makspogonii - Fotolia

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Use métodos de cifrado centralizados en entornos de TI de gran escala

Ya sea que los datos se almacenen en una VM o en la nube, la administración centralizada de la clave de cifrado es fundamental para evitar robos y proteger los datos de ojos no deseados.

La protección de datos y la confidencialidad son siempre prioridades importantes de TI. Pero no siempre es fácil lograr estos objetivos en centros de datos a gran escala y entornos de nube. Los métodos de cifrado, y la administración centralizada de esos métodos, pueden ayudar.

Un entorno altamente controlado, como un centro de datos empresarial, minimiza el riesgo de robo de datos. Sin embargo, incluso en estas configuraciones, el cifrado, y especialmente el cifrado de disco completo (FDE), ofrece beneficios, como evitar que partes no autorizadas lean datos debido la eliminación del hardware o las devoluciones a un proveedor.

Un componente crítico de muchos métodos de encriptación empresarial, incluido el FDE, es la administración centralizada, algo que es especialmente importante en centros de datos a gran escala y entornos de nube. Un servidor de administración de claves de cifrado (KMS) puede proporcionar esta centralización y también escalarse para admitir casi todos los recursos de TI que requieren servicios de cifrado. Esto hace que un marco KMS sea más escalable en comparación con una sola clave de cifrado mantenida por un solo usuario. Sin embargo, para evitar riesgos de seguridad, tenga mucho cuidado con quién tiene acceso a la infraestructura centralizada de administración de claves.

Métodos de cifrado para entornos virtualizados

Dentro del ámbito de la virtualización, la mayoría de los proveedores de hipervisores, como VMware, Nutanix y Microsoft, admiten de forma nativa el cifrado de la VM o de los discos subyacentes, aunque esto generalmente conlleva costos adicionales. Diferentes proveedores tienen implementaciones específicas de tecnología de cifrado, pero todos comparten el mismo diseño general: El uso de un servidor de administración de claves para controlar centralmente el acceso a las claves de cifrado. Los diseños exactos varían, pero todos funcionan de manera similar.

VMware, por ejemplo, utiliza dos tipos de claves de cifrado para proteger los entornos de vSphere: claves de cifrado de datos (DEK) y claves de cifrado de claves (KEK). Las DEK cifran los datos reales y se almacenan de forma segura en el disco, mientras que las KEK cifran y descifran las DEK. Dondequiera que vaya la VM, la DEK va, ya que forma parte de la máquina virtual. Sin la KEK, la DEK –y los datos– son inaccesibles.

Nutanix, como otro ejemplo, usa FDE para cifrar datos en reposo en un clúster. Este proceso de cifrado y descifrado es similar, pero se aplica a nivel de disco. FDE encripta no solo datos y máquinas virtuales, sino también registros y sistemas operativos o, como su nombre lo indica, todo el disco. Esto es beneficioso, ya que los registros que quedan en un disco en texto sin formato pueden revelar una gran cantidad de información no deseada y, según la configuración, pueden ser muy activos. Por ejemplo, un registro podría proporcionar fácilmente suficiente información para comprender cómo se usa una máquina, dónde está alojada y sus capacidades de rendimiento.

Para entornos no virtualizados, el cifrado basado en hardware, como a través de una unidad de autocifrado (SED) o el cifrado basado en software, donde el cifrado se produce fuera del disco físico, son opciones. Las unidades de autocifrado se suscriben principalmente al marco TCG Opal, que también permite el cifrado y descifrado de servidores de administración centralizados.

Las SED tienden a ser más costosas que las unidades estándar, así que tenga esto en cuenta para comparar las opciones. Sin embargo, el cifrado basado en software no es gratuito y tendrá un costo de licencia. El cifrado basado en software también conlleva una sobrecarga de utilización, ya que cada operación de lectura o escritura de disco tiene que descifrar o cifrar los datos que se escriben en el disco. Esto significa que el cifrado basado en software puede ser menos eficaz que el cifrado basado en hardware, que utiliza silicio personalizado que niega una gran cantidad de sobrecarga.

Cifrado en la nube

A diferencia de los entornos locales, una VM en la nube es una de muchas en una matriz de almacenamiento y los datos se distribuyen en docenas de datos de discos de un solo disco.

Sin embargo, los métodos de cifrado siguen siendo recomendables en la nube, y todos los principales proveedores, como Amazon Web Services, Google y Microsoft, admiten máquinas virtuales en la nube cifradas. Una vez más, un servidor o servicio de administración de claves habilita este proceso, pero en lugar de utilizar claves generadas por el proveedor, lo que daría a los proveedores de la nube acceso a las máquinas virtuales de los usuarios, las empresas pueden traer sus propias claves que están protegidas con sus propias contraseñas y permisos de control de acceso

Si el proceso descrito anteriormente, que involucra KEK y DEK, se utilizó en la nube, el proveedor de la nube controlaría una de las claves, lo que presenta una vulnerabilidad potencial. Para evitar esto, los usuarios de la nube pueden aportar una clave adicional que está completamente bajo su control y evita que el proveedor de la nube pueda leer los datos del cliente.

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close