Nos últimos anos, os fornecedores do mercado de armazenamento de dados passaram dar maior atenção à utilização do Key Management Interoperability Protocol (KMIP) em suas soluções para integração com gerenciadores de chaves de criptografia.
Há dois motivos principais para isso. A necessidade de adequação às regulamentações sobre proteger dados é uma razão importante.
Além disso, também há os próprios benefícios proporcionados pelas soluções de Enterprise Key Management (EKM) para empresas.
Saiba quais são esses benefícios no decorrer do artigo.
Aplicação de boas práticas em segurança da informação
A definição daquilo que é adequado ou suficiente para atender demandas regulatórias sobre proteger dados varia muito nas empresas.
Muitas soluções oferecem internamente suporte a gestão de chaves com criptografia. Dependendo do contexto, isso pode ser suficiente.
No entanto, a adoção deste modelo pode comprometer a segurança dos dados. Afinal, devemos considerar que a chave de criptografia responsável pela proteção deles está inserida na própria solução de armazenamento.
Além disso, é comum encontrarmos cenários com diferentes fornecedores de solução de armazenamento, onde cada um programa seus modelos de gestão de chaves com criptografia.
Isso pode levar a erros humanos e comprometer a disponibilidade dos dados, em caso de uma operação de criptografia malsucedida.
A utilização de uma solução de gerenciamento de chaves externa provê a adequada segregação de papéis. Além disso, também oferece um modelo padronizado para todos os processos de criptografia.
Adicionalmente, essas soluções costumam oferecer certificações internacionais de implementação de algoritmos de criptografia. Dessa forma, impede-se, por exemplo, o uso algoritmos ou de tamanhos de chaves considerados fracos.
No site da Owasp é possível encontrar um guia de criptografia bem interessante, no qual não é recomendado a utilização de algoritmos de hash MD-5, SHA-0, SHA-1 e algoritmo de criptografia simétrica DES.
Além disso, é possível acoplar às soluções de gestão de chaves com criptografia, equipamentos destinados à proteção com elevado nível de segurança.
Por exemplo, os Hardware Secure Modules (HSMs) e Enterprise Key Management (EKM). Assim, a proteção ocorre de forma centralizada para todos os sistemas de armazenamento de dados da organização.
Faça a Gestão de Chaves com Criptografia com Eficiência
Normalmente, soluções que oferecem recursos de criptografia não se preocupam com o ciclo de vida de uma chave. Assim, ignoram, por exemplo validade, ativação, desativação, troca com preservação dos processos já cifrados e destruição.
A utilização da mesma chave de criptografia por um longo período é inadequada. Afinal, isso compromete a segurança, em caso de vazamento de informações.
Uma solução de gerenciamento não só oferece os requisitos necessários para todo o ciclo de vida de chaves. Afinal, ela também apresenta estes recursos em uma interface amigável, a partir de um console centralizado.
Inclusive, define perfis de acesso a partir da integração com uma base Lightweight Directory Access Protocol (LDAP).
Flexibilidade de Implementação e na Gestão de Chaves com Criptografia
A decisão de manter as aplicações em infraestrutura própria ou migrar para um data center externo depende de diversos fatores.
Se a solução de gestão de chaves com criptografia estiver acoplada ao sistema de armazenamento, a decisão de manter internamente ou migrar para nuvem deve levar isso em consideração.
|
|
Capacidade de gerar relatórios de auditoria durante a gestão de chaves com criptografia
Para estes casos, é necessário oferecer informações com alto nível de confiança e acesso às chaves. Dessa forma, deve-se detalhar quem acessou, o horário do evento e o sucesso ou a falha da operação.
Além disso, os mecanismos de alerta podem notificar a equipe caso surjam problemas com o equipamento de gestão de chaves ou com outros dispositivos que se comunicam com o gerenciador.
Um dos principais benefícios de uma solução de gerenciamento de chaves externa, é sua capacidade de aperfeiçoar relatórios de auditoria.
Tentar provar para um auditor de conformidade externo que as chaves são seguras, protegidas e têm fortes controles de acesso seria muito mais difícil com um armazenamento nativo, especialmente se houver mais de uma solução. Isso também exigira que todos os sistemas fossem auditados individualmente.
Segregação de perfis
Os sistemas de gerenciamento de chave externos conseguem definir permissões para os administradores e usuários que farão uso das chaves.
Um exemplo comum disso, é a capacidade de permitir que um administrador crie uma chave, mas não possa usá-la para cifrar ou decifrar, utilizando atributos de usuário LDAP ou Active Directory (AD).
Normalmente, a criptografia própria dos sistemas não tem esse nível de granularidade nas funções administrativas. Com isso, o administrador de armazenamento também é o responsável pela chave.
Variedade de sistemas onde os dados sensíveis podem estar armazenados
Dos CRMs, Sistemas de Arquivo, Maquinas Virtuais, bases de dados estruturadas ou não, há a possibilidade de existirem informações que precisam de criptografia para evitar exposição, em caso de uma falha de segurança.
A gestão de chaves com criptografia, com capacidade de integração com protocolos abertos, oferece o recurso necessário para atender uma variada gama de ambientes.
Há pelo menos quatro perspectivas que podem ser abordadas sobre a localização do dado a ser protegido: sistema de arquivos, sistema operacional, banco de dados e memória.
O esforço de implementação de criptografia aumenta nesta ordem e excede a complexidade, considerando a variedade de ambientes e sistemas no fluxo fim-a-fim do dado a ser protegido.
Como você deve ter percebido, a criptografia nativa não é necessariamente a melhor forma de proteger dados. Se ainda restaram dúvidas a respeito desse assunto, deixe as suas perguntas nos comentários. Teremos o maior prazer em respondê-las.
Sobre a Eval
A Eval está há mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria. Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presentes nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.
Com valor reconhecido pelo mercado, as soluções e serviços da Eval atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a Lei Geral de Proteção de Dados (LGPD). Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.
Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.
Eval, segurança é valor.
