Criptografia

Para usar criptografia no sistema, deve-se adquirir uma licença de criptografia, ativar a licença no sistema, ativar a criptografia e criar cópias das chaves. Se você não adquiriu uma licença, entre em contato com um representante do cliente para adquirir uma licença de criptografia.

Nota: Um nó hot-spare também precisará de uma licença de criptografia se for utilizado para substituir um nó com falha que suporta criptografia.

O sistema suporta criptografia opcional de dados inativos. Esse suporte protege com relação à exposição potencial de dados sensíveis do usuário e metadados do usuário que são armazenados em dispositivos de armazenamento descartados, perdidos ou roubados. Para usar a criptografia no sistema, uma licença de criptografia é necessária para cada nó que suporta criptografia. Se você incluir um novo nó em um sistema criptografado, o novo nó também deverá ser licenciado.

Acessando um Sistema Criptografado

Antes de poder ativar a criptografia, assegure-se de ter comprado e ativado uma licença para configurar a função no sistema. O sistema suporta dois métodos de configuração da criptografia. É possível usar um servidor de chaves centralizado que simplifica a criação e o gerenciamento de chaves de criptografia no sistema. Esse método de gerenciamento de chave de criptografia é preferencial para segurança e simplificação do gerenciamento de chaves. Além disso, o sistema também suporta armazenamento de chaves de criptografia em unidades flash USB. A criptografia baseada em unidade flash USB requer acesso físico aos sistemas e é efetiva em ambientes com um número mínimo de sistemas. Para as organizações que requerem políticas de segurança rígidas em relação às unidades flash USB, o sistema suporta a desativação dessas portas, para evitar a transferência não autorizada de dados do sistema para dispositivos de mídia portáteis. Se você tiver tais requisitos de segurança, use os servidores de chaves para gerenciar chaves de criptografia.

Para criptografar os dados que são armazenados nas unidades, o nós com capacidade de criptografia devem ser licenciados e configurados para usar criptografia. Quando a criptografia for ativado e ativado no sistema, as chaves de criptografia válidas devem estar presentes no sistema quando o o sistema desbloqueia as unidades ou o usuário gera uma nova chave. Se a criptografia do servidor de chaves estiver ativada no sistema, a chave será recuperada a partir do servidor de chaves. Se a criptografia USB estiver ativado no sistema, a chave de criptografia deve ser armazenada em unidades flash USB que contêm uma cópia da chave que foi gerada quando a criptografia foi ativada.

Se estiver usando a criptografia para proteger dados copiados no armazenamento em nuvem, a conta de nuvem sempre será sincronizada com as configurações de criptografia do sistema. Se unidades flash USB e os servidores de chaves forem configurados, a conta de nuvem que for criada suportará ambos os métodos. Se somente um método de criptografia for configurado e o outro estiver desativado, a conta de nuvem suportará a criptografia com o método de criptografia configurado restante. Para assegurar que a conta de nuvem suporte a criptografia, um ou ambos os métodos deverão ser configurados com chaves ativas quando a conta de nuvem for criada.

Se uma conta de nuvem for criada com um método de criptografia, será possível configurar o segundo método posteriormente, mas a conta de nuvem deverá estar on-line enquanto a configuração ocorrer. Após o segundo método ser configurado, a conta de nuvem suportará ambos os provedores de chave.

Antes de ativar e ativar a criptografia, você deve determinar o método de acesso às informações chave durante os horários em que o sistema requer que uma chave de criptografia esteja presente. O sistema requer que uma chave de criptografia esteja presente durante as operações a seguir:
  • Energia do sistema ligada
  • Reinício do sistema
  • O usuário iniciou as operações de rechaveamento
  • Recuperação do Sistema
  • Remoção ou substituição de unidades de autocriptografia
Diversos fatores devem ser considerados ao planejar a criptografia.
  • Segurança física do sistema
  • Requisitos de segurança adicionais para portas USB e mídia portátil. Se o seu ambiente exigir que as portas USB sejam desativadas, use servidores de chaves para gerenciar chaves de criptografia.
  • Necessidade e benefício de acessar manualmente as chaves de criptografia quando o sistema requerer
  • Disponibilidade de dados chave
  • A licença de criptografia é comprada, ativada e habilitada no sistema
  • Se você estiver usando o IBM Security Key Lifecycle Manager para criar e gerenciar chaves, assegure-se de estar usando a versão 2.7.0 ou mais recente. Se você estiver usando a versão 2.7, o sistema suportará um servidor de chaves mestre (principal) e servidores de chaves secundários. No entanto, a replicação é um processo manual e durante as operações de rechaveamento, as chaves não estão disponíveis até que a replicação seja concluída. Se você usar a versão 3.0 ou superior, o sistema suportará vários servidores de chaves mestras, que replicam automaticamente as chaves para todos os servidores de chaves configurados..
  • Se estiver usando servidores de chaves Gemalto SafeNet KeySecure para criar e gerenciar chaves, determine se o sistema precisa de um nome de usuário e uma senha para autenticação nos servidores de chaves KeySecure. Se você planeja usar um nome de usuário e senha para autenticar o sistema para esses servidores de chaves, será necessário configurar as credenciais do usuário para autenticação na interface KeySecure. Para o KeySecure versões 8.10 e superiores, os administradores podem configurar um nome de usuário e senha para autenticar o sistema quando ele se conectar. Antes do KeySecure versão 8.10, o uso de senha era opcional.

