Planejando a criptografia

O planejamento para criptografia envolve ativar a função no sistema. O sistema suporta dois métodos de configuração de criptografia. É possível usar unidades flash USB que contêm chaves de criptografia ou usar um servidor de chaves centralizado para criar e gerenciar chaves. Ambos os métodos podem ser ativados ao mesmo tempo para fornecer redundância.

Para criptografar os dados que são armazenados em unidades, os nós com capacidade de criptografia devem ser configurados para usar criptografia. Quando a criptografia for ativada no sistema, as chaves de criptografia válidas deverão estar presentes no sistema quando o sistema desbloquear as unidades e o usuário gerar uma nova chave.

Se estiver usando a criptografia para proteger dados copiados no armazenamento em nuvem, a conta de nuvem sempre será sincronizada com as configurações de criptografia do sistema. Se unidades flash USB e os servidores de chaves forem configurados, a conta de nuvem que for criada suportará ambos os métodos. Se somente um método de criptografia for configurado e o outro estiver desativado, a conta de nuvem suportará a criptografia com o método de criptografia configurado restante. Para assegurar que a conta de nuvem suporte a criptografia, um ou ambos os métodos deverão ser configurados com chaves ativas quando a conta de nuvem for criada.

Se uma conta de nuvem for criada com um método de criptografia, será possível configurar o segundo método posteriormente, mas a conta de nuvem deverá estar on-line enquanto a configuração ocorrer. Após o segundo método ser configurado, a conta de nuvem suportará ambos os provedores de chave.

Para usar criptografia no sistema, deve-se ativar a criptografia e criar cópias das chaves. Para servidores baseados em SuperMicro, é necessário configurar o módulo de plataforma confiável antes de ativar a criptografia.

Antes de ativar a criptografia, deve-se determinar o método de acessar informações chave nas ocasiões em que o sistema requer que uma chave de criptografia esteja presente. O sistema requer que uma chave de criptografia esteja presente durante as operações a seguir:
  • Energia do sistema ligada
  • Reinício do sistema
  • O usuário iniciou as operações de rechaveamento
  • Recuperação do Sistema
  • Remoção ou substituição de unidades de autocriptografia
Diversos fatores devem ser considerados ao planejar a criptografia.
  • Segurança física do sistema
  • Necessidade e benefício de acessar manualmente as chaves de criptografia quando o sistema requerer
  • Disponibilidade de dados chave
  • A criptografia é ativada no sistema
  • Se você estiver usando o IBM Security Key Lifecycle Manager para criar e gerenciar chaves, assegure-se de estar usando a versão 2.7.0 ou mais recente. Se você estiver usando a versão 2.7, o sistema suportará um servidor de chaves mestre (principal) e servidores de chaves secundários. No entanto, a replicação é um processo manual e durante as operações de rechaveamento, as chaves não estão disponíveis até que a replicação seja concluída. Se você usar a versão 3.0 ou superior, o sistema suportará vários servidores de chaves mestras, que replicam automaticamente as chaves para todos os servidores de chaves configurados..
  • Se estiver usando servidores de chaves Gemalto SafeNet KeySecure para criar e gerenciar chaves, determine se o sistema precisa de um nome de usuário e uma senha para autenticação nos servidores de chaves KeySecure. Se você planeja usar um nome de usuário e uma senha para autenticar o sistema para esses servidores de chaves, deverá configurar credenciais do usuário para autenticação na interface KeySecure. Para o KeySecure versões 8.10 e superiores, os administradores podem configurar um nome de usuário e senha para autenticar o sistema quando ele se conectar. Antes do KeySecure versão 8.10, o uso de senha era opcional.

Criptografia do servidor de chave

Servidores principais fornecem recursos úteis que os tornam desejados para uso, como serem responsáveis pela geração de chave de criptografia, fazerem backups e seguirem um padrão aberto que auxilia na interoperabilidade. Ao planejar a criptografia do servidor de chaves, é importante considerar os seguintes itens.

