PROTEÇÃO DE BANCO DE DADOS
ENCRIPTAÇÃO E GUARDA SEGURA DAS CHAVES CRIPTOGRÁFICAS
SEGURANÇA DE DADOS E CONFORMIDADE
À medida em que incidentes de segurança e vazamentos de dados se tornam uma ocorrência quase diária, é fundamental que as informações que requerem criptografia sejam protegidas na criação, no uso, no trânsito e em repouso.
A solução Kryptus KMS combina a orquestração do ciclo de vida das chaves criptográficas e a aplicação automática de criptografia com a segurança baseada em hardware de alta performance para a guarda segura e processamento das chaves.
CENTRALIZE O GERENCIAMENTO DE CHAVES COM KRYPTUS KMS
Realizando a gestão, distribuição e federação das chaves criptográficas, a solução Kryptus KMS coordena as atividades do ciclo de vida e uso de chaves para aplicativos, banco de dados e comunicações.
Proteção contínua com capacidade para armazenar milhões de chaves.
Agenda e executa operações criptográficas em milhões de chaves de uma só vez.
Integra-se perfeitamente com tecnologias legada, atual e futura.
Oferece relatórios completos e suporte para auditorias de conformidade.
CRIPTOGRAFIA DE BANCO DE DADOS
• Integração nativa ou TDE transparente, para vários tipos de base de dados, KMIP (Mongo, MySQL, DB2)
• Conectores especiais Oracle e SQL Server
• Totalmente compatível com o protocolo KMIP, permitindo compatibilidade com a criptografia nativa para dados estruturados ou não estruturados
• TDE é a opção nativa para vários sistemas
• Kryptus KMS é a segurança que implementa a adequação aos privilégios para de acesso às chaves usadas no TDE, criptografando e controlando seu uso
COMO FUNCIONA A ENCRIPTAÇÃO DE DADOS
TDE – Transparent Database Encryption
1º passo: As Encryption Master Keys são criadas e replicadas entre os HSMs
2º passo: Criam-se as chaves de cifração de tabela e protegem-nas com a chave mestra via Kryptus KMS
3º passo: Configura-se o banco de dados para usar o TDE ou os conectores especiais
VANTAGENS DO KNET HSM
– HSMs Virtuais
– Desempenho de até 30.000TPS RSA 2048 – Execução de código seguro
– Alta Disponibilidade
– Protocolo KMIP
– Certificação ICP-Brasil e FIPS – As Encryption Master Keys são criadas e replicadas entre os HSMs;
– Cria as chaves de cifração de tabela e protege com a chave mestra;
– Configura o banco de dados para usar o TDE.
CRIPTOGRAFIA DE BANCO DE DADOS NÃO ESTRUTURADOS
Kryptus KMS também realiza a orquestração de chaves nos modelos HYOK e BYOK em um ambiente multicloud.
- – PRIVATE CLOUD Vmware: Integração via KMIP para controlar privilégios de criptografia em VM, VSAN e NSX
- – AWS: O Kryptus KMS fornece gerenciamento das chaves mestras de clientes da AWS e outros requisitos de gerenciamento de chaves.
- – Azure: O Kryptus KMS usa as APIs de orquestração para registrar as chaves no Gerenciamento de Chaves do Azure.
- – Google: O Kryptus KMS se integra ao Google Cloud
- – Storages: Via KMIP em produtos como Dell, HPE 3PAR, NetApp, Racktop, Cray
PRINCIPAIS CARACTERÍSTICAS DA SOLUÇÃO KRYPTUS KMS
Interoperabilidade
- – Interface KMIP totalmente compatível: KMIP 1.0–1.4
- – Suporte de agentes para diversos sistemas, banco de dados, file server e aplicação
- – Serviços KMIP através de TTLV, HTTPS, JSON e XML
- – Registro CEF para oferecer suporte à integração rápida do SIEM
- – Capacidade de encaminhar operações KMIP para outras administradores de chaves compatíveis com KMIP
- – Interface PKCS # 11 para integração com o KNET HSM.
- – Criptografe e gerencie máquinas virtuais por meio de interoperabilidade com VMware vSphere e vSAN
Extensibilidade
- – Serviços RESTful para integrar o Kryptus KMS com serviços empresariais existentes
- – Script personalizado Kryptus KMS para automatizar operações complexas de criptografia e gerenciamento de chaves
- – Programação Kryptus KMS para executar scripts de automação
- – Orquestradores Windows e Linux para tradução de protocolos baseados em serviços Microsoft KMIP, autoridades de certificação, NETCONF e outros protocolos
- – Política Kryptus KMS para definir regras de autorização operações de gerenciamento de chaves externas
ESCALABILIDADE
- – O Kryptus KMS Data Store foi projetado para manter um repositório de centenas de milhões de chaves
- – Alta disponibilidade e backups completos usando replicação criptografado com dispositivos KMS Geo-Separated para garantir que nunca perca as chaves
- – Integrado ao Kryptus kNET HSM para proteger os armazenamentos de chaves em configuração de alta disponibilidade
SEGURANÇA
– Os dispositivos Kryptus KMS são executados com SELinux no modo obrigatório para proteger os processos em execução e tornar aderir a um comportamento rigoroso
- – Funções do usuário para gerenciamento e gerenciamento de chaves de políticas, que permite a separação de controles entre o gerenciamento de chaves e o gerenciamento de políticas.
- – A função Policy Engine permite definir serviços de endpoint decisão criptográfica para a integridade de duas pessoas em escala IoT.
- – Conexões TLS mútuas para distribuição de chaves, objetos de segurança, gerenciamento, políticas eficazes e instruções de orquestração.
- – A segurança posicional impõe controles de acesso obrigatórios com base em onde uma conexão de cliente está associada determinado na hierarquia do Kryptus KMS.
- – Todos os dispositivos Kryptus KMS usam unidades de autocriptografia. Certificação FIPS para garantir a segurança de dois dados uma unidade é removida fisicamente.
- – Módulos de segurança de hardware disponíveis para proteger armazéns de chaves em configurações independentes e alta disponibilidade.
KNET HSM
O kNET HSM da Kryptus é um dispositivo multiuso de máxima segurança, projetado para oferecer um ambiente escalável e de alto desempenho para armazenamento, gerenciamento e operações de chaves criptográficas.
PROTEÇÃO DE CHAVES
A proteção de chaves é feita através do equipamento kNET HSM com as seguintes características:
- – FIPS 140-2 nível 3 (EFP/EFT)
- – ICP-Brasil NSH3
- – Separação em HSM virtuais (multitenant)
- – Criptografia simétrica e assimétrica
- – APIS: KMIP, PKCS#11, Microsoft CSP, Java JCA/JCE
- – Duplo fator de autenticação (TOTP, HOTP)
- – Proteções físicas e lógicas contra abertura, boot seguro, sensores de temperatura e tensão (mesmo com o equipamento desligado)