El cifrado de datos ha existido casi desde la era de las computadoras. En verdad, cualquier persona con una experiencia mínima puede escribir una secuencia de comandos simple que utiliza servicios predeterminados integrados en prácticamente todos los sistemas operativos para cifrar datos. En Linux, por ejemplo, se requieren cuatro comandos de OpenSSL para generar una clave de cifrado y cifrar datos. Sin embargo, el simple cifrado de datos no es un control suficiente cuando se almacenan datos en la nube. También se deben considerar varios factores para determinar la metodología de encriptación correcta. La metodología de cifrado está determinada por los siguientes factores:

• ¿Qué estás tratando de proteger?
• ¿De quién estás tratando de proteger tus datos?
• ¿Dónde se está accediendo a los datos?

La respuesta a estas preguntas cambia su estrategia de cifrado. Veamos cada uno individualmente.

¿Qué estás tratando de proteger?

En un mundo eficiente, los equipos de seguridad adorarían bloquear y cifrar todo y crear controles estrictos y complicados para acceder a los datos. Esta posición minimizaría cualquier posible infracción. Sin embargo, hay un costo asociado con cada dato que intenta proteger. Existen costos de servicios de seguridad, costos de computación, costos de administración y costos de experiencia del usuario. Una empresa madura comprende que todos los datos no son lo mismo y continuará equilibrando el costo de la seguridad con el costo de hacer negocios.

Para que una empresa encuentre el equilibrio adecuado, debe ser disciplinado y conocedor de cómo cada tipo de datos afecta su negocio. Se debe implementar un riguroso proceso de clasificación de datos que examinará todos los datos para determinar qué tipos de controles de seguridad se deben implementar para administrar los datos. Lamentablemente, la experiencia ha demostrado que los proyectos de clasificación de datos empresariales requieren mucho tiempo y recursos que deben presupuestarse y distribuirse a lo largo del tiempo para no interrumpir el día a día del negocio.

Cifre todo

Debido a la complejidad de la clasificación de datos, muchas organizaciones adoptan la postura de «cifrar todo» y luego agregan o liberan controles a medida que las políticas de clasificación de datos comienzan a implementarse. La estrategia de «cifrar todo» solo funcionará si no hay impacto o se requieren modificaciones en el sistema operativo, los datos y las capas de aplicación. Esta es una conclusión obvia cuando se consideran todos los posibles sistemas operativos, dispositivos, aplicaciones y ubicaciones en los que potencialmente pueden residir los datos. Teniendo en cuenta estos requisitos, solo hay un método práctico para encriptar todos los datos en las instalaciones y en la nube. Debe encriptar todo el disco, o volumen, y asegurarse de que se descifra de forma transparente para el sistema operativo, la aplicación y / o el usuario que accede a los datos.

¿De quién estás tratando de proteger tus datos?

Muchos sistemas operativos, proveedores de hardware y proveedores de servicios en la nube incluyen servicios completos de cifrado de disco, a menudo sin cargo. Muchas empresas eligen esto como su primera opción porque está integrado y, a menudo, es un método muy rentable. El problema con esta solución es que realmente no aborda el vector de ataque más común, especialmente cuando se mueven datos a la nube. El cifrado de disco completo (FDE) es efectivo si desea asegurarse de que alguien no robe su disco. Si un perpetrador roba un disco encriptado, no tienen los mecanismos suficientes para descifrarlo. Sin embargo, si el perpetrador roba una cuenta de usuario con privilegios y obtiene acceso no autorizado al sistema operativo, el disco o el volumen, los datos no se cifran cuando se monta el disco. Aunque esto puede tener algún valor para los datos locales, realmente no tiene el mismo valor en la nube. La precedencia histórica de un disco físico en una infraestructura CSP que se está tomando es muy baja. Para que la estrategia de «cifrar todo» sea efectiva en la nube, el proceso de descifrado debe vincularse a una política de autorización específica por encima y más allá de los simples eventos de montaje en disco / volumen y también debe aprovechar una clave o conjunto de claves externas al SO , dispositivo y aplicación para realizar los procesos de cifrado / descifrado.