Criptografia usando servidores de chaves

Um servidor de chaves é um sistema centralizado que gera, armazena e envia chaves de criptografia ao sistema. Alguns provedores de servidor de chaves suportam a replicação de chaves entre múltiplos servidores de chaves. Se vários servidores de chaves forem suportados, será possível especificar até quatro servidores de chaves que se conectam ao sistema sobre uma rede pública ou uma rede privada separada. O sistema suporta os servidores de chaves IBM Security Key Lifecycle Manager ou Gemalto SafeNet KeySecure para manipular o gerenciamento de chaves no sistema. Ambos os aplicativos de gerenciamento de servidor de chaves suportados criam e gerenciam chaves criptográficas para o sistema e fornecem acesso a essas chaves por meio de um certificado. Somente um tipo de aplicativo de gerenciamento do servidor de chaves pode ser ativado no sistema de cada vez. A autenticação ocorre quando os certificados são trocados entre o sistema e o servidor de chaves. Os certificados devem ser gerenciados de perto, já que os certificados expirados podem causar interrupções do sistema. Os servidores de chaves devem ser instalados e configurados antes de serem definidos no sistema.

Os servidores de chaves IBM Security Key Lifecycle Manager suportam o Key Management Interoperability Protocol (KMIP), que é um padrão para criptografia de dados armazenados e gerenciamento de chaves criptográficas.

O sistema suporta diferentes tipos de configurações do servidor de chaves no IBM Security Key Lifecycle Manager. As configurações a seguir são suportadas:
  • Um servidor de chaves principal (mestre) e vários servidores de chaves secundários: Os servidores de chaves IBM Security Key Lifecycle Manager designam um servidor de chaves mestre ou principal, que pode ter até três servidores de chaves secundários (também conhecidos como clones) definidos. Esses servidores de chaves adicionais suportam mais caminhos ao entregar chaves ao sistema. Entretanto, durante o rechaveamento, somente o caminho para o servidor de chaves principal é usado. Quando o sistema é rechaveado, os servidores de chaves secundários estão indisponíveis até que o servidor de chaves principal replique as novas chaves para esses servidores de chaves secundários. A quantia de tempo que leva para replicar a chave para um servidor de chaves secundário depende da quantia de informações de chave e de certificado que está sendo replicada. Cada replicação para um servidor de chaves secundário pode levar algum tempo. A replicação deve ser concluída antes de as chaves poderem ser usadas no sistema. É possível planejar a replicação automática ou concluí-la manualmente com o IBM Security Key Lifecycle Manager. Durante a replicação, os servidores de chaves não estão disponíveis para distribuir chaves ou aceitar novas chaves. O tempo total gasto para a conclusão de uma replicação no IBM Security Key Lifecycle Manager depende do número de servidores de chaves que estão configurados como clones. Se a replicação for acionada manualmente, o IBM Security Key Lifecycle Manager emitirá uma mensagem de conclusão quando a replicação for concluída. Verifique se todos os servidores de chaves contêm informações replicadas de chaves e de certificados antes que as chaves sejam usadas no sistema.
  • Servidores de chave mestra múltiplos: os servidores de chaves podem ser configurados em uma configuração de múltiplos mestres, onde cada servidor de chaves tem a capacidade de criar novas chaves de criptografia. Nessa instância, qualquer servidor pode ser configurado como o servidor de chaves principal. O servidor de chaves principal é o servidor de chaves que o sistema usa quando você cria quaisquer novas chaves de criptografia do servidor de chaves. Se o modo de múltiplos mestres for ativado no IBM Security Key Lifecycle Manager, a chave será imediatamente replicada para os outros servidores de chaves na configuração.

