0
0
No mundo digital, as soluções criptográficas usam chaves de criptografia para proteger dados em repouso, dados em uso e dados em trânsito. Eles são responsáveis por criptografar e descriptografar os dados, validar identidades autenticando usuários e dispositivos e proteger transações com assinaturas e certificados digitais.
Abaixo do complexo mundo dos casos de uso e algoritmos de criptografia está um princípio simples e fundamental: as chaves de criptografia devem permanecer em segredo. Assim que uma chave de criptografia se torna conhecida, ela é inútil.
Agora, você pode e deve criptografar as próprias chaves, mas então como você protege essas chaves de criptografia? Este ciclo eventualmente termina com uma chave raiz, que é a chave mais importante da cadeia. Você precisa proteger suas chaves raiz de tal forma que tenha o mais alto nível de confiança que elas nunca serão comprometidas – isso significa que você precisa de uma Raiz de Confiança.
Para complicar ainda mais as coisas, em ambientes mais seguros, você pode precisar de várias chaves raiz, por exemplo, para diferentes unidades de negócios ou por aplicativo, para mitigar os danos se alguma chave única estiver exposta.
Durante anos, assumimos que o hardware é menos vulnerável a ataques do que o software. O consenso resultante é que, para a melhor proteção possível, você deve armazenar chaves de criptografia no hardware, como em um Módulo de Segurança de Hardware (HSM). Os HSMs vêm na forma de USBs, placas de extensão e até mesmo aparelhos inteiros em seu data center. Você pode até alugar um HSM em uma nuvem pública.
Uma raiz de confiança de hardware ainda é a melhor solução?
A tecnologia evoluiu drasticamente nos últimos anos. Impulsionado pela disponibilidade de infraestrutura efêmera na nuvem que fornece escala automática quase ilimitada, o poder de computação aumentou exponencialmente. Como subproduto da tendência à computação em nuvem, o conceito de um perímetro de segurança único e bem definido foi praticamente obliterado.
Os fatos no chão e na nuvem mudaram. O que isso significa para Root of Trust?
O hardware não é mais invencível
O hardware não é tão impenetrável quanto costumava ser. À medida que a computação se tornou mais poderosa e sofisticada, novos vetores de ataque de hardware, como Meltdown e Spectre, exploram vulnerabilidades de microprocessador para acessar dados. Até os HSMs foram hackeados.
As Extensões de Proteção de Software (SGX) da Intel fornecem uma abordagem alternativa que permite que uma CPU criptografe dados em um enclave, que é um ambiente isolado dentro da memória. Isso efetivamente coloca um HSM em cada CPU. Infelizmente, o SGX também foi vítima de vários ataques.
Escala automática é uma necessidade
A computação moderna, tanto dentro de uma nuvem pública quanto privada, é caracterizada pela eficiência, agilidade e escalabilidade. Isso é ativado principalmente por software que fornece soluções de dimensionamento automático usando recursos efêmeros.
Os HSMs não são projetados para escalar automaticamente ou para serem usados com um modelo pay-per-use. Você não pode girar automaticamente outro HSM para atender ao pico de demanda. Considere um grande varejista on-line que precisa de X HSMs para validar transações de pagamento continuamente, e 3X HSMs para fazer isso durante um período de pico como a Black Friday. O varejista teria que manter todos os 3X HSMs durante todo o ano, mesmo que sejam necessários apenas por alguns dias. Da mesma forma, se a demanda subir repentinamente além da capacidade planejada, o varejista não poderá processar pagamentos, potencialmente perdendo enormes quantias de receita.
Acessibilidade é tudo
Um grande e crescente número de organizações usa ambientes híbridos distribuídos, com alguns recursos no local e outros na nuvem pública, em alguns casos até mesmo em várias regiões e várias nuvens. Quando seus recursos estão em toda parte, sua Raiz de Confiança também precisa estar acessível de todos os lugares.
Se você usa um HSM no local, precisa fornecer acesso à rede e autenticação para recursos em nuvem. Isso significa expor seu ambiente interno ao tráfego de entrada de redes públicas externas.
Soluções que replicam um HSM local para um CloudHSM tentam resolver esse problema, mas são complicadas de administrar e, embora resolvam o problema de fornecer acesso aos recursos da nuvem, a questão de autenticar esses recursos permanece.
Você não é o proprietário exclusivo do seu HSM baseado em nuvem
Quando você está trabalhando com infraestrutura em nuvem, o hardware (e, em muitos casos, também o software) não está sob seu controle. Isso também é verdade para HSMs baseados em nuvem fornecidos por provedores de serviços em nuvem (CSPs).
Você não precisa procurar mais do que a Lei da NUVEM para perceber que seus CSPs têm acesso imediato às suas chaves e dados. Isso não é acesso teórico – este relatório publicado pela Amazon detalha as solicitações de dados policiais que a Amazon atendeu durante um período de seis meses em 2020. Não é um grande salto imaginar um informante em seu CSP explorando essa capacidade de expor suas chaves.
Embora os CSPs façam esforços genuínos para proteger seu hardware sob o Modelo de Responsabilidade Compartilhada, a natureza da besta é que o uso de infraestrutura de terceiros também deixa você vulnerável a ataques na cadeia de suprimentos. Considere o ataque à SolarWinds e imagine as repercussões do seu CSP – e, por extensão, você – ser vítima de um ataque tão grande na cadeia de suprimentos.
Requisitos de raiz de confiança de última geração
É claro que a implementação da Root of Trust como uma solução puramente de hardware implantada em um único local precisa se mover com os tempos. Root of Trust baseado em hardware foi projetado para um mundo diferente e luta para atender às demandas da computação moderna.
Precisamos de novas soluções que superem as desvantagens das soluções somente de hardware, sem comprometer a segurança. Essencialmente, estamos procurando soluções que forneçam a verdadeira Root of Trust-as-a-service, incluindo:
- Escalabilidade e eficiência automáticas, com novos modelos de consumo por transação, assim como qualquer outro serviço. A solução precisa crescer perfeitamente junto com o seu ambiente.
- Acesso a qualquer hora, em qualquer lugar, seja no local ou na nuvem, com autenticação omnicanal baseada em métodos modernos de autenticação, como AWS-IAM Roles, Azure Identity, OpenID e assim por diante.
- Propriedade exclusiva de suas chaves de criptografia e chaves de assinatura. Especialmente em ambientes não confiáveis, a solução precisa garantir que você seja a única parte que pode acessar suas chaves, para garantir que elas estejam protegidas de serem expostas a qualquer pessoa, de autoridades federais a invasores maliciosos.
- Certificação padrão de segurança internacional, como US NIST FIPS 140.2.A FIPS tem vários níveis de força. Por exemplo, em ambientes altamente regulamentados, o hardware é necessário para atingir certos níveis FIPS, portanto, a solução deve ser capaz de incluir hardware de maneira escalável.
FONTE: HELPNET SECURITY