Re: Postgres tde

Voy a contestar entre lineas, de hecho eh usado herramientas
profesionales de cifrado, Vormetrix para linux protegiendo datos medicos.

On 12/11/2024 4:01 am, Jaime Soler wrote:
> En windows la mejor opción es la que comenta Juan José Santamaría, la
> de usar un disco cifrado.
No, voy a entrar entre la guerra Windows vs Linux, el mejor sistema
operativo es el que sabes usar.
>
> El lun, 11 nov 2024 a las 15:45, Javier J Matilla
> (<javierjmatilla(at)gmail(dot)com>) escribió:
>
> Si, lo había visto pero veo que no es un caso de uso frecuente ni
> nadie lo ha probado en el mismo escenario, supongo que el que
> tenga esta necesidad buscará una versión de pago como edb o
> cybertec, pero tenía dudas si el sistema por defecto tenía alguna
> versión que ya contemplara esto.
>
Versiones pagadas, debieran ser mejores a nivel de soporte y
performance, por algo estas pagando pero al final debes probar tu mismo
sobre todo si usas las versiones gratuitas. Tu eres el soporte, si
quieres que alguien te de soporte y haga las configuraciones debes
pagar, hay empresas, asesores y personas con experiencia que te pueden
decir que PostgreSQL es muy avanzada y tiene muchos features que otros
cobran muy caro, los features de PostgreSQL vs Oracle solo en
paralelismo es bien avanzado, backups, etc. Enfocando me en la pregunta
de cifrado de datos, debes buscar la extensión que hace el cifrado, hay
que buscar. Esto es para cifrar los datos dentro de la base de datos (no
es la capa de S.O.).
>
>
> Si consigo obtener alguna forma y probarla bien, ¿cómo podría
> contribuir a ayudar a otros que tengan el mismo problema?
>
Puede que sea un tema de redacción, que problema? Sobre probar, probar
que parte ? el cifrado? eres bienvenido de probar todo lo que necesites,
la comunidad cuando reportas un problema generalmente si el problema es
de alto Impacto es rápida arreglando problemas.

TDE debiera funcionar indistintamente del S.O. dependiendo de las
limitaciones de la extensión claro esta. En lo personal solo eh
trabajado con cifrado a nivel de FileSystem con Vormetrix en el 2014,
era bien rápido y trabajaba a nivel de bloque. ( por lo que respaldos de
XFS es a nivel bloques).

TDE es otro nivel, otra capa distinta, debes tener esto claro.

Bitlocker, Vormetrix, etc, trabajan a nivel de Driver, antes del User
Space ( si esto no se entiende ).

El cifrado del disco es a nivel de bloque, para evitar que cuando te
saquen los discos, estos discos se puedan leer sin la llave.

Sistemas como Vormetrix trabajan con servidores de llaves, similar a
como trabaja AWS los discos EBS.

En otro thread alguien escribió sobre que pasa si alguien entra como
admin con todo montado. La regla es simple en datos, si lo puedes leer,
lo puedes copiar, debes enfocarte en la capa que quieres proteger.

Ignoro si postgresql tiene algo como VPDB ( Virtual Private database ),
este thread ( busqueda rapida) habla de este feature en PostgreSQL,
repito, ignoro si esto estara alguna vez.

https://www.postgresql.org/message-id/411FD7A6.10903%40travelamericas.com

En palabras Simples:

Define lo que quieres proteger, de que tipo de ataques.

NO y NUNCA preguntes que pasa si el sysadmin entre a la maquina. Si la
persona de confianza pone cualquier cosa como clave y/o no proteges el
punto de entrada tienes mas problemas que alguien sacando datos de tus
sistemas.

Encriptación/cifrado es una capa de protección.

Resumen:

Si quieres proteger la capa física (discos offline), lo mejor es
hardware, HPE proliant G8 en adelalante traen llaves de discos. activado
no puedes leer los datos fuera del mismo sistema ( se quema la placa y/o
rompes la llave que esta diseñada para romperse al tratar de sacarla )
pierdes los datos. A nivel de software tienes muchas alternativas.

Capa Logica, depende de la capa, transporte, https, datos hay proyectos
para TDE, etc, etc.

Capa sysadmin entrando a tu maquina (me gusta la definición de windows)
Windows te asegura proteger TU maquina, si alguien más entra a TU
maquina, "Ya no se puede hablar de tu maquina" la verdad es que cuando
lo lei en el 2000 cuando trabaje en el area de bancarea, me reí, no solo
por que es verdad, es por que legalmente ya no los puedes demandar.

La seguridad es una sensación, como te sientes seguro? que quieres
proteger es lo que debes definir y trabajar para cumplir tus objetivos.

>
> En cualquier caso muchas gracias.
>
>> El 11 nov 2024, a las 10:01, Juan José Santamaría Flecha
>> <juanjo(dot)santamaria(at)gmail(dot)com> escribió:
>>
>> 
>>
>>
>> El dom, 10 nov 2024, 22:41, Horacio Miranda <hmiranda(at)gmail(dot)com>
>> escribió:
>>
>> Hola, deben haber proyectos.
>>
>> Buscando rápidamente aquí hay uno
>> <Transparent-Data-Encryption-to-PostgreSQL-1.jpeg>
>> Adding Transparent Data Encryption to PostgreSQL with pg_tde:
>> Please Test
>> <https://www.percona.com/blog/adding-transparent-data-encryption-to-postgresql-with-pg_tde-please-test/>
>> percona.com
>> <https://www.percona.com/blog/adding-transparent-data-encryption-to-postgresql-with-pg_tde-please-test/>
>>
>> <https://www.percona.com/blog/adding-transparent-data-encryption-to-postgresql-with-pg_tde-please-test/>
>>
>>
>>
>> Regards,
>> Horacio Miranda
>>
>>
>>> On 11 Nov 2024, at 8:53 AM, Javier J Matilla
>>> <javierjmatilla(at)gmail(dot)com> wrote:
>>>
>>> 
>>> Hola qué tal!!
>>>
>>> Una pregunta: entiendo que postgresql no tiene un sistema TDE.
>>>
>>> ¿Conocéis algún sistema TDE que funcione en Windows 10 64
>>> bits o superior o alguna alternativa?
>>>
>>> Gracias!
>>
>>
>> Postgres te permite trabajar con la partición de datos cifrada
>> [1]. Aunque los ejemplos que menciona son para Linux, funcionará
>> de una manera similar en Windows [2].
>>
>> En cualquier caso, como menciona la nota pruébalo de una manera
>> exhaustiva para asegurarte de que es la protección que necesitas
>> y que no vas a perder información.
>>
>> [1] https://www.postgresql.org/docs/current/encryption-options.html
>> [2]
>> https://learn.microsoft.com/es-es/windows/security/operating-system-security/data-protection/encrypted-hard-drive
>>
>> Un saludo,
>>
>> Juan José Santamaría
>>
>>>
>>>