[vc_row][vc_column offset=”vc_col-lg-9 vc_col-md-9″ css=”.vc_custom_1452702342137{padding-right: 45px !important;}”][vc_custom_heading text=”” font_container=”tag:h3|text_align:left” use_theme_fonts=”yes” el_class=”no_stripe”][stm_post_details][vc_column_text css=”.vc_custom_1594923903172{margin-bottom: 20px !important;}”]Por: Igor Jardim

No início dos anos 2000, o conceito de virtualização começou a surgir como uma saída para os grandes datacenters que enfrentavam tanto a falta de espaço físico para crescimento quanto o desperdício de poder de processamento de servidores, que acabavam ficando mais ociosos do que realmente em uso.

No decorrer dos anos, esses pools de servidores físicos dedicados começaram a cair em desuso drasticamente e a virtualização passou a ser peça fundamental de uma infraestrutura de T.I., seja na arquitetura ou nos projetos, visto a agilidade que permite à gestão e à operacionalização das empresas.

Ao mesmo tempo que melhorou-se significativamente o tempo de resposta de um departamento de T.I. e de provedores em nuvem, exacerbou-se um problema que, até então, tinha sido deixado de lado: a segurança dos dados, principalmente aqueles em disco.

Hoje, com inúmeros vazamentos de dados, e a LGPD batendo à porta de todos, é fundamental para as empresas resolverem este passivo que só aumenta, colocando em risco não somente os usuários dos sistemas mas também em cheque a própria continuidade dos proprietários da infraestrutura de T.I.

Por que a segurança de dados é deixada de lado?

Muitos administradores deixam de utilizar a cifração do disco em servidores, por exemplo, pois para ter o HD decifrado após a reinicialização do equipamento, é necessário digitar uma senha em cada um, operação intrinsecamente enfadonha e que aumenta o tempo de indisponibilidade da infra, mesmo que por alguns minutos.

Hoje, com a facilidade de criação de servidores virtuais, isso torna-se uma tarefa quase impraticável, o que acaba fazendo que administradores de sistemas optem, erroneamente, pela não criptografia do disco.

O que complica é que justamente nos servidores virtuais o problema é muito pior: toda vez que uma máquina virtual é pausada ou um snapshoot é criado, não somente o conteúdo dos seus discos vai parar no HD físico do servidor, mas também os dados de memória! Ou seja, todos aqueles dados que estão na memória dos aplicativos e serviços rodando na máquina virtual, o que incluem, normalmente, chaves criptográficas, dados pessoais, senhas, tokens de autenticação, etc, vão parar em aberto no disco do servidor físico, expondo dados que precisam estar seguros.

Uma solução para a segurança

Se você pensou: mas e o Hypervisor, ele não resolve isso? A resposta curta é: não sozinho.

Para entender, vamos relembrar: o Hypervisor é uma camada de software entre o hardware e o sistema operacional que permite que máquinas virtuais possam ter acesso aos recursos de hardware. Ele opera em uma camada no sistema onde têm a possibilidade de utilizar chaves para cifrar e decifrar volumes de dados de forma automática e transparente para as máquinas virtuais, sempre que necessário, eliminando a necessidade da digitação de senhas.

No entanto utilizar apenas chaves para cifrar/decifrar um servidor leva a outro problema: encontrar uma forma de armazenamento seguro para essas chaves, visto que, com o seu vazamento, não apenas um único servidor, mas um cluster, ou seja, vários equipamentos conectados que trabalham juntos e paralelamente, acabam ficando vulneráveis.

Utilizando KMS para guardar as chaves criptográficas

HSM kNET Kryptus operando como KMS.

HSM kNET Kryptus operando como KMS.

Para solucionar esse problema e manter as chaves de maneira segura, a saída é a utilização de um KMS (Key Management Service). KMSs são um tipo de sistema capaz de gerenciar de forma segura o ciclo de vida de chaves criptográficas na forma de um serviço. Neste serviço, podem-se conectar diversos outros sistemas com suporte à criptografia de dados, como um Hypervisor, um Banco de Dados e, até mesmo, SIEMs.

Obviamente, o KMS não pode ser uma máquina virtual, por isso os Key Management Systems/Services efetivos são baseados ou usam equipamentos de proteção criptográfica da classe HSM (Hardware Security Module), dispositivo blindado, no sentido lógico e físico, contra roubo e uso inadequado de chaves criptográficas.

Se você procura uma solução para este problema, temos duas boas notícias!

