Raport Specjalny | IT@BANK 2022 – Integrated Solutions | Jak bezpiecznie i zgodnie z wymaganiami KNF szyfrować dane w chmurze
Krzysztof Drewniak
Business Development Executive, Integrated Solutions
Zapewne większość z użytkowników IT w sektorze finansowym zna doskonale treść komunikatu KNF z 23 stycznia 2020 r. opisującego szereg zagrożeń związanych z cyfryzacją usług świadczonych przez nadzorowane przez nią podmioty, w tym ryzyka związanego z ochroną prawnie chronionych informacji. W celu wsparcia nadzorowanych przez siebie podmiotów KNF zdefiniował model referencyjny stosowania usług chmury obliczeniowej.
Aby zapewnić odpowiedni poziom bezpieczeństwa, dostawcy usług chmurowych umożliwiają wykorzystanie szeregu mechanizmów, takich jak wieloskładnikowe uwierzytelnianie czy monitoring prób logowania. Warto jednak pamiętać, że w modelu współdzielenia odpowiedzialności pomiędzy dostawcę rozwiązań chmurowych a użytkownika (niezależnie od tego czy to jest rozwiązanie Azure, GCP, Oracle, Orange, czy AWS), odpowiedzialność za informacje i dane jest zawsze po stronie klienta.
Panuje powszechna zgoda, że szyfrowanie to obecnie jedyny rzeczywisty i łatwo weryfikowalny sposób na skuteczne zabezpieczenie informacji – także w chmurze.
Nie powinien zatem dziwić fakt, że jednym z istotnych zagadnień poruszonych w komunikacie KNF są zalecenia dotyczące kryptografii, w szczególności szyfrowania danych oraz zarządzania kluczami szyfrującymi. KNF bardzo jasno wskazuje, że: „Podmiot nadzorowany powinien zapewnić, że informacje są szyfrowane kluczami generowanymi oraz zarządzanymi przez podmiot nadzorowany”.
Jak zatem wygląda to z perspektywy popularnych usług, takich jak AWS, GCP czy Azure, gdzie szyfrowanie danych domyślnie jest wykonywane przy użyciu klucza wygenerowanego przez operatora chmury?
Z pomocą przychodzą nam dostępne w chmurach publicznych mechanizmy, umożliwiające zastosowanie kluczy generowanych „lokalnie” w środowisku np. banku i dostarczonych do usługi chmurowej.
Bez względu na to czy szyfrujemy dane on-prem, czy w chmurze, zabezpieczamy dane będące w ruchu, w spoczynku czy w użyciu, kluczową kwestią w utrzymaniu bezpieczeństwa jest zarządzanie cyklem życia kluczy szyfrujących.
Właśnie z takim wyzwaniem zwrócił się do Integrated Solutions jeden z banków planujący migrację części swoich danych do aplikacji w chmurze. Ściśle wiązało się to z koniecznością dostosowania się do zaleceń KNF oraz z dywersyfikacją miejsca przechowywania danych, a planowane wyniesienie części danych do chmury oznaczało konieczność ich właściwego zabezpieczenia.
Po szczegółowej analizie potrzeb klienta, wybraliśmy rozwiązania firmy Thales, która należy do globalnych liderów w obszarze szyfrowania danych. Produkty firmy są dobrze znane branży fintech i stanowią solidny fundament, na którym można budować bezpieczeństwo organizacji. Zaproponowana technologia, w połączeniu z wiedzą i doświadczeniem Integrated Solutions, pozwoliła nam wypracować wspólnie z klientem całą koncepcję wdrożenia, w tym integrację z systemami banku.
Przygotowaliśmy kompleksowy projekt, który zapewnia bezpieczne zarządzanie kluczami kryptograficznymi w chmurze, jest zgodny ze standardami, audytowalny i rozliczalny oraz, co ważne w obecnych warunkach, ekonomicznie uzasadniony. Etapy uwzględnione w koncepcji obejmowały:
- zakup i wdrożenie urządzeń na potrzeby zarządzania kluczami kryptograficznymi w chmurze;
- zbudowanie architektury HA/DR;
- zintegrowanie rozwiązania z Landing Zone;
- przygotowanie odpowiednich polityk;
- dostarczenie modułów Terraform automatyzujących budowę oraz orkiestrację wybranych usług;
- zintegrowanie rozwiązania z istniejącymi procesami CI/CD.
