KMS
- Onesait Platform
Introducción
En primer lugar se va a realizar una introducción al uso de Onesait KMS en ecosistemas IoT y las potenciales ventajas en materia de ciberseguridad de su uso.
Actualmente, la irrupción, ya no solo del paradigma IoT, sino del edge computing ha supuesto una disrupción de las arquitecturas y despliegues IT clásicos. Esta disrupción supone que se está aplicando computación e inteligencia en segmentos de red que históricamente habían carecido de ello, como por ejemplo en redes OT. Sin embargo, las necesidades de ciberseguridad se mantienen y es necesario garantizar la confidencialidad, integridad y autenticidad de sus procesos y activos de información en estos nuevos escenarios mediante la aplicación de mecanismos de ciberseguridad eficientes.
Muchas de estas medidas y mecanismos de ciberseguridad tienen su base en técnicas y procedimientos criptográficos, tanto criptografía de clave simétrica como de clave asimétrica. En cualquiera de ambos casos, a medida que aumentan las medidas de ciberseguridad aplicadas y el volumen de dispositivos y aplicaciones a proteger, el problema de la gestión de claves criptográficas aumenta en complejidad. Tanto en el caso de criptografía asimétrica, que requiere la gestión y administación de certificados en complejas infraestructuras PKI, como en el caso de criptografía simétrica, que puede llegar a suponer el control de millones de claves, es necesario resolver el problema de la gestión de claves de una manera sencilla, eficiente y segura.
Los riesgos de una inadecuada gestión de claves criptográficas son numerosos, desde la pérdida de control sobre activos de información críticos hasta brechas de seguridad que pueden acarrear fuga de información confidencial.
Para dar solución a estos problemas y ofrecer una solución que cumpla lo requisitos de sencillez, eficiencia, seguridad y adaptabilidad, desde Minsait se ofrece el producto Onesait KMS.
Onesait KMS provee una gestión de claves criptográficas centralizada y eficiente, accesible desde múltiples tipo de aplicaciones y asegurando la seguridad de la clave administrada en todo momento. Onesait KMS puede proveer diferentes estándares de seguridad de forma flexible, permitiendo el cumplimiento de auditorías de seguridad que requieran un nivel hasta FIPS 140-2 Nivel 3.
Beneficios y Ventajas
A grandes rasgos, se definen algunos beneficios, ventajas y funcionalidades de Onesait KMS.
Garantizar la privacidad del dato.
El principal beneficio del uso de Onesait KMS es del garantizar la privacidad de los datos en todas sus vertientes: en reposo, en tránsito y en uso. Onesait KMS permite gestionar de forma eficiente las técnicas criptograficas necesarias para proteger los activos de información. De esta forma, Onesait KMS ayuda a proteger los activos más importantes de negocio y a prevenir el fraude, evitando fugas de información y modificación maliciosa de los datos.
Reducir los riesgos de una ineficiente gestión de claves.
El uso de Onesait KMS reduce los riegos asociados a una inadecuada gestión de claves criptográficas. Reduce el factor de riesgo del error humano y de que las claves criptográficas puedan verse comprometidas, lo cual puede dar lugar a graves brechas de seguridad.
Por ejemplo, el uso de Onesait KMS reduce el riesgo de que un administrador pueda borrar o llevarse de forma permanente las claves criptográficas, bloqueando los recursos protegidos de forma permanente. Asimimo, se difcultan los ataques destinados a comprometer la seguridad de dichas claves criptográficas, evitando posibles fugas de información o acceso a recursos confidenciales.
Proveer auditoría en la gestión de claves.
Onesait KMS mantiene una auditoría de todas las acciones realizadas en el sistema. Este registro se puede comprobar para proveer de una trazabilidad completa a las acciones realizadas en el sistema y los usuarios que las llevaron a cabo.
Proveer gestión segura de secretos.
Adicionalmente, Onesait KMS provee mecanismos para la gestión segura de secretos y credenciales, garantizando su almacenamiento seguro.
Proveer servicios de criptografía.
