Amazon AWS KMS – Key Management Service: Um Overview em Segurança

Introdução

O AWS Key Management Service (KMS) é um serviço de gerenciamento de chaves de criptografia que facilita a criação e controle das chaves usadas para criptografar seus dados, além de utilizar modelos de segurança em hardware (HSMs) para uma maior segurança das chaves. Ele é integrado a vários outros serviços da AWS Amazon para ajudar a garantir uma maior segurança dos dados que são armazenados nesses serviços. Ele também tem integração com o AWS CloudTrail para armazenar e fornecer logs de todos os usos de chaves para uma melhor segurança, e auxiliar nas necessidades regulatórias e de conformidade.   

Benefícios do KMS

O AWS KMS é um serviço totalmente gerenciado, que possibilita concentrar as necessidades de criptografia dos seus aplicativos enquanto a AWS lida com a disponibilidade, segurança física e manutenção de hardware da infraestrutura adjacente.

Gerenciamento de Chaves Centralizado

O AWS KMS fornece um controle centralizado de chaves de criptografia. Ele permite criar, importar, ou modificar facilmente as chaves de criptografia, além de definir políticas de uso, auditoria, utilização por meio de controle de gerenciamento da AWS usando o AWS SDK ou ainda a CLI. As chaves mestras do KMS, sejam elas importadas ou criadas, são armazenadas em um local resiliente, com seu formato criptografado, para ajudar a garantir sua recuperação quando necessário. Pode ser configurado para que o KMS mude automaticamente as chaves criadas diretamente no KMS uma vez por ano sem a necessidade de criptografar novamente todos os dados que já estavam criptografados com a chave mestre. Não é preciso monitorar as versões anterores da chave mestre, pois o próprio KMS as mantêm disponível para descriptografar dados anteriormente criptografados. Também existe a possibilidade de criar novas chaves mestre, e controlar quais usuários tem acesso a essas chaves e com quais serviços elas podem ser usadas, sempre que for necessário. Também é possível importar chaves de outras infraestruturas de gerenciamento de chaves e usa-las em outros serviços da AWS com o gerenciamento do AWS KMS.

Os principais recursos do gerenciamento de chaves do AWS KMS são:

  • Criar chaves com alias e descrição exclusivas;
  • Importação de chaves de infraestruturas externas à AWS;
  • Definir quais usuários e funções do IAM (Identity and Access Management) podem gerenciar as chaves;
  • Definir quais usuários do IAM (Identity and Access Management) podem usar a chave para criptografar e descriptografar dados;
  • Possibilita a rotação automática de chaves anualmente;
  • Desabilitação de chaves temporariamente para evitar uso indevido;
  • Auditar o uso de chaves inspecionando os logs do AWS CloudTrail.

Integração com os Serviços da AWS

O Key Managemant Service tem total integração a vários outros serviços da AWS. Essa integração significa que é possível facilmente usar as chaves mestras do AWS KMS para criptografar os dados armazenados nesses serviços. Inclusive, é possível a criação automática de chaves mestras que só poderão ser usadas em um determinado serviço integrado ou até mesmo selecionar uma chave mestra já existente ou importada para a criptografia de um serviço da AWS, trazendo assim mais segurança e facilidade para os serviços.

Existem vários serviços integrados ao KMS e que podem utilizar as chaves de criptografia para maior segurança e funcionamento, tais como:

Amazon Lightsail, Amazon EC2, AWS Lambda, Amazon S3, Amazon EBS, AWS Import/Export Snowball, AWS Sorage Gatway, Amazon RDS, Amazon RedShift, AWS Database Migration Service, AWS Cloud Commit, AWS Code Build, AWS CloudTrail, Amazon EMR, Amazon Kinesis Firehose, Amazon Elastic Transcoder, Amazon SES, Amazon SQS, Amazon WorkSpaces, Amazon WorkMail, AWS Certificade Manager e Amazon Connect. O AWS KMS também é integrado ao AWS SDK, a interface de linha de comando (CLI) da AWS e ainda oferece uma API RESTful.

Quando se usa uma interface para criptografar ou descriptografar dados, essas operações acontecem automaticamente –  é preciso apenas selecionar qual chave mestra deve ser usada. Além disso o KMS é integrado ao AWS CloudFormation para que possa ser possível criar chaves no KMS rapidamente, usando os modelos do AWS CloudFormation para o KSM.

