Encriptar (o cifrar) información confidencial en su IBM i – AS/400 eleva notablemente el nivel de seguridad de todo su sistema. Protege su operación en dos vías, por un lado evita que le roben información valiosa por algún cyberataque, y por otro lado reduce la exposición de información a personal interno que podría hacer mal uso de ella. Al final, todas las PC’s y servidores conectados a su red representan una posible brecha de seguridad.
La implementación de la encriptación en IBM i es una parte esencial como estrategia de fortalecimiento de la cyberseguridad. Sin embargo, hay muchos detalles o ‘trampas’ que se pueden perder de vista al momento de implementar esquemas de cifrado de datos. En esta breve guía, te compartiremos 7 potenciales problemas que debes considerar en tu proyecto de cifrado en el IBM i, y cómo puedes evitarlas con la solución de Assure Encryption.
La encriptación también puede presentar un riesgo operativo para los sistemas IBM i. Para cumplir con las expectativas de nivel de servicio de los usuarios finales, las operaciones con encriptación y des-encriptación deben ser eficientes. Desafortunadamente, para los usuarios de IBM i que utilizan la encriptación nativa del sistema, corren el riesgo de que las bibliotecas proporcionadas en el sistema operativo no proporcionen un nivel adecuado de rendimiento.
Tienes que considerar que al encriptar la información, se está agregando una ‘capa adicional’ para consultar o modificar la información, lo que implica más trabajo para el CPU de tu máquina y derivar en demora de procesos o más uso de memoria en tu IBM i.
Incluso con el encriptado en chip, entregado a partir de los servidores POWER8, el rendimiento de las tareas de encriptación y des-encriptación nativa es deficiente. Es importante evaluar el tamaño de sus bases de datos protegidas y la naturaleza de las operaciones por lotes que requieren acceso a datos no cifrados para evitar impactos negativos en las aplicaciones interactivas y trabajos Batch.
¿Cómo puede ayudar Assure Encryption?
Assure Encryption utiliza una biblioteca de encriptación AES para tareas de encriptación y des-encriptación. Esta biblioteca de encriptación AES optimizada es más de 100 veces más rápida que las bibliotecas de encriptación nativas de IBM i en los procesadores POWER7 y más de 50 veces más rápida en los procesadores POWER8.
FieldProc es la función de encriptación automática de IBM i implementada en el nivel de base de datos DB2. Muchos clientes se sorprenden al saber que sus aplicaciones RPG no funcionarán correctamente con Db2 FieldProc para índices encriptados (campos clave).
FieldProc es atractivo para los clientes de IBM i porque no requiere modificaciones en las aplicaciones. Si bien las aplicaciones SQL nativas pueden manejar fácilmente índices encriptados, las aplicaciones RPG no utilizan el motor de consulta SQL nativo (SQE) y no funcionarán correctamente con índices encriptados. Si se encuentra entre la mayoría de los clientes de IBM i que utilizan exclusivamente RPG o tienen una combinación de aplicaciones RPG y SQL, el problema con RPG y los índices encriptados es que representa un obstáculo importante para la encriptación.
Asegúrese de que su estrategia de encriptación pueda admitir índices encriptados o esté preparado para modernizar las aplicaciones RPG para utilizar el motor de consulta SQL nativo.
¿Cómo puede ayudar Assure Encryption?
El problema de los índices encriptados es abordado por el módulo Open Access para RPG SQL de Assure Encryption. Cambiando una línea de código en su aplicación RPG puede usar automáticamente el motor de consulta SQL nativo para el acceso a la base de datos. Esto elimina los cambios de los índices encriptados con la encriptación FieldProc.
Las amenazas internas incluyen el acceso intencional / no intencional y la pérdida de información confidencial.
La pérdida involuntaria de datos es la mayor amenaza interna para la seguridad de sus datos. Copiar datos accidentalmente a una PC o entorno de desarrollo puede dar lugar a un evento de violación de datos notificables. Esto es especialmente cierto cuando los controles de acceso a datos confidenciales solo están controlados por la seguridad nativa de nivel de objeto de IBM i. Por lo cual debería utilizar mecanismos de seguridad nativos de IBM i, pero el acceso a los datos confidenciales des-encriptados también debería controlarse mediante un enfoque de “lista blanca” (white list). Esto ayudará a minimizar el acceso intencional y no intencional de los administradores de seguridad.
Es importante tener en cuenta que no es solo el perfil de seguridad QSECOFR el que tiene todo el acceso a los datos confidenciales. Todos los usuarios con autoridad de All Object (* ALLOBJ) o que adoptan este nivel de autoridad a través de un perfil de grupo o grupo complementario están en riesgo de pérdida intencional o no intencional de datos confidenciales.
¿Cómo puede ayudar Assure Encryption?
Assure Encryption implementa una lista blanca para el acceso controlado a datos confidenciales des-encriptados. Todos los cambios de configuración de las políticas de seguridad se registran en los Journals de auditoría de seguridad de IBM i (QAUDJRN). La lista blanca puede permitirle lograr una separación de funciones efectiva entre los administradores de llaves de encriptación y los administradores de seguridad en la plataforma IBM i.
