Cloud Encryption: desafíos y recomendaciones


Crédito de la imagen: enzozo / Shutterstock

La protección de datos efectiva y la encriptación fuerte en la nube es posible y está disponible a través de varias soluciones en la nube.

A medida que las regulaciones comerciales y la seguridad de la información se expanden a un ritmo asimétrico, los ejecutivos corporativos terminan enfrentando desafíos de privacidad y seguridad que no tienen el conocimiento o la experiencia para abordar. Si bien el cifrado es la tecnología básica que los expertos en privacidad acuerdan que es la piedra angular de la seguridad, el cifrado en la nube puede ser desalentador. Con tantos tipos diferentes de encriptación disponibles, las pequeñas y medianas empresas encuentran este enfoque atractivo pero muy confuso.

El cifrado no es una tecnología nueva, pero los datos históricamente encriptados se almacenaban en servidores que residían en premisas sobre las cuales la empresa tenía control directo. Dado que muchas de las aplicaciones comerciales más populares se alojan en la nube, los ejecutivos deben depender del lenguaje del contrato para proteger sus activos, seleccionando un proveedor de la nube que permita al cliente cifrar los datos antes de enviarlos a la nube para su almacenamiento o procesamiento. o asociarse con un proveedor de software como servicio (SaaS) que administrará el cifrado y el descifrado de los datos corporativos.

A veces las empresas no tienen otra opción; algunas aplicaciones de gestión de relaciones con clientes (CRM), como Saleforce.com, y aplicaciones de intercambio y sincronización de archivos empresariales (EFSS), como Citrix ShareFile, utilizan conexiones web seguras, como el cifrado de seguridad de capa de transporte (TLS), para transferir datos desde el teclado o los servidores del usuario a la aplicación web. Algunas aplicaciones de almacenamiento en la nube, como Barracuda's Copy.com, también permiten al usuario crear un enlace seguro entre su red corporativa o sistemas móviles y la aplicación de almacenamiento en la nube. Una vez que los datos llegan a los servidores de los proveedores de la nube, el proveedor de la aplicación generalmente los encripta para proteger los datos en reposo.

[Leerhistoriarelacionada: Los mejores servicios de almacenamiento en la nube y respaldo en línea para 2018 ]

Protección de datos efectiva en la nube

Sin embargo, nos encontramos con uno de los desafíos del crecimiento asimétrico en el entorno de la nube. En el pasado, una de las tareas más importantes que el gerente de TI tenía era administrar claves de cifrado. La separación de la clave de cifrado de los datos encriptados es esencial para mantener la seguridad de los datos, dice Cortney Thompson, director de tecnología de Green House Data, proveedor de servicios de alojamiento de nube y centro de datos.

"Un área que advertimos a nuestros clientes de atención médica que vigilen porque es el almacenamiento y el uso de claves de cifrado ", dice. "A menudo almacenan las claves en la misma ubicación que los datos mismos".

Las aplicaciones también pueden almacenar claves en la memoria mientras están en uso. Las claves de cifrado deben mantenerse en un servidor o bloque de almacenamiento por separado. Una copia de seguridad de todas sus llaves también debe guardarse en un lugar externo en caso de desastre. Esta copia de seguridad debe ser auditada cada dos meses. "Las claves de cifrado también deben actualizarse periódicamente", agrega Thompson. "Esto a menudo se impone a las empresas, ya que la clave expira automáticamente, pero otras claves necesitan un calendario de actualización. Considere encriptar las claves por sí mismas (aunque esto lleve a un círculo vicioso de cifrado además de la encriptación). y las claves de recuperación de autenticación de múltiples factores. "

No todos los datos corporativos alcanzan el nivel de cifrado requerido y no todos los usuarios tienen la misma necesidad de acceder a los datos, señala Vic Winkler, CTO y jefe de productos e ingeniería en la plataforma de seguridad. Covata USA. Es importante para las empresas, incluso las PYMES, crear reglas para identificar qué información se eleva a la necesidad de cifrado y qué datos se pueden almacenar de forma segura en texto plano.

Winkler observa que segregando datos usando aplicaciones de software como servicio que encriptar automáticamente los datos dentro de las aplicaciones puede ser de gran ayuda para garantizar que los datos importantes estén protegidos. También es importante que los datos estén protegidos de manera tal que no afecten negativamente los procesos comerciales de la compañía.

Para proteger los datos de manera efectiva, Winkler dice que el funcionario corporativo a cargo de la seguridad debe ser un CISO en una gran empresa o un gerente designado en una PYME, necesita proteger los datos en sus tres estados: datos en tránsito, datos en uso y datos en reposo. Hoy las compañías hacen un trabajo bastante efectivo con los datos en tránsito usando TLS, dice, pero los datos en reposo y en uso todavía se pueden mejorar.

De hecho, dice Winkler, proteger los datos en reposo es esencial. La mejor opción es encriptar los datos confidenciales cuando se crean de modo que cuando estén almacenados en un centro de datos, ya sea localmente o en la nube, estarán protegidos. La seguridad de la aplicación, dice, es similar a un pastel de capas. A medida que los datos se agregan al archivo en una aplicación, la seguridad debe ser una parte integral del todo para que la seguridad se mueva con los datos.

