MongoDB lanza Queryable Encryption para proteger los flujos de trabajo de datos confidenciales
La tecnología reduce los riesgos de exposición de los datos y puede utilizarse con AWS Key Management Service, Microsoft Azure Key Vault y Google Cloud Key Management Service.
La plataforma de datos para desarrolladores MongoDB ha anunciado el lanzamiento general de Queryable Encryption, una tecnología de cifrado de datos de extremo a extremo para proteger los flujos de trabajo de aplicaciones sensibles. Está diseñada para reducir el riesgo de exposición de datos para las organizaciones y ayuda a las empresas a proteger la información sensible cuando se consulta/utiliza en MongoDB.
MongoDB's Queryable Encryption puede utilizarse con AWS Key Management Service, Microsoft Azure Key Vault, Google Cloud Key Management Service y otros servicios compatibles con el protocolo de interoperabilidad de gestión de claves (KMIP) para gestionar claves criptográficas, según la compañía.
La disponibilidad para todos los públicos incluye soporte para consultas de igualdad, con tipos de consulta adicionales (por ejemplo, rango, prefijo, sufijo y subcadena) disponibles en próximas versiones, añadió la empresa. MongoDB presentó por primera vez una versión preliminar de Queryable Encryption en MongoDB World el año pasado.
Queryable Encryption permite reducir la superficie de ataque de los datos confidenciales en varios casos de uso. Los datos permanecen cifrados durante la inserción, el almacenamiento y la consulta, y tanto las consultas como sus respuestas se cifran por cable y se tornan aleatorias para resistir el análisis de frecuencia. Sin embargo, las consultas que implican campos cifrados tienen un coste en términos de espacio y tiempo.
Los usuarios seleccionan los campos que desean cifrar en función de la sensibilidad de los datos
Con la disponibilidad general de Queryable Encryption, los clientes pueden proteger las cargas de trabajo sensibles para casos de uso en sectores altamente regulados o sensibles a los datos, como los servicios financieros, la sanidad, la administración pública y las infraestructuras críticas, cifrando los datos mientras se procesan y utilizan, afirma MongoDB en un comunicado de prensa. Los usuarios pueden seleccionar los campos de las bases de datos MongoDB que contienen datos sensibles que deben cifrarse.
Por ejemplo, un usuario final de una aplicación autorizada en una empresa de servicios financieros puede necesitar consultar registros utilizando el número de cuenta de ahorros de un cliente. Cuando se configura con MongoDB Queryable Encryption, el contenido de la consulta y los datos del campo de la cuenta de ahorros permanecerán cifrados mientras viajan por la red, mientras se almacenan en la base de datos y mientras la consulta procesa los datos para recuperar la información pertinente, según la empresa.
Una vez recuperados los datos, sólo serán visibles para un usuario final autorizado de la aplicación que disponga de una clave de descifrado controlada por el cliente, con el fin de evitar la exposición involuntaria de los datos o su filtración por parte de agentes malintencionados, añadió.
Queryable Encryption no requiere conocimientos de criptografía
"La protección de datos es fundamental para todo tipo de organizaciones. No sólo está proliferando rápidamente el volumen de datos que generamos, sino también las normativas y requisitos que deben cumplir las empresas", afirma Kenn White, responsable de Seguridad de MongoDB.
MongoDB Queryable Encryption reducirá significativamente el riesgo de exposición de datos para las organizaciones y ayudará a mejorar las posturas de seguridad, cumpliendo con los requisitos más estrictos en la materia, dijo White. "También apoyará la productividad de los desarrolladores para flujos de trabajo de aplicaciones altamente sensibles, ya que no se requieren conocimientos de criptografía".
La tecnología de cifrado subyacente fue desarrollada por el MongoDB Cryptography Research Group. Las organizaciones pueden examinar libremente las técnicas criptográficas y el código que utiliza.
La tecnología es el "patrón oro", pero primero hay que abordar los fundamentos de la gestión de datos
Todo lo que reduzca los vectores de ataque a los datos sensibles y permita utilizarlos con seguridad es digno de aplauso, defiende Paul Watts, distinguido analista del Foro de Seguridad de la Información. "El tiempo dirá si los casos de uso en el mundo real plantean restricciones que limiten la eficacia o escalabilidad de Queryable Encryption, o si los gastos adicionales de almacenamiento asociados limitan la aplicación de la tecnología para algunos".
Muchas organizaciones siguen luchando con el "primer paso" de la gestión de datos, comentó Watts, luchando por responder a preguntas como: ¿Qué datos tenemos? ¿Cuál es su grado de confidencialidad? ¿Quién tiene acceso a ellos? ¿Y cómo podemos equilibrar la seguridad de los datos con su explotación? "La tecnología es el patrón oro, y sólo es útil si antes se han abordado las bases fundamentales de la gobernanza de la información y la protección de datos".
