Datenbankverschlüsselung erkunden
ServiceNow® bietet Datenbankverschlüsselungsmethoden (Database Encryption, DBE) und Festplattenverschlüsselungsmethoden für Kunden mit gesetzlichen Verpflichtungen zum Datenschutz an, die möglicherweise den Schutz aller Daten im Ruhezustand erfordern.
Mit der Datenbankverschlüsselung können alle Daten mit symmetrischer AES-256-Verschlüsselung geschützt werden, unabhängig davon, ob die Datenbank online oder offline ist. Aus der Perspektive Now Platform fließen alle Daten in entschlüsselt.
- Die Datenbankverschlüsselung unterstützt die Verschlüsselung aller gespeicherten Daten in Echtzeit und bietet Schutz für Daten online und offline ohne Verlust der Funktionalität.
- Die vollständige Festplattenverschlüsselung schützt Offline-Daten bei Verlust oder Diebstahl eines Datenträgers.
Mit der Datenbankverschlüsselung werden alle gespeicherten Daten verschlüsselt, und einzelne Datensätze oder Tabellen werden während des Zugriffs im Arbeitsspeicher entschlüsselt. Neue oder geänderte Daten werden verschlüsselt, wenn sie in eine Tabelle eingegeben werden, und zugehörige Aktivitätsprotokolldateien (bin, wiederholen, rückgängig machen und Fehler) werden ebenfalls verschlüsselt.
Die Datenbankverschlüsselung ist für Benutzer transparent, ohne Funktionalitätsverlust. Bei Verwendung dieser Funktion werden alle Instanzen zusammen mit dem Replikationsdatenverkehr und den Sicherungen verschlüsselt. Das Klonen von Instanzen ist weiterhin verfügbar mit einer geringfügigen Auswirkung auf die Leistung bei Verwendung der Datenbankverschlüsselung von bis zu 5 %. Sowohl neue als auch vorhandene Instanzen in unterstützten Releases von Now Platform können die Datenbankverschlüsselung nutzen.
Wie dargestellt, speichert und verwaltet ServiceNow Schlüssel mithilfe einer Schlüsselhierarchie auf drei Ebenen:
- Ein kundenspezifischer AES-256-Schlüssel wird von der Datenbank-Engine erstellt und zum Verschlüsseln der Daten verwendet.
- Ein zweiter kundenspezifischer AES-256-Schlüssel wird von der Datenbank-Engine erstellt und dient zum Schutz des Schlüssels der ersten Ebene.
- Ein dritter AES-256-Schlüssel wird von erstellt und in FIPS 140-validierten Schlüsselverwaltungs-Appliances in den Rechenzentren ServiceNow gespeichert. Dieser Schlüssel schützt den Schlüssel der zweiten Ebene und ist für jede Kundeninstanz eindeutig.
Now Platform unterstützt auch die Datenbankverschlüsselung mit einem vom Kunden bereitgestellten Switch, DBE with CCS. Dies ist eine Verschlüsselungslösung, die alle Daten im Ruhezustand verschlüsselt, wenn sie in der Datenbank nicht verwendet werden. Es verwendet die AES-Verschlüsselung nach Industriestandard ohne Auswirkungen auf die Funktionalität. Die Datenbank verschlüsselt Daten, während sie auf den Datenträger geschrieben werden, und entschlüsselt Daten, während sie vom Datenträger gelesen werden. Das bedeutet, dass Anwendungen immer über die Daten in einem unverschlüsselten Zustand verfügen, um die erforderliche Logik und Funktionen ohne Auswirkungen auszuführen.
Wenn Sie eigene Schlüssel für die Datenbankverschlüsselung verwenden, finden Sie weitere Informationen unter Datenbankverschlüsselung mit kundengesteuertem Switch.