Criptografia de Envelopamento

Embora o AWS KMS suporte o envio de dados com até 4KB para serem criptografados, a criptografia de envelope pode oferecer benefícios significativos de desempenho. Quando criptografa diretamente os dados com o KMS, eles precisam ser transferidos pela rede. A criptografia de envelope reduz a carga da rede para seu aplicativo ou serviço de nuvem da AWS. Apenas a solicitação de preenchimento da chave de dados pelo KMS precisa passar pela rede. Como a chave de dados é sempre armazenada de forma criptografada, é fácil e seguro distribuir a chave quando precisar, sem se preocupar com sua exposição. Chaves de dados criptografadas são enviadas para o AWS KMS e descriptografadas com chaves mestras para finalmente permitir que seja descriptografado os dados. A chave de dados está disponível diretamente em seu aplicativo sem precisar enviar o pacote todo de dados para o AWS KMS e passar pela latência da rede, gerando assim uma maior segurança para a criptografia e descriptografia dos seus dados.

Auditoria integrada

O AWS KMS integrado com o AWS CloudTrail possibilita a gravação de logs do uso de cada uma das chaves armazenadas, armazenando automaticamente data, hora, chave utilizada e os dados do usuário que a manipulou para eventuais auditorias.

Assim cada utilização de uma chave armazenada no KMS é registrada em um arquivo de log, armazenado automaticamente no serviço do AWS CloudTrail, no qual podem ser auditados.

Baixo Custo

Cada chave mestra do cliente (CMK) criada ou importada para o KMS custa $1 dolar por mês até ela ser excluída. Caso seja configurado para que o AWS KMS atualize e gere uma nova CMK automaticamente todo ano e criptografe seus dados automaticamente para que não precise recriptografar aumentará o custo de $1 dolar por mês a mais por cada CMK criada. Porém a AWS KMS garante a expansão de infraestrutura de acordo com a demanda sem aumentar o custo. Ou seja, uma chave gerada com o custo de $1 dolar por mês poderá ser usada em vários serviços e na criptografia de terabytes de dados sem aumentar o custo por demanda de infraestrutura.

Porém cada 10.000 solicitações de uso da CMK custam $0,03 dolar, nas regiões padrões do AWS, apenas na região AWS GovCloud (EUA) é cobrado $0,04 dolares a cada 10.000 solicitações de chave. A AWS KMS ainda fornece gratuitamente 20.000 solicitações da CMK, sendo nas 20.000 solicitações a somatória de todas as regiões disponíveis no AWS KMS.

Seguro

KMS é projetado para que ninguém tenha acesso a suas chaves mestras. O serviço é criado em sistemas que protegem suas chaves mestras com amplas técnicas de segurança, como nunca armazenar chaves mestras em texto simples em disco, não mante-las na memória, espalhar seu acesso em blocos distintos de memória quanto estiver sendo usada, limitar quais sistemas e serviços podem acessar e hosts que utilizam elas. Todo o acesso para atualização de softwares no serviço é administrado por um controle de acesso por vários participantes que é auditorado por um grupo independente da Amazon.

Conformidade

O AWS KMS é um serviço gerenciado. Conforme o seu uso de chaves de criptografia aumentar, não será necessário comprar mais infraestrutura de armazenamento e gerenciamento de chaves adicional, pois o AWS KMS oferece escalabilidade automática para atender as necessidades de expansão.

Todas as chaves mestras criadas ou importadas por um usuário não poderá ser exportada pelo serviço. Pois o AWS KMS armazena várias copias das versões das chaves criptografadas em sistemas projetados para ter 99,999999999% de durabilidade para ajudar a garantir que as chaves estejam sempre disponíveis quando necessário. Quando for importada uma chave, deve-se manter uma cópia segura para que possa ser importada novamente quando necessário.

O AWS KMS é implementado em várias zonas de disponibilidade dentro de uma região da AWS para assim garantir alta disponibilidade para as chaves de criptografia.

Para garantir a maior segurança e confiabilidade no uso e armazenamento de chaves de criptografia, a AWS KMS está em conformidade com os principais controles de qualidade e segurança, tais como:

  • Relatórios de controles de organização de serviço da AWS (SOC1, SOC2 e SOC3);
  • Nível 1 do PCI DSS;
  • ISO 27017 e ISO 27018;
  • ISO 9001;

E já está sob avaliação da FIPS 140-2.

Por que usar o AWS Key Management Service

Deve ser usado o AWS KMS para criptografar os dados de aplicativos em desenvolvimento com o AWS KMS, garantindo uma maior escalabilidade para gerenciar as chaves de aplicativos e licenças de softwares, ou para efetuar verificações de consistência da criptografia dos dados.

AWS KMS em Segurança Computacional

Com o AWS KMS fica mais seguro implementar e manipular seus serviços e aplicativos na AWS, tendo uma infraestrutura escalável e confiável para a manipulação dos dados totalmente criptografados. A AWS KMS garnate as conformidades e a total segurança da manipulação dos dados, e com a técnica de envelopamento torna os dados de suas aplicações mais seguros, ocasionando assim um maior conforto e proteção para seus serviços e aplicações da AWS.

Referência Bibliográfica

AWS Amazon disponível em: https://aws.amazon.com/pt/, ultimo acesso em: 03 de Julho de 2017.


Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!