Las regulaciones de cumplimiento, tales como el estándar de seguridad de datos de PCI (PCI-DSS) y las mejores prácticas de seguridad, requieren que solo los usuarios autorizados tengan acceso a datos confidenciales completamente descifrados. Pero otros usuarios deben tener acceso a las aplicaciones de la base de datos. Esto significa que el enmascaramiento de datos inteligente debe integrarse en sus aplicaciones IBM i.
Como se señaló anteriormente, el enmascaramiento de datos debe basarse en un enfoque de lista blanca (whitelist) y no únicamente en la autoridad a nivel de objeto o base de datos. Debería tener la capacidad de definir reglas de enmascaramiento (ej. enmascarar todos menos los últimos 4 caracteres) y debería poder definir una regla de enmascaramiento predeterminada que se aplique a todos los usuarios no autorizados. Si bien los controles de acceso a filas y columnas (RCAC) pueden proporcionar alguna capacidad de enmascaramiento de datos, debe administrar las autoridades de nivel de usuario individual para implementar este control.
¿Cómo puede ayudar Assure Encryption?
Assure Encryption implementa completamente el enmascaramiento de datos mediante un enfoque de lista blanca y brinda protección para los usuarios con privilegios de All Object (*ALLOBJ) o Administrador de seguridad (*SECADM). Los datos están enmascarados en las rutinas internas de encriptación y los datos completamente expuestos nunca son visibles en el programa de aplicación.
Una de las formas más peligrosas de vulnerar su estrategia de encriptación, es almacenando las llaves de encriptación en el mismo sistema que almacena los datos confidenciales. Esto no se debería hacer bajo ningún contexto y los sistemas IBM i no es una excepción.
Las normas de cumplimiento y las mejores prácticas de seguridad requieren que las llaves de encriptación se almacenen fuera del servidor IBM i, en un almacén de llaves de encriptación diseñado para este propósito. ¿Qué hace que esta sea una de las mejores prácticas de seguridad? Los ciberdelincuentes a menudo pueden lograr escalar los privilegios en un servidor IBM i, dándoles acceso a llaves almacenadas localmente. El almacenamiento de llaves de encriptación fuera del servidor IBM i hace que la vulnerabilidad de los datos confidenciales sea significativamente más difícil.
¿Como puede ayudar Assure Encryption y Alliance Key Manager de Townsend Security?
Assure Encryption se integra a la perfección con Alliance Key Manager de Townsend Security para proteger las llaves de encriptación y así brindar las mejores prácticas de administración de llaves. Alliance Key Manager puede almacenar llaves de encriptación en VMware, la nube (AWS, Azure, IBM Cloud) o un módulo de seguridad de hardware tradicional (HSM) en su centro de datos o como un HSM en la nube. Como solución de gestión de llaves compatible con FIPS 140-2, Assure Encryption con Alliance Key Manager resuelve el problema de gestión de llaves.
La administración de llaves de encriptación es parte crítica de la infraestructura. ¡La pérdida de una llave de encriptación significa la pérdida de sus datos!
Su software de administración de llaves de encriptación debe implementar la duplicación de llaves y la duplicación de políticas de seguridad en tiempo real. En el caso de que el administrador de llaves no esté disponible debido a una falla del hardware o de la red, el cambio a un servidor de llaves secundario debe ser automático, sin interrupción del negocio. Una solución de gestión de llaves basada en la función de llave maestra de IBM i no puede lograr la duplicación en tiempo real ni la protección frente a estos fallos.
¿Cómo puede ayudar Assure Encryption y Alliance Key Manager de Townsend Security?
Alliance Key Manager de Townsend Security implementa la duplicación de claves en tiempo real en uno o más servidores de claves de respaldo. La implementación de la duplicación es bidireccional, lo que significa que los cambios realizados en las claves o las políticas de acceso en el servidor secundario se reflejan en el servidor de producción cuando vuelve a estar en línea. Los productos de alta disponibilidad que ofrecemos, como Assure Quick-EDD, son compatibles con esta estrategia de respaldo.
Ninguna política o solución de seguridad puede ser eficaz de forma independiente, y esto incluye la encriptación y la gestión de llaves. Una buena estrategia de gestión de llaves y encriptación implica:
El uso de Soluciones de gestión de eventos e información de seguridad (SIEM) es muy recomendable como parte de su estrategia de monitoreo y alerta. Es importante asegurarse que todo el acceso a las llaves de encriptación esté completamente auditado y registrado.
¿Cómo pueden ayudar Assure Encryption y LogAgent?
Assure Encryption y Alliance Key Manager implementan el registro completo de todos los aspectos de la administración de llaves y el servidor en el que se ejecuta, transmitiendo registros a una solución SIEM en tiempo real. El módulo de Encriptación de Assure Security registra completamente todas las operaciones administrativas y las tareas de descifrado en el Journal de auditoría de seguridad de IBM i (QAUDJRN).
¡La encriptación y la gestión de llaves no tienen por qué ser peligrosos o complejos! Con los puntos anteriores sobre la encriptación y la gestión de llaves para IBM i, le ayudamos a desarrollar un roadmap para un cifrado seguro y exitoso.
Pero la encriptación es solo un componente de una solución de seguridad completa de mejores prácticas para su sistema IBM i. En TIMWare somos expertos en la implementación y configuración de herramientas de seguridad líderes como Assure Security de Precisely.
Este artículo fue originalmente publicado en el blog de Precisely