certificados SSL
Os certificados são o método principal que o servidor de chaves usa para autenticar um cliente (por exemplo, um nó do sistema) e que o cliente usa para autenticar o servidor de chaves para verificar se o acesso às chaves armazenadas no servidor de chaves é permitido. A autenticação do cliente assegura que o servidor de chaves não fornece acesso às chaves a qualquer parte que não seja confiável. A autenticação do servidor de chaves assegura que o cliente não peça que chaves sensíveis sejam armazenadas por uma parte que não é confiável. O sistema requer um certificado do servidor para permitir que ele se comunique com o servidor IBM Security Key Lifecycle Manager. Como parte do processo de fornecimento de um servidor principal, o usuário deve exportar o certificado da autoridade de certificação (CA) necessário para autenticar o certificado do servidor principal e instalá-lo no sistema. Todos os servidores principais IBM Security Key Lifecycle Manager podem ser configurados para usar um único certificado de autoridade de certificação (que é usado para todos os servidores principais) ou configurados para que cada servidor principal individual tenha o seu próprio certificado autoassinado. Além disso, o usuário deve instalar o certificado do sistema em cada servidor de chaves e o administrador do IBM Security Key Lifecycle Manager pode, então, aceitar o certificado para conceder acesso ao sistema para o servidor de chaves. A implementação de criptografia do servidor de chaves requer que haja um servidor de chaves externo para gerar chaves e agir como um repositório para essas chaves.
Requerimentos do Sistema
Apenas um tipo de servidor de chaves é suportado neste momento. O sistema implementa o Key Management Interoperability Protocol (KMIP) que é enviado por meio de uma conexão SSL entre o cliente e o servidor. O suporte é fornecido para certificados autoassinados e assinados por uma CA. O sistema valida o certificado SSL do servidor e adequa-se ao padrão KMIP. O hardware de SAS existente precisa de acesso a pelo menos uma chave mestra para desbloquear e precisa ser capaz de responder às chaves mestras do servidor de chaves. A ativação de servidores de chaves pela a primeira vez é um procedimento simples. Quando a criptografia do servidor de chaves estiver ativada, o tipo poderá ser configurado e ativado, os terminais do servidor poderão ser criados e, em seguida, as chaves poderão ser preparadas e confirmadas.
Requisitos de segurança
A segurança todas as comunicações do servidor de chaves é controlada pelo protocolo TLS 1.2. As chaves de criptografia são armazenadas em cluster no sistema usando TLS 1.2. O sistema usa a criptografia AES-128 que usa interfaces da biblioteca OpenSSL.
endereços IP e portas

Todos os nós que você quer que se comuniquem com os servidores principais devem ter seu endereço IP de serviço configurado. Um nó deve ter sua pilha de IP de serviço integral configurada (endereço, gateway, máscara) para que esse nó seja um candidato para tentar entrar em contato com o servidor de chaves. Os servidores de chaves são configurados geralmente em uma LAN privada, o que requer a execução de endereços IP de serviço. Se somente um subconjunto de nós tiver endereços IP de serviço configurados, os nós sem um endereço IP de serviço registrarão um erro. O endereço IP que o usuário fornece deve ser aquele que o sistema usa para se comunicar com o servidor principal.

Cada servidor de chaves tem uma porta TCP associada ao seu acesso. Como o servidor de chaves entrega múltiplos clientes, o sistema permite que o usuário use uma porta diferente para cada servidor e permite o acesso a essa porta quando necessário. A conformidade do servidor KMIP determina que a porta TCP 5696 seja suportada; portanto, essa é a porta padrão para o terminal do servidor.

Política de geração de chave e banco de dados de chaves

Se a criptografia do servidor de chaves estiver ativada, o servidor de chaves gerará e gerenciará as chaves mestras. O nó gera todas as outras chaves.

O banco de dados de chaves pode ser armazenado e removido do cluster, dependendo do tipo de servidor de chaves que for utilizado. Para servidores de chaves não armazenados em cluster, o usuário precisa considerar o backup e a replicação do banco de dados de chaves. O IBM Security Key Lifecycle Manager é um exemplo de um produto de servidor principal no qual a replicação deve ser configurada para que as chaves de criptografia sejam compartilhadas automaticamente entre instâncias do IBM Security Key Lifecycle Manager. Sem a replicação configurada, operações manuais de backup e restauração deverão ser usadas. Outros produtos podem ter replicação automática, de modo que novas chaves são criadas automaticamente para outras instâncias do servidor de chaves. Para o IBM Security Key Lifecycle Manager, conclua backups e restaurações seguindo o guia do usuário do IBM Security Key Lifecycle Manager.

Requisitos de atualização para criptografia do servidor de chaves
Se a criptografia foi ativada em um sistema de nível de código pré-7.8.0 e o sistema for atualizado para o nível de código 7.8.x ou acima, deverá executar uma operação de rechaveamento USB para ativar a criptografia do servidor de chaves. Use o GUI de gerenciamento ou execute o comando chencryption antes de ativar a criptografia do servidor de chaves. Para executar uma operação de rechaveamento, use o GUI de gerenciamento ou execute os seguintes comandos. 
chencyrption -usb newkey -key prepare
chencryption -usb newkey -key commit

A operação de rechaveamento deve ser executada após a atualização ser concluída para o nível de código 7.8.x ou mais recente e antes de tentar ativar a criptografia do servidor de chaves.

Tópico pai: Planejamento da configuração de armazenamento
Conceitos relacionados:
Criptografia