0
0
Controle, Conformidade, Consistência e Transporte
Por mais de 20 anos, os dados em soluções de segurança de movimento foram algemados à camada de transporte da rede. Conformidade mínima, consistência insignificante, transporte restrito e falta de controle sobre o gerenciamento do ciclo de vida chave são todos artefatos negativos desta dependência do protocolo. O resultado é uma colcha de retalhos de soluções de segurança específicas de camadas, muitas das quais são implementadas com base na conveniência e não nas práticas recomendadas de segurança. A abstração das dependências de protocolos da segurança da rede abre um caminho para a implementação de um dado verdadeiramente seguro na estratégia de segurança de movimento, abrindo caminho para controle completo, conformidade, consistência e transporte.
Controle – O advento do armazenamento em nuvem e da capacidade sob demanda trouxe consigo a necessidade de proteger os ativos de dados armazenados e utilizados dentro dos limites dos ambientes externos de provedores de serviços. Em vez de confiar que provedores de terceiros protegem adequadamente seus dados, soluções como Bring Your Own Encryption (BYOE) evoluíram para permitir que os clientes controlem sua própria segurança. A razão pela qual o BYOE é tão popular é simples: criptografar dados é importante, mas o controle e a propriedade de materiais-chave reina supremo. A cadeia completa de custódia de material-chave é essencial para assumir o controle da segurança de seus dados – se ele existe no local, fora da premissa ou no meio das instalações.
Com o controle sobre as chaves do seu reino, a propriedade da segurança é garantida e as proteções contra olhos curiosos são implementadas. Embora as organizações estejam interessadas em controlar o material-chave para seus dados em repouso, essas mesmas organizações muitas vezes renunciam ao controle de seus dados em material-chave de movimento para fornecedores de certificados terceirizados e soluções de segmentação de rede virtualizada. Uma pergunta que se deve fazer: Se as organizações valorizam o controle sobre o material-chave para dados em repouso, elas também não deveriam querer o controle do material-chave para as redes em que esses mesmos dados atravessam?
Compliance – Atender aos padrões mínimos de segurança é uma tabela para qualquer solução de segurança. As técnicas de criptografia padrão são facilmente implementadas e podem ser encontradas em uma infinidade de produtos e serviços, mas atender a um padrão mínimo é apenas uma diretriz para a segurança. Quase nunca cobertos por essas recomendações estão os métodos em que o material-chave é distribuído e armazenado, quantos pontos de compromisso existem, como o desempenho da rede é afetado e quem tem acesso aos controles de segurança. Atender a um padrão é bastante simples, mas a diferença entre atender a um padrão e implementar uma solução de segurança bem pensada pode ser imensa. As perguntas devem-se fazer: A solução atende ao padrão “xyz”, mas como as chaves são tratadas? Qual é o impacto no desempenho da minha rede?; O software de solução é atualizado para padrões futuros como a resistência quântica?; Quanto compromisso com a segurança esse fornecedor realmente tem?
Consistência – As organizações geralmente tratam o gerenciamento de dados importantes para os dados em repouso de forma diferente da proteção de dados em movimento. Isso ocorre em parte porque os dados em segurança de movimento estão fortemente acoplado ao método de transporte. Se você tiver uma conexão de Camada 3 (IP), é provável que use VPN ou IPsec. Se você tiver uma conexão de Camada 2, você pode usar a segurança do Controle de Acesso de Mídia (MACsec), o Multiprotocol Layer Security (MPLS) e outras soluções proprietárias. A camada 4 introduz ainda fornecedores e métodos adicionais de segurança. O resultado é uma colcha de retalhos de soluções de segurança implementadas por uma variedade de fornecedores, cada um operado e gerenciado independentemente um do outro, e todos contando com provedores de segunda e terceira parte para fornecer certificados e material-chave. Para dados em uso e dados em repouso, as soluções de segurança fornecem consistência, independentemente da camada de transporte. Uma pergunta que se deve fazer: Por que as organizações selecionam diferentes dados em soluções de segurança de movimento com base na topologia de rede em vez de uma solução de segurança consistente, independentemente da camada de transporte?
Transporte – Hoje, solicitamos dados da borda e magicamente os resultados aparecem. Escondidas da vista estão as múltiplas variações de topologias e transportadoras que são necessárias para garantir um transporte bem-sucedido dos dados, especialmente através das fronteiras internacionais. Quando os dados cruzam várias operadoras para redundância ou conectividade internacional de longo curso, as responsabilidades de segurança podem mudar de mãos ou pior ainda, os dados em segurança de movimento podem cessar completamente. Devido à falta de interoperabilidade e inconsistência nas implementações de segurança, a movimentação de dados entre nuvens públicas, nuvens híbridas, data centers e outros provedores é impossível ou extremamente difícil. A camada de transporte muitas vezes domina qualquer dado em discussão de segurança de movimento. O resultado é que a segurança se torna uma reflexão posterior, baseada apenas no tipo de conexão. Mais vezes do que não, a camada de transporte, em vez de segurança, muitas vezes impulsiona discussões de segurança. As perguntas devem-se fazer: Se os dados são seguros quando saem do Ponto A, eles serão protegidos até o ponto B? Alguém pode espionar ou manipular os dados “em qualquer lugar” dentro do caminho da rede? Estou fazendo tudo o que posso para proteger o caminho da rede ou estou apenas me contentando com a conveniência de uma solução de segurança de mais de 20 anos?
A resposta às perguntas aqui colocadas é simples. Os profissionais de segurança se preocupam com controle, conformidade, consistência e transporte. No entanto, até agora, uma única solução de segurança de dados em movimento não existiu. Ao separar os controles de segurança da camada de transporte, o Thales High Speed Encryptor (HSE) mudou completamente os paradigmas associados aos dados antigos nos métodos de segurança de movimento. O IPsec tem mais de 20 anos e adiciona uma média de 30% a 50% de sobrecarga à rede. Você gostaria de usar um laptop de 20 anos hoje? O MACsec melhora o problema de sobrecarga da Camada 2, mas requer cada switch na LAN para criptografar e descriptografar, criando muitos pontos vulneráveis de falha para o seu material-chave. A MACsec fornece soluções WAN, mas são proprietárias, criando problemas de interoperabilidade entre fornecedores de rede e operadoras. Tanto o IPsec quanto o MACsec são soluções de patchwork presas dentro dos limites de suas respectivas topologias, e nenhuma solução dá controle sobre o que reina supremo à segurança… o material chave.
Abordando os 4Cs
A Thales resolveu as restrições associadas ao IPsec e ao MACsec, abstraindo controles de segurança da camada de transporte. Usando o Modo Independente de Transporte (TIM), os HSEs da Thales acomodam “Os 4Cs de Segurança de Dados em Movimento” fornecendo uma solução de segurança confiável com pouco ou nenhum impacto na arquitetura de rede existente, independentemente do meio de transporte.
FONTE: THALES