0
1
0
1
1
0
1
0

Home Posts Criptografia nativa é a melhor forma de proteger dados?

Criptografia nativa é a melhor forma de proteger dados?

Criptografia nativa é a melhor forma de proteger dados?

Nos últimos anos, os fornecedores do mercado de armazenamento de dados passaram dar maior atenção à utilização do Key Management Interoperability Protocol (KMIP) em suas soluções para integração com gerenciadores de chaves de criptografia.

Dois dos motivos para isso são a necessidade de adequação às regulamentações a respeito de privacidade de dados e os próprios benefícios proporcionados pelas soluções de Enterprise Key Management (EKM) para empresas.

Saiba quais são esses benefícios:

Aplicação de boas práticas em segurança da informação

A definição daquilo que é adequado ou suficiente para o atendimento de demandas regulatórias sobre privacidade de dados varia muito nas empresas. Muitas soluções oferecem internamente suporte à criptografia e ao gerenciamento de chaves. Dependendo do contexto, isso pode ser suficiente.

No entanto, a adoção deste modelo pode comprometer a segurança dos dados, considerando que a chave de criptografia responsável pela proteção deles está inserida na própria solução de armazenamento.

Além disso, é comum encontrarmos cenários com vários fornecedores de solução de armazenamento, onde cada um programa seus modelos de gerenciamento de chaves. Isso pode levar a erros humanos e comprometer a própria disponibilidade dos dados, em caso de uma operação malsucedida de criptografia.

A utilização de uma solução de gerenciamento de chaves externa provê a adequada segregação de papéis, além de oferecer um modelo padronizado para todos os processos de criptografia.

Adicionalmente, essas soluções costumam oferecer certificações internacionais de implementação de algoritmos de criptografia, impedindo, por exemplo, o uso algoritmos ou de tamanhos de chaves considerados fracos, no site da owasp é possível encontrar um guia de criptografia bem interessante, no qual não é recomendado a utilização de algoritmos de hash MD-5, SHA-0, SHA-1 e algoritmo de criptografia simétrica DES.

Além disso, é possível acoplar às soluções de gerenciamento de chaves equipamentos destinados à proteção com elevado nível de segurança, como os Hardware Secure Modules (HSMs) e Enterprise Key Management (EKM), de forma centralizada para todos os sistemas de armazenamento de dados da organização.

Capacidade de gerenciar o ciclo de vida de chaves

Normalmente, soluções que oferecem recursos de criptografia não se preocupam com o ciclo de vida de uma chave — por exemplo, validade, ativação, desativação, troca com preservação dos processos já cifrados e destruição.

A utilização da mesma chave de criptografia por um longo período é inadequada, pois compromete a segurança, em caso de vazamento de informações.

Uma solução de gerenciamento, além de oferecer os requisitos necessários para todo o ciclo de vida de chaves, apresenta estes recursos em uma interface amigável, a partir de uma console centralizada, inclusive definindo perfis de acesso a partir da integração com uma base Lightweight Directory Access Protocol (LDAP).

Flexibilidade de implementação

A decisão de manter as aplicações em infraestrutura própria ou migrar para um data center externo depende de diversos fatores.

Se a solução de gerenciamento de chaves estiver acoplada ao sistema de armazenamento, a decisão de manter internamente ou migrar para nuvem deve levar isso em consideração.

Capacidade de gerar relatórios de auditoria

Para estes casos, é necessário oferecer informações com alto nível de confiança e acesso às chaves — detalhando quem acessou, o horário do evento e o sucesso ou a falha da operação.

Além disso, os mecanismos de alerta podem notificar a equipe caso surjam problemas com o equipamento de gerenciamento de chaves ou com outros dispositivos que se comunicam com o gerenciador.

Um dos principais benefícios de um sistema de gerenciamento de chave externo é sua capacidade de aperfeiçoar os relatórios de auditoria.

Tentar provar para um auditor de conformidade externo que as chaves são seguras, protegidas e têm fortes controles de acesso seria muito mais difícil com um armazenamento nativo, especialmente se houver mais de uma solução. Isso também exigira que todos os sistemas fossem auditados individualmente.

Segregação de perfis

Os sistemas de gerenciamento de chave externos têm a capacidade de definir permissões para os administradores usuários que farão uso das chaves.

Um exemplo comum disso é a capacidade de permitir que um administrador crie uma chave, mas não possa usá-la para cifrar ou decifrar, utilizando atributos de usuário LDAP ou Active Directory (AD).

Normalmente, a criptografia própria dos sistemas não tem esse nível de granularidade nas funções administrativas e o administrador de armazenamento também é o responsável pela chave.

Variedade de sistemas onde os dados sensíveis podem estar armazenados

Dos CRMs, Sistemas de Arquivo, Maquinas Virtuais, bases de dados estruturadas ou não, há a possibilidade de existirem informações que precisam de criptografia para evitar exposição, em caso de uma falha de segurança.

O gerenciador de dados externo, com capacidade de integração com protocolos abertos, oferece o recurso necessário para atender uma variada gama de ambientes.

Há pelo menos quatro perspectivas que podem ser abordadas sobre a localização do dado a ser protegido: sistema de arquivos, sistema operacional, banco de dados e memória. O esforço de implementação de criptografia aumenta nesta ordem e excede a complexidade, considerando a variedade de ambientes e sistemas no fluxo fim-a-fim do dado a ser protegido.

Como você deve ter percebido, a criptografia nativa não é necessariamente a melhor forma de proteger dados. Se ainda restaram dúvidas a respeito desse assunto, deixe as suas perguntas nos comentários. Teremos o maior prazer em respondê-las.