El mundo de las TI a nivel mundial se ha visto dominado por las noticias sobre filtraciones de datos globales y en la nube. Desde la divulgación accidental de datos confidenciales hasta el robo generalizado de datos de tarjetas, parece que la tendencia continuará y nadie sabe con certeza qué tan seguros están sus datos, especialmente en la nube.
Debido a esto, vimos una tendencia ascendente continua en el uso de tecnología de cifrado en el departamento de TI de cada organización porque proporciona una capa de seguridad a los datos críticos de la empresa y los hace inutilizables para cualquiera que no tenga la clave asociada, ya sea un actor malicioso interno o externo.
Basándonos en la experiencia del sector, podemos afirmar simplemente que la seguridad que ofrece cualquier entidad criptográfica no depende en gran medida del mecanismo de cifrado utilizado, sino de la seguridad de las claves asociadas. Se puede usar cualquier cifrado con una buena longitud de clave, pero esto no garantiza la protección a menos que las claves estén protegidas.
Gestionar manualmente una sola clave de seguridad es relativamente sencillo. Sin embargo, si se utilizan muchas claves de seguridad, la tarea se vuelve engorrosa. Por lo tanto, surge la necesidad de automatización. gestión de claves servicios de cifrado de datos.
Ahora, el servicio de gestión de claves para cualquier sistema criptográfico puede considerarse como la gestión del ciclo de vida completo de las claves, incluida la generación, el almacenamiento, la activación, la distribución, la rotación, la expiración, la revocación y la destrucción.
Podemos clasificar los sistemas de gestión de claves en tres grandes categorías:
-
KMS basado en software
Un KMS basado en software puede considerarse un software independiente instalado en un entorno físico o virtual. Desde una perspectiva de costos, las soluciones KMS basadas en software son más económicas y fáciles de instalar que las basadas en hardware.
-
KMS basado en hardware
El KMS basado en hardware puede considerarse un dispositivo de hardware especializado y a prueba de manipulaciones, creado para operaciones criptográficas o administración de claves y conocido como Módulo de seguridad de hardware, es decir, HSM. HSM Se puede integrar con KMS basado en software o el software KMS también se puede integrar en el HSM.
-
KMS basado en la nube
El KMS basado en la nube puede considerarse una oferta de servicios de los proveedores de servicios en la nube. Los tres principales CSP (AWS, Azure y GCP) ofrecen KMS como un servicio gestionado con un modelo de pago por uso, lo que significa que el cliente no tiene que gestionar el software ni el hardware subyacentes. Además, otros servicios dentro del entorno del CSP se integran perfectamente con sus... KMS servicios.
Ahora bien, dado que hemos analizado los tipos de KMS en general, decidir qué proveedor de KMS basado en la nube es mejor para usted es la siguiente pregunta obvia.
La elección entre tres CSP (Amazon Web Services, Microsoft Azure o Google Cloud Platform) es objeto de un intenso debate entre los usuarios. La transición hacia la carga de datos en la nube pública se está convirtiendo en el estándar para las organizaciones. Los dos factores principales para la protección de datos son protegerlos del acceso no autorizado y cumplir con las normativas de cumplimiento normativo. La seguridad en la nube debe ser la principal prioridad de todos en la organización. En la siguiente sección, resumiremos nuestra comparación entre tres grandes empresas del mundo de la computación en la nube:
- Sistema de gestión de claves (KMS) de Amazon Web Services (AWS)
- Almacén de claves de Microsoft Azure
- Sistema de gestión de claves (KMS) de Google Cloud Platform (GCP)
Servicio de administración de claves de AWS (KMS)
AWS KMS es un servicio administrado que se utiliza para crear y administrar claves de cifrado. Los dos tipos de claves de cifrado en AWS KMS son: Claves maestras del cliente (CMK) más antigua y Claves de datosLas CMK se pueden utilizar para cifrar y descifrar hasta 4 kilobytes de datos, mientras que las claves de datos son generadas, cifradas y descifradas por las CMK.
Las CMK nunca pueden salir de AWS KMS, y las claves creadas por este servicio nunca se envían fuera de la región de AWS donde se crearon y solo pueden usarse en dicha región. Las CMK pueden ser administradas por el cliente o por AWS. Las CMK se utilizan para cifrar y descifrar las claves de datos, mientras que las claves de datos se utilizan para cifrar y descifrar los datos del cliente. AWS KMS no almacena, administra ni rastrea las claves de datos.
