Como gerenciar chaves de criptografia em um ambiente multicloud

Views: 426
0 0
Read Time:5 Minute, 40 Second

A segurança é uma parte essencial do gerenciamento de negócios. Isso é ainda mais verdadeiro quando os sistemas de TI precisam ser executados em um ambiente multicloud, onde a proteção de dados é crucial. A segurança na cloud é uma responsabilidade compartilhada entre os provedores de serviços de cloud (CSP – Cloud Service Providers, em inglês) e seus clientes, e todo CSP tem sua própria maneira de gerenciar as chaves de criptografia. Porém, quando o negócio conta com diferentes CSPs, pode ser um desafio gerenciar as várias chaves de criptografia que dão acesso aos seus aplicativos e dados.

Controle de Segurança para todas as clouds

O Equinix SmartKey, um serviço global de criptografia e gerenciamento de chaves seguro baseado em SaaS, oferecido na Plataforma Equinix, simplifica a proteção de dados em qualquer arquitetura de cloud.

Se você está à procura de ideias sobre como começar e o que é necessário, além de algumas recomendações a respeito de como criptografar dados em diversas clouds, este é um artigo que você vai querer ler. Apresentamos uma solução que permite que você utilize os serviços de criptografia dos CSPs que apoiam o seu negócio sem, para isso, fornecer controle total das chaves aos provedores.

Traga sua própria chave para a cloud

Quase todos os CSPs fornecem uma maneira para que você leve a sua própria chave (BYOK ou Bring Your Own Key, em inglês). Nessa metodologia, você importa suas chaves de criptografia para o CSP de sua escolha enquanto continua a utilizar serviços de gerenciamento de chaves de terceiros (KMS ou Key Management Services, em inglês). Ao fazer isso, você dissocia o gerenciamento de chaves da criptografia de dados na cloud e mantém seus sistemas como nativos em cloud. Por exemplo, na Amazon Web Services (AWS) KMS, depois de importar seu código principal, você pode utilizar o AWS KMS para criptografar dados no Amazon Simple Storage Service (S3), no Elastic Compute Cloud (EC2) e no Relational Database Server (RDS), bem como em quaisquer outros serviços que suportam a criptografia da AWS. Outros CSPs, como o Microsoft Azure e o Google Cloud, oferecem funcionalidades semelhantes.

Trazer a sua própria chave (BYOK) permite que você use um serviço de criptografia em cloud sem fornecer controle total das chaves ao provedor de serviços.

Depois de importar suas chaves para o KMS do seu CSP, você precisará de um local para o armazenamento e o gerenciamento de seus principais códigos. É possível gerar as chaves de segurança no SmartKey ou BYOK, mas o código da chave permanece em um local para um único ambiente de gerenciamento, independentemente de onde as chaves de criptografia sejam usadas. Se necessário, você também pode usar o SmartKey como uma camada de descriptografia adicional para os dados armazenados na nuvem. Essa abordagem ajuda a minimizar a exposição de suas chaves de criptografia a possíveis invasores.

Protegendo chaves proprietárias

A interação com os CSPs geralmente é feita por meio de APIs. A menos que você tenha uma conectividade privada, segura e direta com eles, essa troca de dados geralmente ocorre por meio da internet tradicional. Como o envio de códigos importantes pela rede em texto sem formatação pode ser uma vulnerabilidade séria, a maioria dos CSPs fornece uma maneira de agrupar suas principais informações e enviá-las com segurança. Um fluxo de trabalho seguro típico de BYOK para a cloud seria semelhante ao seguinte exemplo:

  1. Gere o seu código-chave, idealmente, uma chave assimétrica;
  2. Crie o intervalo de chaves no CSP – às vezes chamado de “uma chave sem um código-chave”;
  3. Faça o download da chave pública do wrapper do CSP para criptografar o código da chave antes de fazer o upload;
  4. Criptografe (ou envolva) o código da chave com a chave do wrapper do CSP;
  5. Carregue o novo código principal para o CSP.

Embora esse seja o procedimento que você seguiria ao importar chaves para a AWS, [i] todo CSP possui suas próprias particularidades para realizar a ação. Por exemplo, o Microsoft Azure prescreve um fluxo de trabalho semelhante, mas ainda não é capaz de suportar todos os provedores de HSM. [ii] Além disso, estamos trabalhando com o Google Cloud a fim de tornar esse processo mais fácil, integrando o SmartKey ao serviço.

Para uma segurança otimizada, certifique-se de implementar um fluxo de trabalho seguro como o descrito acima ao importar os principais códigos para a cloud.

Recomendações para BYOK à cloud

No momento da elaboração deste artigo, existem algumas recomendações sobre o gerenciamento de chaves em um ambiente multicloud, incluindo:

  • Evite usar uma chave para tudo. Tente segmentar as chaves por aplicativo, ambiente ou até mesmo linha de negócios;
  • Se você estiver usando o SmartKey, gere os principais códigos no próprio SmartKey;
  • Se for suportado pelo CSP, use chaves assimétricas;
    – A AWS suporta chaves assimétricas e simétricas;
    – O suporte do Azure para chaves assimétricas está em fase de testes;
    – O Google Cloud suporta chaves assimétricas e simétricas, mas você somente pode usar as chaves importadas no Cloud Storage se elas forem simétricas.

Por fim, tente automatizar a interação entre os CSPs e a sua ferramenta de gerenciamento de chaves, como o SmartKey. A automação pode ajudá-lo a reagir mais rapidamente contra violações de segurança, permitindo a regeneração de chaves de criptografia sob demanda.

Recomendações para gerenciar chaves de criptografia em um ambiente multicloud:
1. Evite usar uma chave para tudo;
2. Gere os principais códigos no SmartKey;
3. Use chaves assimétricas;
4. Automatize o processo de geração de chaves.

A segurança é um processo contínuo

Ninguém pode realmente dizer que seus sistemas são seguros o suficiente, que cobriu todos os casos extremos ou que os invasores não irão atrapalhá-los. O crime cibernético está cada vez mais sofisticado, o que significa que a segurança é um processo contínuo. Em um ambiente multicloud, a proteção de suas chaves precisa ser uma das principais prioridades, porque os ladrões cibernéticos não procuram apenas adivinhar quais são as suas chaves de criptografia; eles tentam encontrá-las, por ser mais fácil.

“O crime cibernético está cada vez mais sofisticado, o que significa que a segurança é um processo contínuo.”

Para saber mais sobre como manter as suas chaves de criptografia seguras, convido você a criar uma conta SmartKey e dar início a um teste gratuito. Desenvolvemos guias em texto e vídeo sobre como integrar o SmartKey a CSPs como a AWS, o Azure e o Google Cloud.

Você também pode se interessar em ler nossos outros blogs sobre SmartKey e gerenciamento de chaves de criptografia.

[i] Guia do desenvolvedor do AWS KMS, Importando materiais-chave no AWS Key Management Service (AWS KMS).

[ii] Tutoriais da Microsoft, Como importar chaves protegidas por HSM para o Key Vault, maio de 2020.

FONTE: EQUINIX

POSTS RELACIONADOS