Onesait KMS provee determinados servicios de aplicación de técnicas criptográficas, haciendo uso de los objetos criptográficos gestionados. De forma que se abstrae la complejidad de implementar criptografía, garantizando el uso de algoritmos criptográficos seguros y su correcto uso e implementación. Por lo tanto, se produce una minimización de errores y vulnerabilidades derivadas de implementaciones criptográficas incorrectas o de una deficiente gestión de las claves criptográficas.
Agilizar la gestión de claves y reducir costes.
Onesait KMS simplifica y automatiza en gran medida el proceso de gestión de claves, lo que supone un ahorro significativo de tiempo y costes.
Proveer niveles de seguridad configurables.
Onesait KMS permite distintos despliegues y configuraciones de seguridad mediante el uso de diferentes módulos de almacenamiento y el uso de HSMs. Esto capacita el cumplimiento de estándares internaciones tales como FIPS 140-2 nivel 3 y habilita el cumplimiento normativo y de auditoría.
Altamente escalable, flexible y modularizable.
Onesait KMS está diseñado específicamente para ser escalable, tanto de forma horizontal como vertical, garantizando así la gestión sobre millones de claves.
Asimismo, provee diversas interfaces de comunicación para permitir la integración de un amplio espectro de aplicaciones y existen diversas modalidades de despliegue que permiten disponer de un entorno altamente adaptable y flexible.
Integrable de manera sencilla con el resto de módulos de plataforma.
Onesait KMS permite la interconexión sencilla con otros módulos de Onesait Platform, mediante conexión a través de interfaz REST. Cada módulo de la suite está diseñado como un building block independiente pero integrable de manera sencilla con el resto de módulos.
Portal de administración y administración delegada.
La administración y configuración del producto se realiza mediante un portal de administración web o a través de la API REST proporcionada. Asimismo, permite la asignación de roles de usuario que establecen una serie de privilegios otorgados a cada rol. De esto modo, se permite particionar el acceso al portal, otorgando a cada usuario o administrador los permisos adecuados al rol que desempeña.
Seguridad extremo a extremo
Uno de los aspectos principales a la hora de diseñar la arquitectura de ciberseguridad de un entorno, es establecer en que punto o puntos reside la confianza del sistema o entorno, es decir, establecer el root-of-trust (RoT). Este sistema debe ser el más seguro y bastionado de todos y en él se almacenará la información necesaria para proteger otros activos de información críticos. En la siguiente figura, se puede observar un ejemplo de cómo se establece una jerarquía de claves de cifrado, desde el RoT hasta el resto de sistemas donde puede residir información crítica.
Existen 3 componentes principales:
Root of Trust: Es el elemento que actúa como raíz de confianza de todo el esquema y la jerarquía de claves. Este elemento es el que necesita un mayor grado de seguridad, ya que si sus claves se ven comprometidas, todo el esquema de cifrado se vería comprometido. En entornos críticos es común el uso de dispositivos hardware especializados como los HSMs (Hardware security Modules), que proveen mecanismos especializados de custodia de claves y permiten realizar operaciones criptográficas con ellas sin que éstas abandonen nunca el dispositivo hardware. También incluyen mecanismos anti-tampering para evitar ataques físicos de manipulación del dispositivo. Estos elementos incluyen múltiples certificaciones de ciberseguridad, como FIPS-140-2 o Common Criteria (CC), que permiten asegurar la seguridad de forma certificada en todo el esquema de cifrado.
El uso de HSMs es el mecanismo recomendado en el despliegue de Onesait KMS. Sin embargo, puede haber casos de uso y ecosistemas que requieran un menor nivel de seguridad. En ese caso, se puede prescindir del HSM, utilizando como Root Of Trust otro mecanismo, como pueden ser: TPM, hard tokens, HSM virtual, ficheros cifrados (Keystore), etc.
Root Keys: El elemento Root of Trust contiene las claves de cifrado denominadas 'Root Keys'. Estas claves son generadas internamente mediante el uso de un RNG seguro (Preferiblemente certificado) y nunca abandonan el elemento Root of Trust. Por tanto estas claves no son exportables y no se deben borrar. Si se ven expuestas o se pierden, todo el esquema de cifrado se vería comprometido. Son únicas por instancia o Realm del KMS.