Para obter mais informações sobre as versões suportadas, veja o IBM Knowledge Center do IBM Security Key Lifecycle Manager.

Quando você cria objetos do servidor de chaves no sistema para servidores de chaves IBM Security Key Lifecycle Manager, é necessário criar um grupo de dispositivos, além do nome, endereço IP, porta e informações de certificado. O grupo de dispositivos é uma coleção de credenciais de segurança (incluindo chaves e grupos de chaves) que permite o gerenciamento restrito de subconjuntos de dispositivos dentro de um conjunto maior. O sistema deverá ser definido no servidor de chaves para o grupo de dispositivos SPECTRUM_VIRT se você estiver usando as configurações padrão. Se o grupo de dispositivos SPECTRUM_VIRT não existir no servidor de chaves, ele deve ser criado com base na família de dispositivos GPFS. Se estiver configurando vários servidores de chaves, o grupo de dispositivos SPECTRUM_VIRT deve ser definido nos servidor de chaves principal e em todos os servidores de chaves adicionais.

Os servidores de chaves Gemalto SafeNet KeySecure também suportam KMIP e criam chaves on demand e, em seguida, compartilham-nas com os outros servidores em cluster, fornecendo acesso redundante. O sistema suporta diferentes tipos de configurações nos servidores de chaves KeySecure. As seguintes configurações são suportadas:
  • Os servidores de chaves KeySecure usam um modelo ativo/ativo, em que há vários servidores de chaves para fornecer redundância. Um servidor de chaves KeySecure deve ser especificado como o servidor de chaves principal. O servidor de chaves principal é o servidor de chaves que o sistema usa quando são criadas novas chaves de criptografia. A chave é imediatamente replicada para os outros servidores de chaves no cluster KeySecure. Todos os servidores de chaves KeySecure que estão definidos no sistema podem ser usados para recuperar chaves. Embora seja possível configurar uma única instância do servidor de chaves com o KeySecure, são recomendados dois servidores de chaves, para assegurar a disponibilidade das chaves, em caso de indisponibilidade de um dos servidores de chaves.
  • O sistema suporta até quatro servidores de chaves com o KeySecure. Se o sistema estiver acessando vários servidores de chaves, eles precisam pertencer ao mesmo cluster de servidores de chaves KeySecure.

Criptografia usando unidades flash USB

É possível usar unidades flash USB para ativar a criptografia e copiar uma chave para o sistema. Deve-se criar chaves de criptografia do sistema e gravar essas chaves em todas as unidades flash USB.

duas opções estão disponíveis para acessar informações chave em unidades flash USB:

As unidades flash USB sempre ficam inseridas no sistema
Se você deseja que o sistema seja reiniciado automaticamente, uma unidade flash USB deve ser deixada inserida em todos os nós no sistema. Ao ligar, todos os nós terão acesso à chave de criptografia. Esse método requer que o ambiente físico no qual o sistema está localizado seja seguro. Se o local for seguro, ele impedirá que pessoas desautorizadas façam cópias das chaves de criptografia, deturpem o sistema ou acessem dados que estão armazenados no sistema. Se uma unidade flash USB que contém chaves de criptografia válidas for deixada inserida nas duas caixas, o sistema sempre terá acesso às chaves de criptografia e os dados do usuário nas unidades estarão sempre acessíveis.
As unidades flash USB não ficam inseridas no sistema, exceto quando necessário
Para uma operação mais segura, não mantenha as unidades flash USB inseridas nos nós no sistema. No entanto, esse método requer que você insira manualmente as unidades flash USB que contenham cópias da chave de criptografia nos nós durante as operações em que o sistema requer a presença de uma chave de criptografia. As unidades flash USB que contêm as chaves devem ser armazenadas com segurança para evitar roubo ou perda. Durante as operações em que o sistema requer a presença de uma chave de criptografia, as unidades flash USB deverão ser inseridas manualmente em cada nó para que os dados possam ser acessados. Após o sistema concluir o desbloqueio das unidades, as unidades flash USB devem ser removidas e armazenadas com segurança para evitar roubo ou perda.

Tecnologia de criptografia

A criptografia de dados é protegida pelo algoritmo Padrão de Criptografia Avançado (AES), que usa uma chave de criptografia simétrica de 256 bits no modo XTS, conforme definido no padrão IEEE 1619-2007 e no NIST Special Publication 800-38E como XTS-AES-256. Essa chave de criptografia de dados é protegida por um agrupamento de chaves AES de 256 bits de uma chave derivada da chave de acesso armazenada na unidade flash USB. A chave agrupada é armazenada no sistema em formato não volátil.