Criptografia de Dados

O sistema de banco de dados Db2® oferece várias maneiras de criptografar dados, tanto enquanto no armazenamento, e enquanto no trânsito sobre a rede.

Criptografando dados em repouso

Importante: O tipo de autenticação DATA_ENCRYPT é reprovado e pode ser removido em um release futuro. Para criptografar dados em trânsito entre clientes e bancos de dados Db2 , recomendamos que você use o suporte do sistema de banco de dados Db2 do Transport Layer Security (TLS). Para obter mais informações, consulte Criptografia de dados em trânsito
Você tem as seguintes opções para criptografar dados em repouso:
  • Você pode usar a criptografia nativa Db2 para criptografar seus bancos de dados e imagens de backup.
  • Você pode usar o IBM® InfoSphere® Guardium® Data Encryption para criptografar os dados do sistema operacional subjacente e arquivos de backup.
  • É possível usar o Sistema de Arquivos com Criptografia (EFS) para criptografar seus dados do sistema operacional e arquivos de backup. Use o EFS se você estiver executando um sistema Db2 no sistema operacional AIX® , e você está interessado apenas em criptografia de nível de arquivo.

Criptografando dados em trânsito

Para criptografar dados em trânsito entre clientes e bancos de dados Db2 , use o suporte do sistema de banco de dados Db2 do Transport Layer Security (TLS).

Atenção: TLS foi desenvolvido em 1999 como o sucessor do protocolo de criptografia popular Secure Socket Layer (SSL). Por causa da popularidade do SSL, a sigla agora é sinônimo de tecnologia de criptografia e por associação, TLS. Como resultado, alguns comandos Db2 e objetos de banco de dados que estão relacionados com a criptografia TLS ainda contêm 'ssl' em seus nomes. No entanto, Db2 não usa o protocolo SSL para criptografia de dados. Quaisquer referências a SSL neste guia podem ser interpretadas como TLS.
  • Recomendamos que você use o suporte Db2 para TLS para criptografar a comunicação entre os seguintes:
    • Db2 clientes e servidores
    • Nós primários e Standby em um ambiente Db2 HADR
    • Clientes Db2 e um servidor da Federação Db2
      Nota: Db2 O Federation Server também suporta a criptografia TLS de transmissões de saída para algumas fontes de dados.
Nota: DATA_ENCRYPT e SERVER_ENCRYPT com algoritmos de uso do DES que não são compatíveis com o NIST SP 800-131A. Se você deve cumprir o NIST SP 800-131A, eles não devem ser usados. Se a conformidade com o NIST SP 800-131A não for um problema, eles ainda serão válidos.