Onesait KMS: Producto Onesait KMS. Gestiona las claves criptográficas y otra información sensible de los clientes (i.e: secrets). Utiliza el presente esquema de cifrado para garantizar la protección de la información. Toda la información sensible que gestiona está debidamente cifrada con las denominadas 'KMS Master Keys'.
KMS Master Keys: Estas claves son generadas por KMS durante su primera inicialización. Para generarlas de forma segura hace uso del RNG provisto por el elemento Root Of trust. Una vez generadas, se solicita al elemento Root of trust que cifre las 'KMS Master Keys' con las 'Root Keys'. Se almacena el valor cifrado de las 'KMS Master Keys' en el almacenamiento seguro de Onesait KMS. En las sucesivas inicializaciones del sistema, el KMS no vuelve a generar las 'KMS Master Keys' sino que solcita al elemento Root of Trust su descifrado. Estas claves se utilizan para cifrar toda la información sensible manejada por KMS, como otras claves criptográficas o secretos asociados a un cliente. El uso de estas claves en memoria está limitado, ya que el valor de las 'KMS Master Keys' también se cifra en memoria y únicamente se descifra en el momento de su uso. Las 'KMS Master Keys' nunca abandonan el KMS y son únicas por instancia o realm del KMS.
Client Keys and Secrets: Son las claves e información sensible de clientes que gestiona Onesait KMS. Estas claves son cifradas en el almacenamiento seguro del KMS utilizando las ' KMS Master Keys'. Cuando se requiere algún tipo de operativa sobre ellas, se descifra su valor, se utiliza y se borra de memoria.
Clientes: Son las aplicaciones y usuarios que delegan la gestión de claves criptográficas en Onesait KMS. Necesitan almacenar de forma segura información de negocio (Protección de datos personales, documentos confidenciales, etc.). Para evitar fugas de información, las claves de cifrado se almacenan y gestionan durante todo su ciclo de vida en Onesait KMS, reduciendo el riesgo de una ineficiente gestión y de que dichas claves, y por ende la información sensible, se vean comprometidos. En este caso, el cliente tiene dos opciones: Solicitar a KMS la clave de cifrado, aplicar él mismo las primitivas criptográficas necesarias y una vez terminado el proceso, eliminar todo registro de la clave, o bien solicitar los servicios crypto-as-a-service de KMS para que realice las operaciones criptográficas oportunas con una de las claves de cifrado que gestiona.
En el caso de las arquitecturas edge, este diseño aumenta en complejidad, ya que se disponen de múltiples puntos o segmentos donde es necesario garantizar la confianza en el sistema mediante múltiples RoT.
En la siguiente imagen se puede observar la arquitectura root-of-trust del despliegue Edge, para establecer en que puntos reside la confianza del sistema.
Podemos observar 2 entornos claramente diferenciados:
Entorno Cloud: Es donde reside IoTHub, se trata de un entorno IT tradicional. La confianza final del sistema reside en un sistema RoT configurable, por ejemplo:
HSM (Hardware Security Module): Se trata de un elemento hardware específicamente diseñado para garantizar la protección de las claves que contiene. Tiene medidas anti-tampering entre otros mecanismos de ciberseguridad. Estos elementos se encuentran certificados en el cumplimiento de estándares de ciberseguridad muy elevados y conocidos, como FIPS 140-2 (Generalmente hasta nivel 3) o CC EAL 5+, que pueden ser de aplicación y/o obligado cumplimiento en determianados entornos o infraestructuras críticas.
HSM Virtual o KMS Wallet: Se trata de un elemento Software, que emula un dispositivo HSM, pero sin las protecciones físicas correspondientes. Contiene y protege las claves maestras mediante cifrado. No tiene ninguna certificación de ciberseguridad ni asegura un cumplimiento normativo elevado de lNos estándares anteriormente mencionados.
Entorno Edge: Se trata de los dispositivos Edge. Estos dispositivos deben tener su propio RoT o TEE (Trusted Execution Environment). Este RoT puede ser un dispositivo TPM, que se encargue de realizar las validaciones de integridad correspondientes (Secure Boot) y de almacenar algunas claves y elementos criptográficos críticos.