Global
Africa
South Africa
Albania
Australia
Austria
Belgium
Bosnia Herzegovina
Bulgaria
Canada
Canada FR
Croatia
Czech Republic
Denmark
Estonia
Finland 
Finland (English)
France
Germany
Hong Kong
Hungary
Iceland
India
Indonesia
Ireland
Israel
Italy
Kosovo
Latvia
Lithuania
Malaysia
Middle East
Montenegro
Netherlands
New Zealand
North Macedonia
Norway
Philippines
Poland
Portugal
Romania
Saudi Arabia
Singapore
Slovakia
Slovenija
Spain
Sweden
Switzerland DE
Switzerland FR
Thailand
Turkey
USA
Ukraine
United Kingdom
Vietnam
Zaštita podataka uz upravljanje enkripcijskim ključevima
Količina podataka kojima organizacije raspolažu neprestano raste, a istovremeno i osetljivi podaci čije “curenje” može prouzrokovati nepovratnu štetu. Kriptovanje podataka je, naravno, rešenje, ali budući da ono zavisi o enkripcijskim ključevima (privatnim ključevima), njihovo ispravno korišćenje i upravljanje životnim ciklusom postaje kritično za zaštitu podataka.
Pod uticajem digitalne transformacije, podaci putuju iz data centara na razne lokacije povezane s istim centrima, ali i obrnuto. To dovodi do rasprostranjenosti informacija delom file servera, aplikacija i baza podataka, virtualnih okruženja, privatnih i javnih cloudova. Zaštita podataka je otežana.
Stoga se enkripcijski ključevi pojavljuju u različitim kontekstima i nivoima IT infrastrukture. Pritom se, naravno, postavlja pitanje kako upravljati podacima i kako njihovo skladištenje uskladiti s propisima (primer, GDPR). Najvažnije od svega, postavlja se i pitanje kako optimalno zaštititi podatke od curenja i napada (primer, ransomware).
Zaštita podataka je briga samog korisnika
Zbog velike količine informacija koje svakodnevno obrađuju i primaju, uključujući korisničke podatke i osetljivu finansijsku dokumentaciju, velike organizacije i poduzeća posebno su sklone sigurnosnim rizicima. U slučaju neadekvatne zaštite, potencijalno će se vrlo brzo suočiti s nekom vrstom napada, najčešće iz socijalnog inženjeringa. Jednom kad napadač pristupi osetljivim podacima, zloupotreba i “curenje” su neizbežni i nepovratni. Ne samo da “curenje” podataka šteti ugledu organizacije, već utiče na smer izvođenja internih aktivnosti. Primer, može dovesti do prekida projekata.
Cloud infrastrukturu štite pružaoci usluga u oblaku, no za sigurnost uskladištenih podataka odgovaran je sam korisnik. Korisnicima oblaka omogućen je osnovni nivo enkripcije podataka, ali potpuna zaštita podrazumeva kontrolu nad enkripcijskim ključevima. Ovakva praksa zaštite podataka u cloudu poznata je kao Shared Responsibility Model.
Upravljanje ključevima nikako ne predstavlja novost u svetu sigurnosti podataka, budući da se ovakvi tipovi zaštite kontinuirano razvijaju poslednjih petnaestak godina, no potreba za njima svakodnevno raste. Jedan od razloga za to je i činjenica da velik broj regulacija propisuje novčane kazne u slučaju nepropisne ili nedovoljne zaštite podataka. Većina je kompanija iz tog razloga svesna potrebe za efikasnijom zaštitom, no postavlja se pitanje jesu li implementirana sigurnosna rešenja dovoljno efikasna i da li je njima jednostavno upravljati.
BYOK API-ji za automatizovano upravljanje enkripcijskim ključevima
Upravljanje ključevima uključuje sve korake od kreiranja ključeva i njihovo skladištenje do nadzora nad korišćenjem i uništavanja ključeva na kraju životnog ciklusa, nezavisno od toga radi li se on-premises ili cloud okruženju. Očekuje se da će u budućnosti sve više poduzeća za skladištenje podataka koristiti multi-cloud okruženje, što donosi posebne sigurnosne izazove. Ključevima u cloudu se može upravljati na dva načina:
- Prijava u svaki cloud zasebno i upravljanje ključevima stvorenih od strane pružalaca usluga u oblaku (koristeći Bring-Your-Own-Key ili BYOK API-je)
- Korišćenje platforme za centralno upravljanje ključevima
Izbor prve opcije dovodi do smanjene vidljivosti i velikog radnog opterećenja, budući da broj interno koriščenih usluga u oblaku raste, a svaki cloud traži vlastiti master ključ. Ključno je stoga izabrati jedinstveno rešenje koje se oslanja na BYOK API-je, automatizovano upravljanje ključevima te kontinuiran nadzor i izveštavanje o upotrebi ključeva u cloudu.
Zaštita podataka treba započeti od identifikacije osetljivih podataka
Enkripcija podataka je ključna za zaštitu podataka, ali nije dovoljna. Sigurnost treba započeti od identifikacije osetljivih podataka kako bi fokus bio na podacima čije “curenje” predstavlja rizik. Nakon identifikacije, treba pristupiti zaštiti kroz granularnu kontrolu te enkripciju i tokenizaciju. Da bi proces enkripcije i tokenizacije bio uspešan, potrebno je osigurati centralan nadzor nad ključevima. Na kraju, sve spomenute korake je potrebno nadgledati i kontrolisati, pratiti usklađenost praksi s propisima te imati konstantan uvid u ovlašćen i neovlašćen pristup podacima i ključevima.