El valor del cifrado basada en roles

Un proceso de autorización agregado a un servicio de cifrado que sea independiente y transparente para el sistema operativo, la aplicación y el usuario es una forma efectiva de «cifrar todo» tanto en la nube como en las instalaciones. El proceso de autorización necesita ver quién o qué está tratando de acceder a los datos cifrados y tomar una decisión rápida sobre si se debe otorgar la operación solicitada. El proceso de autorización debe ser lo suficientemente robusto como para aplicar listas blancas configuradas, listas negras e información de identificación de acceso específica al descifrar datos. Con la autorización agregada al cifrado, las empresas pueden almacenar datos en la nube y tener la seguridad de que los usuarios privilegiados del proveedor de la nube, los usuarios empresariales privilegiados o los usuarios no autorizados no tienen acceso a los datos.

Importancia de la administración de claves externas

Incluso las políticas de autorización pueden omitirse si un usuario o servicio no autorizado obtiene acceso a la clave de cifrado. La mejor forma de protegerse contra esto es generar varias claves para varios conjuntos de datos y mantener esas claves externas al servicio que almacena los datos. Para maximizar la protección, la clave nunca debe exponerse a la interacción humana o al servicio de aplicación. La clave debe ser controlada y administrada por un servicio de cifrado ajustado que realiza los procesos de cifrado en nombre de los usuarios y las aplicaciones.

Un servicio de encriptación efectivo debería poder aprovechar múltiples claves que mitiguen el riesgo al reducir la superficie de ataque. Si usa una clave diferente para diferentes segmentos de datos (un archivo, un directorio, un volumen, una base de datos, una aplicación o un usuario), mitiga el riesgo de perder todo su conjunto de datos si la clave se ve comprometida de alguna manera. El servicio de cifrado que se utiliza debe ser capaz de mantener de manera eficiente el ciclo de vida completo de todas las claves y tipos de claves como servicios de datos independientes. Un servicio externo protege contra alguien que roba la clave simplemente robando el conjunto de datos o servicios.

Otro valor de un servicio externo de gestión de claves es que la misma clave se puede aplicar para desencriptar datos en múltiples repositorios. A medida que los datos pasan de un repositorio a otro, puede no ser necesario desencriptar los datos durante la transferencia. Esto se convierte en una estrategia poderosa ya que se pueden usar múltiples proveedores de nube y múltiples dispositivos de punto final para acceder a los mismos conjuntos de datos.

¿Dónde se está accediendo a los datos?

Otra consideración en su estrategia de cifrado es determinar dónde se accede a los datos. Una empresa puede cifrar de manera efectiva todo si tiene el control total del depósito de datos. Sin embargo, las empresas están utilizando microservicios innovadores sin servidor en la nube para maximizar al máximo la portabilidad. Los microservicios utilizan almacenes de datos compartidos que están controlados por el proveedor de servicios en la nube. Sin un control empresarial de los servicios de almacenamiento, no es factible crear políticas de autorización en la capa de datos que sean únicas por servicio que acceda a los datos. A medida que se crean más aplicaciones en un entorno de microservicio (conocido como PaaS), es importante contar con una estrategia de cifrado que pueda hacer cumplir el acceso autorizado en la aplicación y, a veces, en la capa del dispositivo.

El cifrado en la capa de aplicación requiere un servicio separado que se puede ejecutar dentro del entorno del proveedor de la nube, así como fuera del marco del proveedor de la nube. La aplicación de nueva generación creada con microservicios puede realizar llamadas de cifrado y descifrado cuando los datos deben representarse en la UI y / o almacenarse. Aunque es posible encriptar todos los campos de datos en la capa de aplicación, el costo de hacerlo a menudo supera el valor. Por esta razón, es importante que comprenda bien el impacto para su negocio si se compromete una columna de datos o un valor individual. Un proceso de clasificación de datos eficaz le permitirá establecer políticas de cifrado específicas independientemente de la capa de datos.

Otra ventaja clave del cifrado en la capa de aplicación es que la política de seguridad es portátil. Si construye su aplicación en una plataforma híbrida de PaaS (Platform as a Service), no tiene que modificar su aplicación para aprovechar el servicio de cifrado, ya que no depende de la infraestructura de CSP (Cloud Service Provider) o del depósito de datos.

 

Adaptación al español del artículo original: Is All Encryption Equal?  | March 13, 2018 |  Rick Killpack  | Thales eSecurity |  https://blog.thalesesecurity.com/2018/03/13/is-all-encryption-equal/