégies supplémentaires doivent être utilisées pour s’assurer que les messages proviennent du bon emplacement, tels que des jetons d’authentification, des certificats signés et d’autres stratégies.

Dans les apps modernes, TLS (Transport Layer Safety) et SSL (Secure Sockets Layer) sont les principaux outils utilisés pour protéger les données en transit. Ces protocoles de sécurité fournissent des communications cryptées de bout en bout, ainsi que des certificats pour garantir la bonne origine des messages. Aujourd’hui, le cryptage SSL à la volée est si straightforward et courant que presque toutes les purposes World wide web utilisent SSL (en particulier le protocole HTTPS) pour toutes les communications de web pages Website, que des données sensibles soient transférées ou non.

La sécurité des données est essentielle dans la plupart des programs numériques modernes. Chaque entreprise moderne a besoin de communications sûres et sécurisées afin de fournir ses products and services commerciaux. Les acteurs malveillants abondent, il est donc essentiel de garantir la sécurité des purposes et de leurs données pour que votre entreprise reste opérationnelle.

Copyright © 2022 IDG Communications, Inc.

Next Post

La Cour fédérale autorise la poursuite du procès du premier amendement des manifestants contre les violents flics de Boston

du les flics sont en émeute département Une plainte déposée par quatre manifestants contre trois policiers de Boston peut aller de l’avant, suite à la décision d’un juge fédéral selon laquelle les contre-arguments des flics étaient trop ridicules pour être crédités. Les plaignants participaient à l’une des milliers de manifestations […]