A proteção de dados confidenciais é um dos maiores desafios enfrentados por muitas empresas. As crescentes demandas normativas e legais, e o cenário de ameaças em constante mudança trouxeram segurança dos dados para o topo da lista de prioridades dos problemas de TI. Várias das ameaças de segurança de dados mais importantes estão relacionadas à proteção do ambiente de armazenamento. Roubo e perda de unidades estão entre os principais fatores de risco. A D@RE (Data at Rest Encryption, criptografia de dados em repouso) da EMC® protege a confidencialidade dos dados ao adicionar criptografia de back-end em todo o array.
A D@RE oferece criptografia de back-end no array e com base em hardware para arrays VMAX usando módulos de I/O SAS que incorporam criptografia XTS-AES de dados em linha. Esses módulos criptografam e descriptografam os dados enquanto eles são gravados ou lidos no disco, protegendo as informações contra acesso não autorizado, mesmo quando as unidades de disco são removidas do array.
A D@RE dá suporte a um gerenciador incorporado e interno de chaves ou a um gerenciador corporativo e externo de chaves, acessíveis por meio do KMIP (Key Management Interoperability Protocol). Os seguintes gerenciadores externos de chaves são compatíveis:
l SafeNet KeySecure by Gemalto l IBM Security Key Lifecycle Manager
Obs.
Para obter as versões compatíveis do HYPERMAX OS e os gerenciadores externos e compatíveis de chaves, consulte a matriz de interoperabilidade do EMC E-Lab (https://brazil.emc.com/products/interoperability/elab.htm).
Quando a D@RE é habilitada, todas as unidades configuradas são criptografados, inclusive unidades de dados, sobressalentes e unidades sem volumes provisionados. Os dados de compartimento são criptografados em módulos de I/O de flash.
A D@RE permite:
l Substituição segura de unidades com falha que não podem ser eliminados.
Para alguns tipos de falha de unidade, a eliminação de dados não é possível. Sem D@RE, se a unidade com falha for reparada, os dados não serão expostos. Com D@RE, simplesmente delete as chaves aplicáveis e os dados na unidade com falha serão ilegíveis.
l Proteção contra unidades roubadas.
Quando uma unidade é removida do array, a chave permanece, tornando os dados na unidade ilegíveis.
l Sparing de unidade mais rápido.
O script de substituição de unidade destrói as chaves associadas à unidade removida, tornando os dados dessa unidade ilegíveis rapidamente.
l Desativação segura de arrays.
Simplesmente exclua todas as cópias de chaves no array e os dados remanescentes ficarão ilegíveis.
A D@RE é compatível com todos os recursos de array e com todos os tipos de unidade ou emulações de volume compatíveis. Criptografia é uma ferramenta avançada para impor políticas de segurança. D@RE oferece criptografia sem diminuição de
desempenho, interrupção de seus aplicativos nem de sua infraestrutura.
Habilitando a D@RE
A D@RE é um recurso licenciado e é pré-configurada e instalada de fábrica. O
processo de upgrade de um array existente para o uso de D@RE é disruptivo e exige a reinstalação do array, e pode envolver backup e restauração completos dos dados. Antes do upgrade, você deve planejar como lidar com dados presentes no array. O EMC Professional Services oferece serviços para ajudar você a fazer o upgrade para a D@RE
Componentes da D@RE
A D@RE incorporada (Figura 1 na página 43) usa os seguintes componentes, todos os quais residem na MMCS (Management Module Control Station) principal:
l RSA eDPM (Embedded Data Protection Manager) — plataforma incorporada de
gerenciamento de chaves que oferece funções integradas de gerenciamento de chaves de criptografia, como geração segura de chaves, armazenamento, distribuição e auditoria.
l Bibliotecas de criptografia do RSA BSAFE® — oferece recursos de segurança
para o RSA eDPM Server (gerenciamento incorporado de chaves) e o client do EMC KTP (gerenciamento externo de chaves).
l CST (Common Security Toolkit) Lockbox — repositório criptografado específico
para hardware e software que armazena com segurança senhas e outras informações confidenciais sobre configuração do gerenciador de chaves. O lockbox é vinculado a uma MMCS específico.
A D@RE externa (Figura 2 na página 44) usa os mesmos componentes que os da incorporada, além dos seguintes:
l EMC KTP (Key Trust Platform) — também conhecido como client do KMIP, esse
componente reside na MMCS e comunica-se pelo KMIP (Key Management Interoperability Protocol) OASIS com os gerenciadores externos de chaves para gerenciar as chaves de criptografia.
l Gerenciador externo de chaves — oferece recursos centralizados de
gerenciamento de chaves de criptografia, como geração segura de chaves, armazenamento, distribuição, auditoria, além de habilitar a validação do FIPS (Federal Information Processing Standard) 140-2 de nível 3 com o HSM (High Security Module).
l Grupo de replicação/cluster — vários gerenciadores externos de chaves que
compartilham definições de configuração e chaves de criptografia. As alterações do ciclo de vida de configuração e de chaves feitas em um nó são replicadas a todos os membros do mesmo cluster ou grupo de replicação.
