Proteção de Dados

Criptografia nativa é a melhor forma de proteger dados?

Nos últimos anos, os fornecedores do mercado de armazenamento de dados passaram dar maior atenção à utilização do Key Management Interoperability Protocol (KMIP) em suas soluções para integração com gerenciadores de chaves de criptografia. Há dois motivos principais para isso. A necessidade de adequação às regulamentações sobre proteger dados é uma razão importante. Além disso, também há os próprios benefícios proporcionados pelas soluções de Enterprise Key Management (EKM) para empresas.

Saiba quais são esses benefícios:

Aplicação de boas práticas em segurança da informação

A definição daquilo que é adequado ou suficiente para atender demandas regulatórias sobre proteger dados varia muito nas empresas. Muitas soluções oferecem internamente suporte à criptografia e ao gerenciamento de chaves. Dependendo do contexto, isso pode ser suficiente.

No entanto, a adoção deste modelo pode comprometer a segurança dos dados. Afinal, devemos considerar que a chave de criptografia responsável pela proteção deles está inserida na própria solução de armazenamento.

Além disso, é comum encontrarmos cenários com diferentes fornecedores de solução de armazenamento, onde cada um programa seus modelos de gerenciamento de chaves. Isso pode levar a erros humanos e comprometer a disponibilidade dos dados, em caso de uma operação de criptografia malsucedida.

A utilização de uma solução de gerenciamento de chaves externa provê a adequada segregação de papéis. Além disso, também oferece um modelo padronizado para todos os processos de criptografia.

Adicionalmente, essas soluções costumam oferecer certificações internacionais de implementação de algoritmos de criptografia. Dessa forma, impede-se, por exemplo, o uso algoritmos ou de tamanhos de chaves considerados fracos. No site da owasp é possível encontrar um guia de criptografia bem interessante, no qual não é recomendado a utilização de algoritmos de hash MD-5, SHA-0, SHA-1 e algoritmo de criptografia simétrica DES.

Além disso, é possível acoplar às soluções de gerenciamento de chaves, equipamentos destinados à proteção com elevado nível de segurança. Por exemplo, os Hardware Secure Modules (HSMs) e Enterprise Key Management (EKM). Assim, a proteção ocorre de forma centralizada para todos os sistemas de armazenamento de dados da organização.

Capacidade de gerenciar o ciclo de vida de chaves

Normalmente, soluções que oferecem recursos de criptografia não se preocupam com o ciclo de vida de uma chave. Assim, ignoram, por exemplo validade, ativação, desativação, troca com preservação dos processos já cifrados e destruição.

A utilização da mesma chave de criptografia por um longo período é inadequada. Afinal, isso compromete a segurança, em caso de vazamento de informações.

Uma solução de gerenciamento não só oferece os requisitos necessários para todo o ciclo de vida de chaves. Afinal, ela também apresenta estes recursos em uma interface amigável, a partir de um console centralizado. Inclusive, define perfis de acesso a partir da integração com uma base Lightweight Directory Access Protocol (LDAP).

Flexibilidade de implementação

A decisão de manter as aplicações em infraestrutura própria ou migrar para um data center externo depende de diversos fatores.

Se a solução de gerenciamento de chaves estiver acoplada ao sistema de armazenamento, a decisão de manter internamente ou migrar para nuvem deve levar isso em consideração.

Capacidade de gerar relatórios de auditoria

Para estes casos, é necessário oferecer informações com alto nível de confiança e acesso às chaves. Dessa forma, deve-se detalhar quem acessou, o horário do evento e o sucesso ou a falha da operação.

Além disso, os mecanismos de alerta podem notificar a equipe caso surjam problemas com o equipamento de gerenciamento de chaves ou com outros dispositivos que se comunicam com o gerenciador.

Um dos principais benefícios de uma solução de gerenciamento de chaves externa, é sua capacidade de aperfeiçoar relatórios de auditoria.

Tentar provar para um auditor de conformidade externo que as chaves são seguras, protegidas e têm fortes controles de acesso seria muito mais difícil com um armazenamento nativo, especialmente se houver mais de uma solução. Isso também exigira que todos os sistemas fossem auditados individualmente.

Segregação de perfis

Os sistemas de gerenciamento de chave externos conseguem definir permissões para os administradores e usuários que farão uso das chaves.

Um exemplo comum disso, é a capacidade de permitir que um administrador crie uma chave, mas não possa usá-la para cifrar ou decifrar, utilizando atributos de usuário LDAP ou Active Directory (AD).

Normalmente, a criptografia própria dos sistemas não tem esse nível de granularidade nas funções administrativas. Com isso, o administrador de armazenamento também é o responsável pela chave.

Variedade de sistemas onde os dados sensíveis podem estar armazenados

Dos CRMs, Sistemas de Arquivo, Maquinas Virtuais, bases de dados estruturadas ou não, há a possibilidade de existirem informações que precisam de criptografia para evitar exposição, em caso de uma falha de segurança.

O gerenciador de dados externo, com capacidade de integração com protocolos abertos, oferece o recurso necessário para atender uma variada gama de ambientes.

Há pelo menos quatro perspectivas que podem ser abordadas sobre a localização do dado a ser protegido: sistema de arquivos, sistema operacional, banco de dados e memória. O esforço de implementação de criptografia aumenta nesta ordem e excede a complexidade, considerando a variedade de ambientes e sistemas no fluxo fim-a-fim do dado a ser protegido.

Como você deve ter percebido, a criptografia nativa não é necessariamente a melhor forma de proteger dados. Se ainda restaram dúvidas a respeito desse assunto, deixe as suas perguntas nos comentários. Teremos o maior prazer em respondê-las.

A E-VAL Tecnologia atua há mais de 14 anos oferecendo soluções de segurança da informação para o mercado. Pioneira em iniciativas no uso da certificação digital no Brasil, tais como, SPB, COMPE, Autenticação, Assinatura digital de contratos, Gerenciamento de Chaves e Soluções para proteger dados e armazenamento de chaves criptográficas para os seguimentos de instituições financeiras, educação e indústria.

Fale conosco, os especialistas da E-VAL Tecnologia terão o maior prazer em atendê-los, contribuindo para o desenvolvimento dos seus projetos e a melhoria contínua da segurança da informação para a sua instituição.

Siga-nos nas redes sociais:
error

Gostou do blog? Compartilhe já :D