A primeira  é que com o lançamento do vSphere 6.5, a VMware introduziu a possibilidade de se encriptar de forma transparente a própria máquina virtual (VM), independentemente do Sistema Operacional que ela estiver rodando, o que resolve os problemas de segurança já citados, além de ajudar na regulamentação de proteção de dados como a LGPD! Para essa funcionalidade, o vSphere utiliza um KMS para proteger suas chaves de criptografia!

A segunda notícia é que o HSM kNET opera como KMS e é totalmente compatível com o Vmware vSphere.

Comunicação entre o vSphere e o kNET

A figura abaixo explica, de forma geral, como a comunicação entre o vSphere da Vmware e o kNET da Kryptus é realizada:

1- Primeiramente deve-se ter uma relação de confiança entre o kNET (KMS) e o vCenter;

2- O vCenter solicita uma chave ao KMS;

3- O KMS envia uma chave Key Encryption Key (KEK) para o vCenter;

4- O vCenter armazena apenas o ID da chave e envia o conjunto KEK+ID para o ESXi (Hypervisor);

5- O ESXi recebe e armazena a KEK exclusivamente na memória;

6- Com a KEK recebida, o ESXi gera a chave Data Encryption Key (DEK), para cifrar os arquivos da VM;

7- O ESXi, agora, cifra os discos rígidos da VM com a DEK e, em seguida cifra a DEK com a KEK;

Nota: Quando o ESXi é reinicializado, o vCenter solicita novamente a chave para o KMS e todo o processo é repetido.

A relação de confiança entre o VMware vCenter e o Kryptus kNET é realizada de forma fácil e prática: utilizando para isso o protocolo de manipulação de chaves KMIP. Para tal, adiciona-se no vCenter o cluster de KMS que serão utilizados informando o IP, porta, usuário e senha do kNET. Em seguida, gera-se uma solicitação de assinatura de certificado (CSR), que deve ser assinada pelo KMS e devolvida ao vCenter que, a partir desse ponto, estabelece a relação de confiança com o KMS.

vmware

Benefícios da integração VMware e kNET

Com a integração, o cluster de servidores possui duas camadas de proteção! Isso ocorre por conta de cada VM ser cifrado com uma chave DEK única e cada chave DEK ser cifrada, por sua vez, com uma chave KEK única. Assim, mesmo se o atacante descobrir a chave DEK, sem a chave KEK – que fica armazenada de maneira segura dentro do kNET HSM – ele não tem acesso aos arquivos.

“Antes da utilização de um KMS integrado ao VMware para gerenciar e armazenar as chaves, precisávamos digitar as senhas manualmente em cada servidor. Agora, esse processo ficou muito mais prático, além de melhorar significativamente a segurança do ambiente como um todo”, diz Igor, Gerente de TI da Kryptus.

Igor também dá a dica que deve-se considerar a configuração de mais de um kNET, criando-se um cluster de KMS, a fim de aumentar a disponibilidade do sistema, pois o ESXi, ao ser reiniciado, e/ou instanciar uma nova VM, solicita chaves que devem ser providas sob risco de indisponibilidade.

[/vc_column_text][vc_column_text]

Compartilhe

[/vc_column_text][stm_post_bottom][stm_post_about_author][stm_post_comments][stm_spacing lg_spacing=”80″ md_spacing=”80″ sm_spacing=”30″ xs_spacing=”20″][/vc_column][vc_column width=”1/4″ offset=”vc_hidden-sm vc_hidden-xs”][stm_sidebar sidebar=”527″][/vc_column][/vc_row][vc_row full_width=”stretch_row” css=”.vc_custom_1459505959648{margin-bottom: -60px !important;}” el_class=”third_bg_color”][vc_column][vc_cta h2=”SEGURANÇA SÉRIA, BASE DE HARDWARE SÓLIDA. PRODUTOS CRIPTOGRAFIA” h2_font_container=”font_size:20px|color:%23ffffff|line_height:24px” h2_use_theme_fonts=”yes” shape=”square” style=”flat” add_button=”right” btn_title=”saiba mais” btn_style=”flat” btn_color=”theme_style_2″ btn_align=”right” btn_i_align=”right” btn_i_icon_fontawesome=”stm-online-address” use_custom_fonts_h2=”true” btn_add_icon=”true” btn_link=”url:https%3A%2F%2Fnovo.kryptus.com%2Fprodutos-criptografia%2F|title:Produtos%20Criptografia||” el_class=”third_bg_color” css=”.vc_custom_1594599505206{margin-bottom: 0px !important;}”][/vc_cta][/vc_column][/vc_row]