AWS KMS no puede usar la clave de datos para cifrar o descifrar datos. Los usuarios deben usar y administrar las claves de datos por sí mismos. De forma predeterminada, AWS KMS utiliza la validación FIPS 140-2. módulos de seguridad de hardware (HSM) y puntos finales validados FIPS 140-2 compatibles que garantizan la confidencialidad e integridad de sus claves.
Almacén de claves de Microsoft Azure
Microsoft Azure Key Vault se utiliza para almacenar secretos como tokens, contraseñas, certificados y claves API. Azure Key Vault también puede utilizarse como solución de gestión de claves. Key Vault puede cifrar claves y secretos en módulos de seguridad de hardware (HSMS). Key Vault solo admite claves RSA y de curva elíptica. Microsoft no verá sus claves, sino que las procesará en HSM validados según FIPS 140-2 Nivel 2.
Servicio de gestión de claves de GCP
El Servicio de Administración de Claves (KMS) de Google Cloud es una solución de gestión de claves de cifrado de Google Cloud que se utiliza para implementar funciones criptográficas para empresas. Google Cloud KMS utiliza una clave AES de 256 bits para proteger los datos y también puede utilizarse para administrar las claves que cifran otros tipos de datos confidenciales, como tokens de API, credenciales de usuario, etc.
Google ofrece el servicio Google Cloud KMS mediante API REST para que los usuarios puedan crear, listar, actualizar y destruir las claves que ayudan a gestionar un gran número de claves, específicamente para empresas de todo el mundo. También proporciona claves AES en una jerarquía de cinco niveles con un retraso de 24 horas en la eliminación de claves.
La siguiente tabla proporciona una vista resumida de la comparación entre los servicios AWS KMS, Azure Key Vault y Google Cloud KMS categorizados según las características del servicio:
| # | Característica | AWS KMS | Azure Key Vault | Sistema de gestión de claves de Google Cloud |
|---|---|---|---|---|
| 1 | Almacenamiento de claves | Dispositivo (Software + Hardware) | Dispositivo* (Software) | Dispositivo (Software + Hardware) |
| 2 | Nivel FIPS 140-2 | Nivel 2 | Nivel 2 | Nivel 1 |
| 3 | Tipos de claves | Simétrico y asimétrico | Asimétrico | Simétrico y asimétrico |
| 4 | BYOK (Traiga su propia llave) | AES de 256 bits envuelto por RSA de 2048 bits | RSA envuelto por AES y RSA-OAEP | AES de 256 bits envuelto por RSA de 3072 bits |
| 5 | Longitud de clave simétrica | 256-bit AES | Ninguno | 256-bit AES |
| 6 | Longitud de clave asimétrica | RSA de 2048 bits, 3072 bits y 4096 bits | RSA de 2048 bits, 3072 bits y 4096 bits | RSA de 2048 bits, 3072 bits y 4096 bits |
| 7 | Modos de cifrado | AES-GCM, RSA-OAEP | AES-GCM, RSA-OAEP | RSA PKCS#1v1.5, RSA-OAEP |
| 8 | Límite de tamaño de texto sin formato | 4KB | 0.25KB | 64KB |
| 9 | Modos de firma |
|
|
|
| 10 | Capacidades Clave |
|
|
|
*La integración de Azure Key Vault con HSM administrado de Azure se encuentra en versión preliminar pública y podría estar disponible en algún momento en el futuro.
Conclusión
La continua tendencia al alza en la tecnología de cifrado genera la necesidad de gestionar cada vez más claves, lo que obliga a las empresas a utilizar sistemas automatizados. gestión de claves Sistemas para gestionar la gran cantidad de claves con eficiencia. Dada la alta demanda de sistemas de gestión de claves, los tres principales proveedores de servicios en la nube (CSP) compiten ferozmente para añadir cada vez más funciones a sus servicios KMS en su entorno. Sin embargo, la documentación limitada suele resultar confusa.
Encryption Consulting ayuda a los clientes a familiarizarse con las últimas y más avanzadas funciones, herramientas y documentación de seguridad, y los ayuda a aprovechar el verdadero valor para su organización mientras las implementan dentro de su entorno, manteniendo intacto el objetivo comercial de la organización.
