Jak bezpiecznie i zgodnie z wymaganiami KNF szyfrować dane w chmurze

Instytucje finansowe i bankowe coraz częściej sięgają po rozwiązania z domeny serverless i sztucznej inteligencji. Chmura umożliwia nie tylko automatyzację procesów biznesowych i skalowanie w miarę bieżących potrzeb obliczeniowych, ale też znacząco ułatwia wprowadzanie do organizacji najnowszych technologii.

Zapewne większość z użytkowników IT w sektorze finansowym zna doskonale treść Komunikatu KNF z 23.01.2020 roku opisującego szereg zagrożeń związanych z cyfryzacją usług świadczonych przez nadzorowane przez nią podmioty, w tym ryzyka związanego z ochroną prawnie chronionych informacji. W celu wsparcia nadzorowanych przez siebie podmiotów KNF zdefiniował model referencyjny stosowania usług chmury obliczeniowej.

Model współdzielenia odpowiedzialności

Aby zapewnić odpowiedni poziom bezpieczeństwa, dostawcy usług chmurowych umożliwiają wykorzystanie szeregu mechanizmów, takich jak wieloskładnikowe uwierzytelnianie czy monitoring prób logowania. Warto jednak pamiętać, że w modelu współdzielenia odpowiedzialności pomiędzy dostawcę rozwiązań chmurowych a użytkownika (niezależnie od tego czy to jest rozwiązanie Azure, GCP, Oracle, Orange czy AWS), odpowiedzialność za informacje i dane jest zawsze po stronie Klienta.

Panuje powszechna zgoda, że szyfrowanie to obecnie jedyny rzeczywisty i łatwo weryfikowalny sposób na skuteczne zabezpieczenie informacji – także w chmurze.

Nie powinien zatem dziwić fakt, że jednym z istotnych zagadnień poruszonych w Komunikacie KNF są zalecenia dotyczące kryptografii, w szczególności szyfrowania danych oraz zarządzania kluczami szyfrującymi. KNF bardzo jasno wskazuje, że: „Podmiot nadzorowany powinien zapewnić, że informacje są szyfrowane kluczami generowanymi oraz zarządzanymi przez podmiot nadzorowany”.

Zarządzanie cyklem życia kluczy szyfrujących

Jak zatem wygląda to z perspektywy popularnych usług takich jak AWS, GCP czy Azure, gdzie szyfrowanie danych domyślnie jest wykonywane przy użyciu klucza wygenerowanego przez operatora chmury? Z pomocą przychodzą nam dostępne w chmurach publicznych mechanizmy, umożliwiające zastosowanie kluczy generowanych „lokalnie” w środowisku np. banku i dostarczonych do usługi chmurowej. Bez względu na to czy szyfrujemy dane on-prem czy w chmurze, zabezpieczamy dane będące w ruchu, w spoczynku czy w użyciu, kluczową kwestią w utrzymaniu bezpieczeństwa jest zarządzanie cyklem życia kluczy szyfrujących.

Wyzwanie Klienta

Właśnie z takim wyzwaniem zwrócił się do nas jeden z banków planujący migrację części swoich danych do aplikacji w chmurze. Ściśle wiązało się to z koniecznością dostosowania się do zaleceń KNF oraz z dywersyfikacją miejsca przechowywania danych, a planowane wyniesienie części danych do chmury oznaczało konieczność ich właściwego zabezpieczenia.

Po szczegółowej analizie potrzeb Klienta, wybraliśmy rozwiązania firmy Thales, która należy do globalnych liderów w obszarze szyfrowania danych. Produkty firmy są dobrze znane branży fin-tech i stanowią solidny fundament, na którym można budować bezpieczeństwo organizacji.  Zaproponowana technologia, w połączeniu z naszą wiedzą i doświadczeniem pozwoliła nam wypracować wspólnie z Klientem całą koncepcję wdrożenia, w tym integrację z systemami banku.

Kompleksowe podejście

Przygotowaliśmy kompleksowy projekt, który zapewnia bezpieczne zarządzanie kluczami kryptograficznymi w chmurze, jest zgodny ze standardami, audytowalny i rozliczalny oraz, co ważne w obecnych warunkach, ekonomicznie uzasadniony. Etapy uwzględnione w koncepcji obejmowały:

• zakup i wdrożenie urządzeń na potrzeby zarządzania kluczami kryptograficznymi w chmurze
• zbudowanie architektury HA/DR
• zintegrowanie rozwiązania z Landing Zone
• przygotowanie odpowiednich polityk
• dostarczenie modułów Terraform automatyzujących budowę oraz orkiestrację wybranych usług
• zintegrowanie rozwiązania z istniejącymi procesami CI/CD.

