Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Cifrado y Transferencia de Archivos con Vault Transit Data Key

Cifrado y Transferencia de Archivos con Vault Transit Data Key

Un caso de uso de como manejar de manera eficiente el proceso de encriptado y distribución de respaldos. Explico como usar Hashicorp Vault - Transit Engine para lograrlo y algunas de sus ventajas.

856af7d512bb37604c82a37b5b717ec0?s=128

Manuel Portillo

November 19, 2020
Tweet

Other Decks in Technology

Transcript

  1. Copyright © 2020 HashiCorp Cifrado y Transferencia de Archivos con

    Vault Transit Data Key HashiTalks: América Latina
  2. Manuel Portillo - DevOps Manager en DigitalOnUs • Enfocado en

    el área de DevSecOps • Arquitectura de microservicios • Herramientas Hashicorp • Azure • Aficionado a la electrónica • Gamer casual • Padre y esposo @manuel220_mty manuel220x manuel220
  3. Agenda 1. Caso de Uso 2. Solución 3. Vault Transit

    Engine 4. Conceptos 5. Implementación 6. Demo
  4. Caso de Uso ➢ Múltiples bases de datos en ambiente

    On-Prem ◦ Respaldos generan archivos de varios GB ◦ Almacenamiento limitado ➢ Respaldos tienen que ser subidos a la nube ◦ Seguridad ◦ Automatizacion ◦ Auditabilidad
  5. Mejores Prácticas en un Backup Plan Caso de Uso -

    Consideraciones Implicaciones en casos de fallas de seguridad ◦ Mantener información segura y encriptada ◦ Validación constante del proceso de restauración ◦ Automatización ◦ Monitoreo ◦ Distribución de datos ◦ Frecuencia ◦ Políticas de retención ◦ Reputación ◦ Legales ◦ Económicas ◦ Sueño
  6. Solución ➢ Hashicorp Vault ◦ Transit Engine • DataKey •

    AES256-GCM96 ◦ Audit Devices ◦ Policies ◦ AppRole ➢ Azure ◦ Blob Storage ➢ Python ◦ HVAC ◦ Azure’s Python SDK ◦ Cryptography
  7. Vault Componentes Principales Características ➢ Administración de “secretos” ◦ Almacenamiento

    ◦ Secretos dinamicos ◦ Namespaces ◦ Revocación y control de validez ◦ Plugins ➢ Automatizacion ➢ Control de acceso con políticas ➢ Logs detallados para auditorías ➢ Cifrado de datos usando API ➢ Múltiples métodos de Autenticación ➢ Web UI ➢ Replicación y alta disponibilidad
  8. Vault - Transit Engine EaaS (Encryption as a Service) Características

    ➢ Manejo de llaves centralizado ➢ Basda en API ( HTTP TLS) ➢ Rotación y Versionamiento de llaves ➢ Cifrado Convergente ➢ Generación dinamica de llaves ➢ Generación de datos aleatorios ➢ Generación de hashes ➢ Firmar y Verificar firmado de datos ➢ Múltiples Algoritmos disponibles
  9. Conceptos Porque AES-GCM? ◦ Definición: • Advanced Encryption Standard •

    Galois/Counter Mode ◦ Esquema de cifrado por bloques (Algoritmo Determinístico de clave simétrica) ◦ Tamaño de Bloque: 128 bits ◦ Tamaño de IV: entre 1 y 264 bits ◦ Tamaño de llave: 128, 192 o 256 bits ◦ Ampliamente soportado ◦ Tomar ventaja del set de instrucciones AES-NI Proceso de Encriptado
  10. Implementación - Cifrado

  11. Implementación - Descifrado

  12. Demo HashiTalks: América Latina https://github.com/manuel220x/vault-datakey-encryption

  13. Gracias! 13 @manuel220_mty manuel220x manuel220