Vodeći pružaoci IaaS i SaaS usluga u oblaku podržavaju Bring Your Own Key (BYOK), praksu koja osigurava korisnički nadzor nad kriptovanim podacima. Među njima spadaju Microsoft Office 365 i Azure, Amazon AWS, te Salesforce. Ipak, važno je napomenuti da prema Thalesovom izveštaju o pretnjama iz 2021., 60% svih globalnih kompanija koristi pet različitih rešenja za upravljanje ključevima.
Implementacija više BYOK rešenja unutar multi-cloud okruženja može biti problematična zbog nedovoljne homogenosti, pokrivenosti te neujednačenosti. Takođe, korišćenje ovakvih metoda povećava izazove za IT administratore zbog nedostataka u kontekstu funkcionalnosti, performansi, vidljivosti i prilagodljivosti.
Centralno upravljanje životnim ciklusom ključeva
Na spomenute izazove je odgovorio Thales razvojem CipherTrust Managera, odnosno platforme za upravljanje ključevima čime se znatno olakšava zaštita podataka. Thales pristupa pitanju sigurnosti s premisom da incidente nije moguće sprečiti, već samo smanjiti rizik da se oni dogode. Temeljem te tvrdnje, fokus Thalesovih sigurnosnih rešenja je na enkripciji bitnog i kontroli pristupa.
CipherTurst platforma se odlikuje centralnim upravljanjem ključevima i usklađenošću koja omogućava odvajanje ključeva od aplikacija i baza podataka. Istovremeno, CipherTrust smanjuje troškove i osigurava poslovnu agilnost.
Ranije poznato kao Next Generation KeySecure, ovo rešenje pruža granularnu kontrolu pristupa i konfigurisane sigurnosne politike. Upravlja životnim ciklusom svih ključeva, što uključuje generisanje, rotaciju, uništavanje import i export ključeva. Platforma omogućava postavljanje kontrole pristupa temeljem uloga te pristup izveštajima. Uz fleksibilne REST API-je i interoperabilnost s KMIP i PKCS 11, Thales CipherTrust je dostupan u fizičkoj i virtualnoj infrastrukturi. Platforma se može pokretati kroz Google Cloud, Microsoft Azure, AWS, VMware, Microsoft HyperV i druga rešenja.
Zaštita podataka uz jedinstvenu upravljačku konzolu
Kao centralni element unutar platforme, Key Manager upravlja ključevima, a sigurnosnim timovima omogućava upravljanje pristupom ključevima. Platforma osigurava različite vrste enkripcije (native enkripcija, file enkripcija, enkripcija baza podataka), a raznolika ponuda crypto API-ja omogućava njihovo postavljanje u korisničke aplikacije. Time je osigurana kontrola nad kriptografijom izvan same aplikacije.
Thales CipherTrust podržava Key Management, opciju koja se uglavnom koristi prilikom native enkripcije (Oracle TDI, VMWare VSAN…), odnosno korišćenje rešenja koje nude sami pružaoci usluga. Međutim, da bi se ključevi mogli odvojiti od spoljašnjih podataka, potrebno je imati spoljašnji Key Manager.
Platforma se odlikuje i inovativnom Data Discovery Classificaton tehnologijom. Naime, da biste uspešno šifrovali podatke, autentifikovali korisnike i kroz Key Manager upravljali ključevima, nužno je znati na kojim se mestima nalaze osetljive informacije. Data Discovery Classification to omogućava.
Otkrivanje i klasifikacija osetljivih podataka sprovodi se kroz jedinstvenu upravljačku konzolu, a zaštiti podataka pridonosi i mogućnost korišćenja Thales Data Protection konektora diljem on-premises infrastrukture i u cloud okruženjima.
Osnovne značajke Thales CipherTrust platforme
Sigurnost svih ključeva osigurava se kroz skladište u fizičkom okruženju, odnosno kroz hardver security modul. Uz centralno upravljanje ključevima, korisniku se u kontekstu tokenizacije i enkripcije nude i dodatne funkcionalnosti:
- Otkrivanje i klasifikacija (Discovery and Classification) – Pretraga file share sastava, diskova, baza podataka te storage sastava s ciljem uvida u status rizika
- Transparentna enkripcija (Transparent Encryption) – File-based enkripcija
- Enkripcija na temelju podataka (Data-Based Encryption) – Enkripcija na nivou kolone (column level)
- Zaštita aplikacijskih podataka (Application Data Protection) – Mnoštvo crypto API-ja koji se mogu koristiti u bilo kojoj aplikaciji
- Tokenizacija – Zaštita podataka druge vrste uz tokenizaciju i dynamic data-masking, odnosno anonimizaciju
- Podrška za on-prem IaaS i private cloud infrasturkturu (Vmware, HyperV, itd) ili public cloud IaaS (Azure, AWS, Google)
Važno je napomenuti da se tokenizacija razlikuje od enkripcije, a njeno se korišćenje podjednako preporučuje u regulacijama poput GDPR ili PCI. Prema GDPR regulaciji, tokenizacija i pseudonimizacija predstavljaju dobru praksu zaštite podataka.
