Protegendo dados com AWS KMS Marcelo Palladino @mfpalladino DEVELOPERSBR 

Fluxo básico para criptografia Dado sensível Algoritmo de criptografa Chave criptográfica Dado criptografado 

Fluxo básico para criptografia 

Criptografia do lado cliente Dado sensível Algoritmo de criptografa Dado criptografado Amazon RDS Amazon Elastic Block Store Amazon Simple Storage Service (S3) Aplicação Armazenamento 

Criptografia do lado do servidor Dado sensível Dado criptografado Aplicação Armazenamento HTTPS 

Gerenciando a chave criptográfica 

Gerenciando a chave criptográfica • Armazenar de forma segura • Rotacionar periodicamente • Rastrear e registrar o uso das chaves • Detectar anomalias 

Quais são as opções possíveis? AWS Key Management Service AWS CloudHSM HSM On-Prem Outras soluções de parceiros da AWS 

AWS Key Management Service (AWS KMS) • O KMS é um serviço totalmente gerenciado que facilita a criação e o controle de chaves de criptografia de forma centralizada. • Utiliza Hardware Security Modules (HSMs) para proteger a segurança das chaves. • É integrado com outros serviços AWS. • Permite auditoria do uso das chaves. 

Criptografia de ponta a ponta 

Customer Master Key • Alias • Data de criação • Descrição • Estado da chave • Material para a chave (provido pela AWS ou por você) • Não pode ser importada 

Quando importar material de chave? • Atingir certos critérios de randomização (Compliance) • Migração para a AWS • Poder excluir o material da chave sem ter que esperar 7 a 30 dias • e poder importa-lo novamente 

Importação do material de chave • Criar a CMK sem material de chave • Baixar a chave pública e o token de importação • Criptografar seu material de chave • Importar o material de chave na CMK 

Considerações sobre importação de material de chaves • Disponibilidade e durabilidade • A segurança da geração da chave é por sua conta • Não há rotação automática (é por sua conta) 

Opções para rotacionamento • O reuso extensivo de chaves de criptografia não é aconselhável • O ideal é rotacionar as chaves regularmente • A frequência pode variar conforme regulamentações ou políticas de cada empresa • O método depende do tipo da chave • Gerenciada pela AWS • Gerenciada pelo cliente (CMK) • Gerenciada pelo cliente com material importado 

Opções para rotacionamento: Gerenciada pela AWS • Rotacionada automaticamente pela AWS a cada 3 anos • Não é possível controlar a rotação • Não pode ser excluída • A AWS gerencia tudo 

Opções para rotacionamento: Gerenciada pelo cliente • Rotacionamento automático uma vez por ano (desativado por padrão) • A AWS gera um novo “material key” para a CMK uma vez por ano • A CMK antiga é armazenada e usada apenas para descriptografar dados previamente criptografados • Rotacionamento sob-demanda • Criar uma nova CMK e alterar a aplicação para usar a nova chave • Controle da frequência da rotação 

Opções para rotacionamento: Gerenciada pelo cliente com material importado • A única opção é rotacionar a chave manualmente 

Rotacionando manualmente utilizando CMK alias CMK id = xxx Alias = alias/minha-chave CMK id = yyy Alias = alias/minha-chave Rotacionar manualmente Aplicação Aplicação JAN/2021 FEV/2021 MAR/2021 

No content

https://hiplatform.gupy.io/ 

Marcelo Palladino @mfpalladino