Zaoferowane rozwiązanie składało się z klastra Thales CipherTrust Manager (CTM) pracującego jako platforma Enterprise Key Management, połączonego z klastrem HSM* jako Root of Trust i źródło kluczy.
W trakcie Proof of Concept zwymiarowaliśmy i zweryfikowaliśmy funkcjonalność zarządzania kluczami w rzeczywistym środowisku klienta. Pokazaliśmy też, że platforma CDSP** rzeczywiście potrafi współpracować w oczekiwany sposób z chmurą i w pełni realizuje wymagania stawiane przez klienta przy jednoczesnej zgodności z zaleceniami regulatora.
Wypracowany przez nas model działania, oparty na doświadczeniach z innych projektów, dodatkowo obejmował:
- wdrożenie procesu zarządzania kluczami szyfrującymi (m.in. tworzenie, przechowywanie, backup, wykorzystanie, ochronę, niszczenie);
- wdrożenie procesu monitoringu przekazywania kluczy kryptograficznych pomiędzy HSM a innymi usługami, w tym chmurowymi;
- wdrożenie monitorowania, rozliczania dostępu oraz wykorzystania kluczy kryptograficznych w procesie szyfrowania/deszyfrowania danych;
- wdrożenie mechanizmów kontrolnych, które weryfikują, czy wystąpiły incydenty bezpieczeństwa lub nieprawidłowości w procesach dotyczących zarządzania HSM, CTM i kluczy szyfrujących.
Rozwiązanie łatwo integruje się ze środowiskami multicloud, oferuje dużą skalowalność i jest zgodne z wymogami compliance (logi audytowe/audit trail), zapewniając przy tym zarządzanie cyklem życia kluczy szyfrujących oraz możliwość realizacji HYOK*** w zasobach dzierżawionych lub chmurowych.
Wdrożone rozwiązanie spełniło wszystkie oczekiwania klienta, w szczególności te związane z zaleceniami KNF, zapewniając zgodność z dobrymi praktykami dotyczącymi szyfrowania, kontroli dostępu i rotacji kluczy.
Dane klienta wyniesione do chmury pozostają bezpieczne – jeśli kiedykolwiek dostawca chmury chciałby je odszyfrować – nie będzie miał takiej możliwości.
Jeżeli w swojej organizacji stykają się Państwo z podobnymi problemami związanymi z bezpieczeństwem swoich danych w chmurze – zachęcamy do kontaktu z Integrated Solutions.
Nasze Centrum Kompetencji Cybersecurity jest wyspecjalizowaną jednostką w pełni adresującą projekty związane z cyberbezpieczeństwem. Realizujemy zadania na wszystkich etapach projektu, od analizy potrzeb, poprzez dobór odpowiednich rozwiązań, wdrożenie, integrację aż po utrzymanie systemu. 11-letnie doświadczenie zaowocowało szeregiem partnerstw technologicznych z wiodącymi producentami sprzętu oraz oprogramowania, a wielokrotnie nagradzane kompetencje specjalistów IS potwierdzają jedynie profesjonalne podejście do tak wrażliwej kwestii, jaką jest bezpieczeństwo cyfrowe.
Omawiane powyżej przykładowe rozwiązanie można także przetestować w Państwa środowisku – do czego oczywiście zachęcamy.
- Sprzętowe moduły bezpieczeństwa (ang. HSM – Hardware Security Module) firmy Thales, zostały zaprojektowane z myślą o bezpieczeństwie kluczy szyfrujących w całym ich cyklu życia. Wzmocniony system operacyjny, karta kryptograficzna odporna na ataki sprzętowe, szyfrowane kanały komunikacji, wieloskładnikowe uwierzytelnianie oraz zgodność z uznanymi standardami (FIPS 140-2 Level 3, PCI DSS, Common Criteria) uniemożliwiają utratę przechowywanego w nich materiału kryptograficznego.
** CDSP – CipherTrust Data Security Platform usprawnia i wzmacnia zarządzanie kluczami w chmurze i środowiskach korporacyjnych w ramach zróżnicowanego zestawu aplikacji.
*** HYOK – Hold Your Own Key.