Meer informatie Ja, ik geef toestemming
Door Johan van Helden Leestijd 7 min.

Next level beveiliging? Encrypt data óók op de server

Veiligheid is een permanente bron van aandacht als het om applicaties en gegevens gaat. Het is inmiddels gemeengoed dat de toegang tot data goed beveiligd is. Wie nog een stap verder wil gaan met het afschermen van informatie voor onbevoegden, zorgt ook voor encryptie van data en bestanden op de server. Dat heeft weliswaar enkele praktische gevolgen maar die wegen bij lange na niet op tegen de voordelen.

Encryptie via de applicatie

Encryptie of versleuteling is een manier om gegevens te coderen op basis van een algoritme. Ze zijn dan niet meer voor iedereen te zien of te lezen. Gevoelige data, benodigd voor de werking van de applicatie bijvoorbeeld, worden vaak geëncrypt en online versleuteld verzonden.

Op een server worden deze gegevens vervolgens ontsleuteld en opgeslagen. En daar ligt meteen een risico. Wie zich, anders dan via een applicatie, toegang weet te verschaffen tot de server, heeft ook toegang tot de daar opgeslagen gegevens. Voor sommige organisaties is dat onacceptabel.

De oplossing is dat je niet alleen de toegang encrypt maar ook de database en andere bestanden op de server zoals bijvoorbeeld pdf’s.

Way2Web Ezra Peter Paul

Encrypt niet alleen de toegang maar ook de database zelf

Encryptie op de server

Bij Way2Web werken we om te beginnen met de CustomEncrypter. Deze standaard Laravel encrypter wordt aangepast met een unieke sleutel per klantomgeving van een softwareoplossing.

Dit heeft als voordeel dat wanneer er een sleutel uitlekt, alleen de data van die ene klantomgeving ontsleuteld kunnen worden. De overige gegevens blijven geëncrypt. Deze encrypter wordt ook gebruikt om gegevens in de database te versleutelen.

De unieke sleutel zelf wordt overigens ook weer versleuteld met een wachtwoord van de gebruiker. Zonder dit wachtwoord is het daarom technisch onmogelijk om toegang te krijgen.

Soms moeten ook zeer grote bestanden versleuteld worden. Denk aan bestanden met daarin gevoelige informatie. Daarvoor is twee jaar geleden een technisch zeer geavanceerde wijze van encryptie ontwikkeld: de ChunkEncrypter.

De ChunkEncrypter knipt een groot bestand in kleine brokjes (chunks) en versleutelt ieder brokje separaat. Door de geringe omvang nemen ze minimaal geheugen in beslag en verloopt het encryptieproces snel en efficiënt.

Rekening houden met vorige versies

Wanneer we ChunkEncrypter toepassen is er soms al eerder sprake geweest van een vorm van bestandsencryptie. Om bestanden die daarmee versleuteld zijn toch te ondersteunen vindt er altijd een backward-compatibilitycheck plaats.

Bij een backward-compatibilitycheck scant de encrypter bestanden om te herleiden welke eerdere encryptiemethode gebruikt is en daar vervolgens naar uit te wijken.

Praktische gevolgen

Bij deze vorm van encryptie krijgt uitsluitend en alleen de gebruiker toegang tot zijn eigen klantomgeving op de server. Niemand anders kan de gegevens inzien – ook een developer niet! De sleutel is immers beveiligd met het wachtwoord van de gebruiker.

Dit heeft uiteraard een aantal implicaties. Zaken die je ‘namens een gebruiker’ zou willen uitvoeren, zijn met de uniek versleutelde data niet meer mogelijk. Voorbeelden daarvan zijn:

  • Automatisch entiteiten aanmaken of bewerken
  • Berekeningen of mutaties uitvoeren op de attributen
  • Een gebruiker zelf zijn wachtwoord laten resetten

Dit heeft weliswaar praktische gevolgen, maar die zijn van minimale betekenis vergeleken met de voordelen van de data- en bestandsencryptie. Bovendien zijn er in de software diverse slimme maatregelen genomen om hiermee om te gaan.

Encryptie van data en bestanden op de server is een nu nog minder gebruikelijke maar zeer grondige en complexe veiligheidsmaatregel die Way2Web toepast bij bijvoorbeeld Key2Control.

Bent u klaar voor the next level?

De digitale transformatie biedt fantastische nieuwe mogelijkheden en kansen. Ook voor uw onderneming, dat weet ik zeker. Als IT-specialist én ondernemer praat ik daar graag eens met u over verder. Geheel vrijblijvend natuurlijk. Zullen we een afspraak maken?