Che cos'è la gestione delle chiavi di crittografia?

Sebbene il cloud computing offra molti vantaggi, una delle principali preoccupazioni è la sicurezza, perché i dati risiedono fisicamente presso il provider di servizi cloud (CSP) e fuori dal controllo diretto del proprietario dei dati. La crittografia protegge i dati nel cloud e, per garantirne la riservatezza e l'integrità, la protezione delle chiavi di crittografia è di fondamentale importanza. La funzionalità BYOK (porta la tua chiave) consente alle aziende di generare chiavi forti in un modulo di sicurezza hardware (HSM) resistente alle manomissioni e di esportare in modo sicuro le chiavi nel cloud, rafforzando così le pratiche di gestione delle chiavi e mantenendo il controllo e la gestione delle chiavi di crittografia.

Entrust KeyControl fornisce la funzionalità BYOK (Bring Your Own Key) per piattaforme cloud singole o multiple, offrendo flessibilità, scalabilità e controllo completo dei carichi di lavoro crittografati in Amazon Web Services. Guarda, qui sotto, il video della nostra integrazione Amazon AWS Key Management Service per vedere il modello BYOK in azione.

La gestione dei segreti si riferisce all'autenticazione digitale necessaria utilizzata per proteggere le tue credenziali, incluse password, API, chiavi e token per le tue varie applicazioni. Proteggere i segreti delle applicazioni tramite la crittografia consente di navigare in sicurezza tra le credenziali di accesso ai privilegi senza temere di compromettere la sicurezza..

Per controllare l'accesso ai dati sensibili, le organizzazioni richiedono le credenziali dell'utente, un codice segreto tra il software e l'utente. L'implementazione di un solido sistema di gestione dei segreti è fondamentale per proteggere tutti i sistemi e le informazioni. Le autorità devono essere in grado di creare e revocare le credenziali man mano che clienti e dipendenti vanno e vengono o semplicemente cambiano ruolo e man mano che i processi e le politiche aziendali si evolvono. Inoltre, l'aumento delle normative sulla privacy e di altre disposizioni di sicurezza aumenta la necessità per le organizzazioni di dimostrare la capacità di convalidare l'identità dei consumatori online e degli utenti interni privilegiati.

Sfide associate alla gestione delle credenziali

• I malintenzionati che possono ottenere il controllo del tuo sistema di gestione dei segreti possono rilasciare credenziali che li rendono insider, potenzialmente con privilegi per compromettere i sistemi non rilevati.
• I processi di gestione dei segreti compromessi comportano la necessità di emettere nuovamente credenziali, il che può essere un processo costoso e dispendioso in termini di tempo.
• I tassi di convalida delle credenziali possono variare enormemente e possono facilmente superare le caratteristiche prestazionali di un sistema di gestione dei segreti, mettendo a rischio la continuità aziendale.
• Le aspettative dei proprietari di applicazioni aziendali in merito ai modelli di sicurezza e affidabilità sono in aumento e possono mostrare la gestione delle credenziali come un anello debole che può mettere a repentaglio le dichiarazioni di conformità.

Sebbene sia possibile distribuire una piattaforma di gestione dei segreti in un sistema puramente basato su software, questo approccio è intrinsecamente meno sicuro. La firma del token e le chiavi di crittografia gestite al di fuori del confine crittografico di un HSM certificato sono significativamente più vulnerabili agli attacchi che potrebbero compromettere il processo di firma e distribuzione del token. Gli HSM sono l'unico modo comprovato e verificabile per proteggere materiale crittografico di valore e fornire protezione hardware approvata da FIPS.

Gli HSM consentono alla tua azienda di:

• Stabilisci una solida root of trust proteggendo le chiavi che crittografano le credenziali segrete della tua organizzazione
• Chiavi di firma di token sicure entro limiti crittografici attentamente progettati, che utilizzando solidi meccanismi di controllo degli accessi con separazione forzata dei compiti al fine di garantire che le chiavi siano utilizzate solo da entità autorizzate
• Garantire la disponibilità utilizzando sofisticate funzionalità di ridondanza, archiviazione e gestione delle chiavi
• Fornire prestazioni elevate per supportare requisiti aziendali sempre più esigenti per l'accesso alle risorse da diversi dispositivi e posizioni

La crittografia asimmetrica utilizza una coppia di chiavi collegate per proteggere i dati. Una chiave, la chiave privata, è tenuta segreta dal suo proprietario e viene utilizzata per la firma e/o la decrittografia. L'altra, la chiave pubblica, è pubblicata e può essere utilizzata da chiunque per verificare i messaggi firmati dalla chiave privata o per crittografare i documenti al proprietario della chiave privata.

Nella crittografia, una chiave simmetrica è quella utilizzata per la crittografia, la decrittografia e l'autenticazione dei messaggi. Questa pratica, altresì nota come "crittografia a chiave segreta", indica che per decrittografare le informazioni, è necessario disporre della stessa chiave utilizzata per crittografarle. Le chiavi, in pratica, rappresentano un segreto condiviso tra le parti che può essere utilizzato per mantenere un collegamento di informazioni private. Le chiavi possono essere utilizzate da due o più persone. Possono altresì essere utilizzate da una sola parte (ad esempio allo scopo di crittografare i backup).

Uno dei vantaggi della crittografia simmetrica è che è notevolmente più veloce della crittografia asimmetrica. Un esempio ben noto di un caso d'uso crittografico simmetrico è la tokenizzazione.

Durante il trasporto delle chiavi (in cui una parte seleziona il materiale per la chiave segreta), il materiale per la codifica segreta crittografata viene trasportato dal mittente al destinatario. Gli schemi di trasporto di chiave utilizzano tecniche di chiave pubblica o una combinazione di tecniche di chiave pubblica e chiave simmetrica (ibride). La parte che invia il materiale per la chiave segreta è chiamata mittente e l'altra parte è chiamata ricevente.

Durante l'accordo di chiave, il materiale di codifica segreto derivato è il risultato dei contributi apportati da entrambe le parti. Gli schemi di accordo di chiave possono utilizzare tecniche di chiave simmetrica o asimmetrica (chiave pubblica). La parte che inizia uno schema di accordo di chiave è denominata iniziatore e l'altra parte è denominata risponditore.

Il materiale per la codifica segreta può essere stabilito elettronicamente tra le parti utilizzando uno schema di istituzione di chiave, ovvero utilizzando uno schema di accordo di chiave o uno schema di trasporto chiave.