Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Como proteger seus dados com AWS KMS

Como proteger seus dados com AWS KMS

Apresentação sobre AWS KMS para o pessoal da comunidade DevelopersBR.

https://www.youtube.com/watch?v=GVk8jAYro0Y

Marcelo Palladino

February 09, 2021
Tweet

More Decks by Marcelo Palladino

Other Decks in Technology

Transcript

  1. Criptografia do lado cliente Dado sensível Algoritmo de criptografa Dado

    criptografado Amazon RDS Amazon Elastic Block Store Amazon Simple Storage Service (S3) Aplicação Armazenamento
  2. Gerenciando a chave criptográfica • Armazenar de forma segura •

    Rotacionar periodicamente • Rastrear e registrar o uso das chaves • Detectar anomalias
  3. Quais são as opções possíveis? AWS Key Management Service AWS

    CloudHSM HSM On-Prem Outras soluções de parceiros da AWS
  4. AWS Key Management Service (AWS KMS) • O KMS é

    um serviço totalmente gerenciado que facilita a criação e o controle de chaves de criptografia de forma centralizada. • Utiliza Hardware Security Modules (HSMs) para proteger a segurança das chaves. • É integrado com outros serviços AWS. • Permite auditoria do uso das chaves.
  5. Customer Master Key • Alias • Data de criação •

    Descrição • Estado da chave • Material para a chave (provido pela AWS ou por você) • Não pode ser importada
  6. Quando importar material de chave? • Atingir certos critérios de

    randomização (Compliance) • Migração para a AWS • Poder excluir o material da chave sem ter que esperar 7 a 30 dias • e poder importa-lo novamente
  7. Importação do material de chave • Criar a CMK sem

    material de chave • Baixar a chave pública e o token de importação • Criptografar seu material de chave • Importar o material de chave na CMK
  8. Considerações sobre importação de material de chaves • Disponibilidade e

    durabilidade • A segurança da geração da chave é por sua conta • Não há rotação automática (é por sua conta)
  9. Opções para rotacionamento • O reuso extensivo de chaves de

    criptografia não é aconselhável • O ideal é rotacionar as chaves regularmente • A frequência pode variar conforme regulamentações ou políticas de cada empresa • O método depende do tipo da chave • Gerenciada pela AWS • Gerenciada pelo cliente (CMK) • Gerenciada pelo cliente com material importado
  10. Opções para rotacionamento: Gerenciada pela AWS • Rotacionada automaticamente pela

    AWS a cada 3 anos • Não é possível controlar a rotação • Não pode ser excluída • A AWS gerencia tudo
  11. Opções para rotacionamento: Gerenciada pelo cliente • Rotacionamento automático uma

    vez por ano (desativado por padrão) • A AWS gera um novo “material key” para a CMK uma vez por ano • A CMK antiga é armazenada e usada apenas para descriptografar dados previamente criptografados • Rotacionamento sob-demanda • Criar uma nova CMK e alterar a aplicação para usar a nova chave • Controle da frequência da rotação
  12. Rotacionando manualmente utilizando CMK alias CMK id = xxx Alias

    = alias/minha-chave CMK id = yyy Alias = alias/minha-chave Rotacionar manualmente Aplicação Aplicação JAN/2021 FEV/2021 MAR/2021