Sicherheit in PostgreSQL: pgcrypto und PostgreSQL Anonymizer
Speakers:
Michael Decker (Datenbank- und Infrastruktur Administrator, ASPICON GmbH)
Scheduled time: Saturday, 16:30 - Room V6 - Duration 90 Min.
Zum Stream
Schadsoftware, Phishing und Social Engineering sind einige der Methoden, die von Hackern eingesetzt werden, um Sicherheitslücken in Betriebssystemen und Anwendungen auszunutzen. ASPICON arbeitet als Datenbank-Infrastruktur-Spezialist eng mit mehr als 600 Organisationen zusammen, darunter auch verschiedenste KRITIS-Einrichtungen, die laut Verfassungsschutz besonders stark durch elektronische Angriffe gefährdet sind. Diese enorme Verantwortung verlangt ein ausgeprägtes Sicherheitsbewusstsein. Unter diesem Stichwort gibt unser Beitrag einen Einblick in zwei ausgewählte Sicherheitsstrategien auf Datenbankebene: Verschlüsselung und Maskierung von Daten.
Bezugnehmend auf PostgreSQL-Datenbanken betrachten wir hierzu die Erweiterungen pgcrypto sowie PostgreSQL Anonymizer. Pgcrypto stellt eine Reihe von kryptografischen Funktionen bereit. Korrekt umgesetzt, lässt sich damit verhindern, dass sensible Daten unverschlüsselt in die Datenbank geschrieben werden. Mittels PostgreSQL Anonymizer können darüber hinaus sensitive Daten durch plausible aber verschleierte oder zufällige Daten ersetzt werden. Im Vortrag beleuchten wir, was hierbei zu beachten ist und wo Stolpersteine liegen können.
Website: https://www.aspicon.de/
Desired previous knowledge: keine Vorkenntnisse erforderlich, erste PostgreSQL Kenntnisse von Vorteil
Further information: Short paper
Supplemental material: Slides (1764 KiB)
https://media.ccc.de/v/clt23-204-sicherheit-in-postgresql-pgcrypto-und-postgresql-anonymizer
