Pular para o conteúdo principal

O que é Traga sua própria chave (BYOK)?

Embora a computação em nuvem ofereça muitas vantagens, uma grande desvantagem é a segurança, pois os dados ficam fisicamente armazenados no provedor de serviços de nuvem (CSP) e estão fora do controle direto do proprietário. No caso das empresas que optam pela criptografia para proteger seus dados, a segurança das chaves de criptografia é de grande importância. O recurso Traga sua própria chave (BYOK) permite às empresas criptografar seus dados e manter o controle e gerenciamento das chaves de criptografia. Entretanto, alguns planos de BYOK carregam as chaves de criptografia para a infraestrutura do CSP. Nesses casos, a empresa mais uma vez perdeu o controle de suas chaves. Uma solução de melhores práticas para este problema de “Traga sua própria chave” é que a empresa gere chaves fortes em um módulo de segurança de hardware (HSM) com proteção inviolável e controle a exportação segura das chaves para a nuvem, fortalecendo assim as práticas de gestão de chaves e segredos.

O que é um sistema de gerenciamento de credenciais?

Para controlar o acesso a dados confidenciais, as organizações precisam de credenciais de usuário. A implementação de um sólido sistema de gerenciamento de credenciais, ou de vários sistemas de gerenciamento de credenciais, é fundamental para proteger todos os sistemas e informações. As autoridades devem ser capazes de criar e revogar credenciais à medida que clientes e funcionários vão e vêm ou simplesmente mudam de função e conforme os processos e políticas comerciais evoluem. Além disso, o crescimento das regulações de privacidade e outras normas de segurança aumenta a necessidade das organizações demonstrarem a capacidade de validar a identidade dos consumidores on‑line e dos usuários privilegiados internos.

Desafios associados ao gerenciamento de credenciais

  • Se um invasor tomar o controle de seu sistema de gestão de credenciais ele poderá emitir credenciais e se passar por alguém da empresa, possivelmente com privilégios para comprometer os sistemas sem ser detectado.
  • O comprometimento de processos de gerenciamento de credenciais gera a necessidade de reemitir credenciais, o que pode ser um processo caro e demorado.
  • As taxas de validação de credenciais podem variar enormemente e podem facilmente superar a capacidade de produção de um sistema de gerenciamento de credenciais, comprometendo a continuidade dos negócios.
  • As expectativas dos proprietários de aplicativos comerciais sobre modelos de segurança e confiança estão aumentando e podem expor o gerenciamento de credenciais como um elo fraco que pode comprometer a conformidade.

Módulos de segurança de hardware (HSMs)

Embora seja possível implantar uma plataforma de gerenciamento de credenciais em um sistema baseado somente em software, esta abordagem é menos segura por natureza. A assinatura de tokens e chaves de criptografia manipuladas fora dos limites criptográficos de um HSM certificado são mais vulneráveis a ataques que poderiam comprometer o processo de assinatura e distribuição de tokens. Os HSMs são a única maneira comprovada e auditável de garantir material criptográfico valioso e fornecer proteção de hardware com certificação FIPS.

Os HSMs permitem que sua empresa:

  • Chaves de assinatura de tokens seguras dentro de limites criptográficos cuidadosamente projetados, empregando mecanismos fortes de controle de acesso com separação forçada de funções para garantir que as chaves sejam usadas somente por entidades autorizadas
  • Assegurar a disponibilidade usando recursos sofisticados de armazenamento, redundância e gerenciamento de chaves e segredos
  • Oferecer alto desempenho para apoiar os requisitos empresariais cada vez mais exigentes para acesso a recursos de diferentes dispositivos e locais

O que é uma chave assimétrica ou criptografia de chave assimétrica?

A criptografia assimétrica usa duas chaves interligadas para proteger os dados. A chave privada, mantida em segredo por seu proprietário, é usada para assinar e/ou decodificar. A outra chave, a pública, é disponibilizada e pode ser usada por qualquer pessoa para verificar mensagens assinadas pela chave privada ou para criptografar documentos para o proprietário da chave privada.



O que é uma chave simétrica?

Em criptografia, uma chave simétrica é aquela que é usada para criptografia, decodificação e autenticação de mensagens. Esta prática, também conhecida como “criptografia com chave secreta”, significa que para decodificar informações, é preciso ter a mesma chave que foi usada na criptografia. Na prática, as chaves representam um segredo compartilhado entre as partes que pode ser usado para manter um link de informação privado. As chaves podem ser usadas por duas ou mais partes. Elas também podem ser usadas por apenas uma parte (por exemplo, para criptografar backups).

Uma vantagem da criptografia simétrica é que ela é sensivelmente mais rápida do que a criptografia assimétrica. Um exemplo bem conhecido de caso de uso criptográfico simétrico é a tokenização.

O que é transporte de chave?

Durante o transporte de chave (onde uma parte seleciona o material de criação de chave secreta), o material de criação de chave secreta criptografado é transportado do remetente para o receptor. Os sistemas de chave de transporte utilizam técnicas de chave pública ou uma combinação de chave pública e técnicas de chave simétrica (híbrida). A parte que envia o material de criação de chave secreta é chamada de remetente, e a outra parte é chamada de receptora.

O que é acordo de chave?

Durante o acordo de chave, o material de criação de chave secreta derivado é o resultado de contribuições feitas por ambas as partes. Os sistemas de acordo de chave podem utilizar técnicas de chave simétrica ou assimétrica (chave pública). A parte que inicia um sistema de acordo de chave é chamada de iniciador e a outra parte é chamada de respondedor.



O que é estabelecimento de chave?

O material de criação de chave secreta pode ser estabelecido eletronicamente entre as partes utilizando um sistema de estabelecimento de chave, ou seja, utilizando um sistema de acordo de chave ou um sistema de transporte de chave.