Rozwiązanie

Zaoferowane rozwiązanie składało się z klastra Thales CipherTrust Manager (CTM) pracującego jako platforma Enterprise Key Management, połączonego z klastrem HSM* jako Root of Trust i źródło kluczy.

W trakcie Proof of Concept  zwymiarowaliśmy i zweryfikowaliśmy funkcjonalność zarządzania kluczami w rzeczywistym środowisku Klienta. Pokazaliśmy też, że platforma CDSP** rzeczywiście potrafi współpracować w oczekiwany sposób z chmurą i w pełni realizuje wymagania stawiane przez Klienta przy jednoczesnej zgodności z zaleceniami regulatora.

Wypracowany przez nas model działania, oparty o doświadczenia z innych projektów, dodatkowo obejmował:

• wdrożenie procesu zarządzania kluczami szyfrującymi (m.in. tworzenie, przechowywanie, backup, wykorzystanie, ochronę, niszczenie)
• wdrożenie procesu monitoringu przekazywania kluczy kryptograficznych pomiędzy HSM a innymi usługami, w tym chmurowymi
• wdrożenie monitorowania, rozliczania dostępu oraz wykorzystania kluczy kryptograficznych w procesie szyfrowania/deszyfrowania danych
• wdrożenie mechanizmów kontrolnych, które weryfikują, czy wystąpiły incydenty bezpieczeństwa lub nieprawidłowości w procesach dotyczących zarządzania HSM, CTM i kluczy szyfrujących.

Łatwa integralność ze środowiskami multicloud oraz wysoka skalowalność rozwiązania

Rozwiązanie łatwo integruje się ze środowiskami multicloud, oferuje dużą skalowalność i jest zgodne z wymogami compliance (logi audytowe/audit trail), zapewniając przy tym zarządzanie cyklem życia kluczy szyfrujących oraz możliwość realizacji HYOK*** w zasobach dzierżawionych lub chmurowych.

Wdrożone rozwiązanie spełniło wszystkie oczekiwania Klienta, w szczególności te związane z zaleceniami KNF, zapewniając zgodność z dobrymi praktykami dotyczącymi szyfrowania, kontroli dostępu i rotacji kluczy. Dane Klienta wyniesione do chmury pozostają bezpieczne – jeśli kiedykolwiek dostawca chmury chciałby je odszyfrować – nie będzie miał takiej możliwości.

Nasze kompetencje

Jeżeli w swojej organizacji stykają się Państwo z podobnymi problemami związanymi z bezpieczeństwem swoich danych w chmurze – zachęcamy do kontaktu. Nasze Centrum Kompetencji Cybersecurity jest wyspecjalizowaną jednostką w pełni adresującą projekty związane z cyberbezpieczeństwem. Realizujemy zadania na wszystkich etapach projektu, od analizy potrzeb, poprzez dobór odpowiednich rozwiązań, wdrożenie, integrację aż po utrzymanie systemu. 11 letnie doświadczenie zaowocowało szeregiem partnerstw technologicznych z wiodącymi producentami sprzętu oraz oprogramowania a wielokrotnie nagradzane kompetencje specjalistów Integrated Solutions potwierdzają jedynie profesjonalne podejście do tak wrażliwej kwestii jaką jest bezpieczeństwo cyfrowe. 

Omawiane powyżej przykładowe rozwiązanie można także przetestować w Państwa środowisku – do czego oczywiście zachęcamy.

* Sprzętowe moduły bezpieczeństwa (ang. HSM – Hardware Security Module) firmy Thales, zostały zaprojektowane z myślą o bezpieczeństwie kluczy szyfrujących w całym ich cyklu życia. Wzmocniony system operacyjny, karta kryptograficzna odporna na ataki sprzętowe, szyfrowane kanały komunikacji, wieloskładnikowe uwierzytelnianie oraz zgodność z uznanymi standardami (FIPS 140-2 Level 3, PCI DSS, Common Criteria) uniemożliwiają utratę przechowywanego w nich materiału kryptograficznego.
** CDSP – CipherTrust Data Security Platform usprawnia i wzmacnia zarządzanie kluczami w chmurze i środowiskach korporacyjnych w ramach zróżnicowanego zestawu aplikacji.
*** HYOK – Hold Your Own Key.