0
0
No mundo sempre conectado de hoje, um número crescente de organizações está movendo seus dados para a nuvem em busca de eficiência operacional, gerenciamento de custos, agilidade, escalabilidade, etc.
À medida que mais dados são produzidos, processados e armazenados na nuvem – um alvo principal para cibercriminosos que estão sempre à espreita para colocar as mãos nos dados sensíveis das organizações – proteger os dados sensíveis que residem na nuvem se torna imperativo.
Embora a maioria dos Provedores de Serviços de Nuvem (CSPs) já tenha implantado sistemas de defesa de primeira linha robustos, como firewalls, antivírus, antimalware, detecção de intrusões na segurança em nuvem, etc., para impedir ataques maliciosos, hackers sofisticados estão os violando com surpreendente facilidade hoje em dia. E, uma vez que um hacker obtém acesso interno ao violar as defesas perimetrais do CSP, dificilmente há algo que possa ser feito para impedi-lo de acessar os dados sensíveis de uma organização. É por isso que cada vez mais organizações estão criptografando seus dados na nuvem hoje como uma última linha de defesa crítica contra ataques cibernéticos.
A Criptografia de dados não é suficiente
Embora a criptografia de dados atue definitivamente como um forte elemento dissuasivo, apenas criptografar os dados não é suficiente nos tempos perigosos de hoje, em que os ataques cibernéticos estão se tornando mais sofisticados a cada dia que passa. Uma vez que os dados residem fisicamente com o CSP, eles estão fora do controle direto das organizações que possuem os dados.
Em um cenário como este, onde as organizações criptografam seus dados na nuvem, armazenar as chaves de criptografia de forma segura e separada dos dados criptografados é de suma importância.
Introdução ao BYOK (Traga suas próprias chaves)
Para garantir a proteção ideal de seus dados na nuvem, um número crescente de organizações está adotando uma abordagem de Traga Suas Próprias Chaves (BYOK) que lhes permite criar e gerenciar suas próprias chaves de criptografia com segurança, separadas das chaves do CSP, onde seus dados sensíveis estão hospedados.
No entanto, à medida que mais chaves de criptografia são criadas para um número crescente de ambientes de nuvem, como Microsoft Azure, Amazon Web Services (AWS), Salesforce, etc., o gerenciamento eficiente das chaves de criptografia de aplicativos de nuvem individuais e a segurança de acesso se tornam muito importantes. É por isso que muitas organizações usam soluções de Gerenciamento de Chaves Externas (EKM) para gerenciar de forma coesa todas as suas chaves de criptografia de maneira segura, sem acesso não autorizado.
Vamos considerar o exemplo do Office 365, a aplicação em nuvem sob demanda da Microsoft que é amplamente usada por organizações em todo o mundo para apoiar a mobilidade dos funcionários, facilitando o acesso a qualquer momento e em qualquer lugar à aplicação de e-mail da Microsoft – MS Outlook – e a aplicativos de utilidade empresarial como MS Word, Excel, PowerPoint, etc.
As soluções BYOK da Gemalto (SafeNet ProtectApp e SafeNet KeySecure) para o Office 365 garantem não apenas que as organizações tenham controle total sobre seus dados criptografados na nuvem, mas também facilitam de forma eficiente o gerenciamento das chaves de criptografia de outros aplicativos em nuvem, como Azure, AWS, Google Cloud e Salesforce.
Para detalhar, abaixo está o processo passo a passo de como isso funciona:
- O SafeNet ProtectApp e o KeySecure são usados para gerar um Par de Chaves RSA ou o tamanho de chave necessário usando o RNG certificado pelo FIPS 140-2 do KeySecure.
- Um Self-SignedCertificateUtility.jar (que é um aplicativo baseado em Java) interage então com o KeySecure usando um serviço NAE protegido por TLS para buscar o Par de Chaves e criar um Certificado Autoassinado.
- O Par de Chaves e o Certificado Autoassinado são armazenados com segurança em um contêiner PFX ou P12 que criptografa o conteúdo usando uma Chave de Criptografia Baseada em Senha (PBE).
- O arquivo PFX (que é um contêiner criptografado usando uma Chave PBE) é então carregado no Azure Key Vault usando a API Web/Rest do Azure.
- A transmissão do arquivo PFX para o Azure Key Vault é protegida por mecanismos de segurança implementados pelo Azure em sua API Web (TLS/SSL, etc.).
- Uma vez que os arquivos PFX estarão localizados no mesmo sistema em que o utilitário SelfSignedCertificateUtility.jar será executado, as melhores práticas de segurança da indústria, como garantir aprovação pré-inicialização, habilitar autenticação de dois fatores (2FA), etc., devem ser seguidas.
- Uma vez que as chaves são carregadas no Azure Key Vault, todas as operações de criptografia acontecem na plataforma Azure em si.
Continue a descobrir o que considerar ao escolher uma solução de Gerenciamento de Chaves, bem como como a Gemalto pode ajudar as organizações a tornar sua jornada BYOK mais fácil.
Resumindo
À medida que a tecnologia evolui, também evoluem os cibercriminosos, e apenas criptografar os dados não garante mais proteção de dados à prova de falhas hoje em dia. Ao criptografar seus dados na nuvem, as organizações devem ter em mente que garantir e gerenciar as chaves de criptografia é tão importante quanto a criptografia em si.
Para evitar acesso não autorizado e garantir que as chaves de criptografia não caiam em mãos erradas, especialistas em cibersegurança recomendam unanimemente o uso de dispositivos de Módulo de Segurança de Hardware (HSM) para armazenar com segurança as chaves de criptografia.
Uma vez que as chaves de criptografia passam por várias fases durante sua vida útil – como geração, armazenamento, distribuição, backup, rotação e destruição – o gerenciamento eficiente dessas chaves em cada estágio de sua vida útil se torna importante. Uma solução de gerenciamento de chaves segura e centralizada é fundamental.
Esse artigo tem informações retiradas do blog da Thales. A Neotel é parceira da Thales e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.