Figura 1 Arquitetura de D@RE, incorporada
Director
Host
IO Module IO ModuleRSA
eDPM Server
IO Module IO ModuleDirector
SAN
Storage Configuration Management RSA eDPM Client Unencrypted data Management traffic Encrypted dataIP
Unique key per physical drive
Figura 2 Arquitetura de D@RE, externa
Director
Host
IO Module IO Module IO Module IO ModuleDirector
SAN
Storage Configuration Management Unencrypted data Management traffic Encrypted data External (KMIP) Key ManagerIP
Unique key per physical drive
Key management KMIP Client MMCS
Key Trust Platform (KTP)
TLS-authenticated KMIP traffic
Gerenciadores externos de chaves
O gerenciamento externo e corporativo de chaves da D@RE é oferecido pelo Gemalto SafeNet KeySecure e pelo IBM Security Key Lifecycle Manager. Chaves são geradas e distribuídas de acordo com práticas recomendadas conforme definidas pelos padrões do setor (NIST 800-57 e ISO 11770). Com a D@RE, não é necessário replicar chaves entre os snapshots de volume ou sites remotos. Os gerenciadores externos de chaves da D@RE podem ser usados com um HSM validado por FIPS 140-2 de nível 3, no caso do Gemalto SafeNet KeySecure, ou um software validado por FIPS 140-2 de nível 1, no caso do IBM Security Key Lifecycle Manager.
As chaves de criptografia devem ser tanto altamente disponíveis quando necessárias, como seguras. As chaves e as informações necessárias para usá-las (durante a decriptação) devem ser preservadas durante toda a vida dos dados. Isso é fundamental para dados criptografados que são mantidos por anos.
Chaves de criptografia devem ser acessíveis. Acessibilidade de chaves é vital em ambientes de alta disponibilidade. A D@RE faz o armazenamento em cache das chaves localmente, para que a conexão ao Key Manager seja necessária apenas para operações como a instalação inicial do array, a substituição de uma unidade ou os upgrades de unidade.
Os eventos de ciclo de vida das chaves (geração e destruição) são registrados no registro de auditoria do VMAX.
Proteção de chaves
O arquivo de keystore local é criptografado com uma chave AES de 256 bits derivada de uma senha gerada aleatoriamente e é armazenado no lockbox CST (Common Security Toolbox), que aproveita a tecnologia BSAFE da RSA. O lockbox é protegido usando valores estáveis de sistema específicos da MMCS principal. Esses são os mesmos SSVs que protegem as SSC (Secure Service Credentials).
Comprometer a unidade da MMCS ou copiar os arquivos de lockbox/keystores fora do array causará falha nos testes de SSV. Comprometer toda a MMCS só dará acesso a um invasor se ele também comprometer a SSC com sucesso.
Não existem chaves ou senhas de backdoor para ignorar a segurança da D@RE.
Operações de chave
A D@RE oferece uma DEK (Data Encryption Key, chave de criptografia de dados) separada e exclusiva para cada unidade do array, inclusive para unidades
sobressalentes. As seguintes operações garantem que a D@RE utilize a chave correta para uma unidade em particular:
l As DEKs armazenadas no array VMAX incluem uma marca exclusiva de chave e
metadados de chave quando são encapsuladas (criptografadas) para uso pelo array.
Essas informações são incluídas com o material da chave quando a DEK (Data Encryption Key, chave de criptografia de dados) é encapsulada (criptografada) para uso no array.
l Durante o I/O de criptografia, a marca da chave esperada associada com a unidade
é fornecida separadamente da chave encapsulada.
l Durante o desencapsulamento da chave, o hardware de criptografia verifica que a
chave foi desencapsulada corretamente e que ela corresponde à marca da chave fornecida.
l As informações do LBA (PHIB, ou Physical Information Block) de um sistema
reservado verificam a chave utilizada para criptografar a unidade e garantem que a unidade esteja no local correto.
l Durante a inicialização, o hardware realiza autotestes para garantir que a lógica de
criptografia/decriptação esteja intacta.
O autoteste previne corrupção silenciosa dos dados devido a falhas no hardware de criptografia.
Registros de auditoria
O registro de auditoria grava as principais atividades do array VMAX3, inclusive:
l Ações iniciadas pelo host
l Alterações físicas de componentes l Ações disponíveis na MMCS
l Eventos do gerenciamento de chaves da D@RE
l Tentativas bloqueadas por controles de segurança (controles de acesso)
O registro de auditoria é seguro e à prova de adulteração. O conteúdo dos eventos não pode ser alterado. Usuários com acesso de Auditor podem visualizar, mas não
modificar, o registro.
Eliminação de dados
A eliminação de dados da EMC utiliza um software especializado para eliminar informações dos arrays. A eliminação de dados reduz os riscos de disseminação de informações e ajuda a proteger as informações no final de seu ciclo de vida. Eliminação de dados:
l Protege dados contra acesso não autorizado
l Garante migração segura de dados, tornando os dados no array de origem ilegíveis l Garante a conformidade às políticas internas e aos requisitos normativos
A eliminação de dados sobregrava os dados no menor nível de abordagem de
aplicativos das unidades. O número de sobregravações é configurável de 3x (padrão) a 7x com uma combinação de padrões aleatórios nos arrays selecionados.
A sobregravação é compatível com unidades flash e SAS. Um serviço de certificação opcional é disponível para fornecer certificado de eliminação. Unidades cuja eliminação falha são entregues aos clientes para que sejam completamente retirados de serviço. Para unidades flash individuais, as operações Secure Erase eliminam todas as áreas de flash físicas da unidade que podem conter dados do usuário.
A EMC oferece os seguintes serviços de eliminação de dados:
l EMC Data Erasure for Full Arrays — sobregrava dados em todas as unidades do
sistema ao substituir, desativar ou realocar um array.
l EMC Data Erasure/Single Drives — sobregrava dados em unidades flash e SAS
individuais.
l EMC Disk Retention — permite que as empresas que precisam reter toda a sua
mídia mantenham as unidades com defeito.
l EMC Assessment Service for Storage Security — avalia suas políticas de proteção
de informações e sugere uma estratégia abrangente de segurança.
Todos os serviços de eliminação são realizados no local, na segurança do datacenter do cliente e incluem um certificado de eliminação de dados, além do relatório dos resultados da eliminação.