Cloud Encryption: desafíos y recomendaciones

Con la expansión de las aplicaciones móviles, los clientes deben considerar tener a su proveedor de servicios o a un tercero proveedor de proxy administrando las claves de cifrado en lugar del propio departamento de TI de la empresa, sugiere Manny Landrón, gerente sénior de seguridad y cumplimiento en Citrix. El problema con el que se topan las empresas, dice, es que si los datos se cifran antes de ser cargados a un proveedor de almacenamiento en la nube y luego se necesitan en un dispositivo móvil o remoto que aún no tiene la clave de descifrado, la descarga resultante será inútil. , datos encriptados Esto se agrava cuando una empresa intenta compartir datos con un socio comercial, pero no quiere que el socio tenga acceso directo a las claves de descifrado.

La rotación y destrucción de claves también se vuelve más compleja cuando una empresa administra sus propias claves para lo que puede implicar millones de archivos, señala. Un proveedor proxy de terceros puede agregar una capa de protección manteniendo las claves separadas de los datos cifrados en un proveedor de la nube, pero esto también agrega otra capa de complejidad, así como el costo adicional de un segundo proveedor externo para el compañía.

Landrón advierte a las empresas que pregunten a sus proveedores y socios potenciales de SaaS qué protocolos usan para transmitir datos. El enfoque de Secure Socket Layer (SSL), que había sido el estándar durante años, ha caído en desgracia desde el descubrimiento en 2014 del ataque POODLE (Padding Oracle On Downgraded Legacy Encryption), un exploit de hombre en el medio que efectivamente se diseñó en el código SSL.

La implementación de TLS en lugar de SSL elimina la vulnerabilidad, pero algunos sistemas heredados que ejecutan sistemas operativos más antiguos, como Windows XP, no pueden implementar TLS. Como resultado, algunos minoristas todavía tienen algunos servidores que ejecutan SSL para admitir estos sistemas anteriores, aunque existe la posibilidad de que se comprometan datos confidenciales. La única forma de eliminar completamente el riesgo es deshabilitar completamente el SSL en el sistema cliente o el servidor que elimina el problema pero también hace que los servidores sean inaccesibles para sistemas que solo tienen capacidades SSL.

Más allá de la administración de claves, la más grande Las PYMES deben lidiar con creer que un proveedor de servicios en la nube protege mejor los datos confidenciales de lo que están y proteger a los datos de la compañía como el propietario de los datos, dice Jeff Cherrington, vicepresidente de gestión de productos de Prime Factors, una seguridad en la nube proveedor.

Los proveedores de servicios en la nube no están sujetos a las mismas leyes de divulgación de violaciones de datos que los bancos, agencias federales y otras entidades, señala, y las violaciones que ocurran podrían no publicitarse o asociarse ampliamente con los proveedores de la nube. Sin embargo, la organización propietaria de los datos es responsable, incluso cuando la causa de la violación de datos recae en la organización de hospedaje en la nube. Si se divulga dicha brecha de datos, la atención negativa se centrará más en el propietario de los datos que en el proveedor de computación en la nube. En última instancia, es obligación de la empresa proteger sus datos, independientemente de dónde y cómo se procesen. Esta es la razón por la cual Cloud Security Alliance en su Guía de seguridad para áreas críticas de enfoque en computación en la nube, recomienda que los datos confidenciales sean:

  • Cifrado de privacidad de datos con algoritmos aprobados y claves largas y aleatorias;
  • Encriptado antes de que pase de la empresa al proveedor de la nube;
  • Debe permanecer cifrado en tránsito, en reposo y en uso;
  • El proveedor de la nube y su personal nunca deben tener acceso a las claves de descifrado. [19659026] "Esta última estipulación puede ser la más desafiante para las PYMES, dependiendo de su uso de la nube", agrega Cherrington. "Para el intercambio simple de archivos, hay algunos complementos buenos para Dropbox y ofertas similares, como Viivo o SafeMonk . Cuando una SMB mueve el procesamiento a la nube, las cosas se vuelven un poco mas complejo." Al igual que Landrón, Cherrington recomienda que cuando se procesa información confidencial en la nube, los usuarios aprovechen la economía de escala y elasticidad de la nube. Los datos deben permanecer cifrados hasta el momento del uso y tanto las claves de descifrado como las versiones descifradas de los datos deben estar disponibles en forma clara solo dentro de un espacio de memoria transitoria protegido, dice.

    "Tanto las teclas como el las versiones de texto claro de los datos confidenciales deben borrarse auditadamente para que nunca se graben copias en el disco ", dice. Además, sugiere que el procesamiento nunca debe escribir copias de los datos confidenciales de texto claro en ningún registro u otro registro persistente.

    Matt Nelson, presidente y CEO de AvaLAN Wireless, advierte que el próximo Pearl Harbor de los Estados Unidos será un ataque cibernetico. Imagínese, dice, si sitios web como Google o Microsoft caen por completo debido a un ataque. Ambas compañías tienen grandes cantidades de datos de consumidores en sus servidores en la nube por lo que el cifrado debe considerarse una práctica comercial estándar, agrega.

    Debido a la gran cantidad de ciberataques recientes en grandes centros de datos y sitios comerciales, ya sean minoristas, salud, gobierno o comercial e industrial, la seguridad de los datos ha estado en las noticias mucho más que en los últimos años. "Espero que las personas no se vuelvan insensibles a los grandes ataques", dice.