A encriptação de dados em trânsito é atualmente um requisito regulamentar e uma norma de boas práticas de segurança. O problema é que as abordagens tradicionais à encriptação de rede – baseadas em VPNs e IPSec – requerem normalmente uma intervenção profunda na infraestrutura de rede existente, uma configuração complexa e, muitas vezes, actualizações de hardware dispendiosas. A Certes Networks resolve este problema com a sua tecnologia CryptoFlow.
Principais conclusões
- CryptoFlow é uma tecnologia de encriptação de camada 4 que funciona independentemente da topologia da rede
- Não é necessário redesenhar a infraestrutura – funciona como uma sobreposição à rede existente
- A encriptação é transparente para as aplicações e os utilizadores
- As chaves criptográficas são geridas centralmente por um servidor de políticas dedicado
- A solução cumpre os requisitos regulamentares, incluindo os requisitos FIPS 140-2 e da NATO.
Índice
- O problema da encriptação da rede em ambientes empresariais
- O que é o CryptoFlow e qual é a sua diferença em relação a uma VPN?
- Arquitetura técnica – encriptação de camada 4
- Gestão centralizada de chaves e políticas
- Implementação sem redesenhar a infraestrutura
- Conformidade regulamentar e certificação
- Aplicações em vários sectores
- FAQ
- Resumo
O problema da encriptação da rede em ambientes empresariais
As organizações que gerem redes de área alargada (WANs), ligações entre centros de dados ou ligações a sucursais enfrentam uma escolha difícil: como encriptar o tráfego de rede sem prejudicar as operações? As soluções VPN tradicionais baseadas em IPSec requerem configuração em cada dispositivo de rede, muitas vezes não se adaptam aos requisitos de grandes ambientes e criam dependências complexas na topologia da rede.
Um problema adicional é a gestão das chaves criptográficas – nas grandes organizações, o número de chaves, a sua rotação e distribuição tornam-se um projeto operacional por si só. Sem uma boa gestão das chaves, a encriptação deixa de ser eficaz, tornando-se uma mera aparência de segurança.
O que é o CryptoFlow e qual é a sua diferença em relação a uma VPN?
O CryptoFlow é uma abordagem à encriptação de rede desenvolvida pela Certes Networks que, em vez de criar túneis VPN dedicados entre pontos de rede, implementa a encriptação ao nível da camada 4 do modelo OSI – a camada de transporte.
A principal diferença é que o CryptoFlow não altera a topologia ou o roteamento da rede. O tráfego da rede segue os mesmos caminhos que antes, sendo apenas encriptado em tempo real pelos dispositivos Certes colocados na infraestrutura. Para os routers, switches e aplicações, isto é completamente transparente – não se apercebem de qualquer alteração.
Arquitetura técnica – encriptação de camada 4
A cifragem do nível 4 (cifragem do nível de transporte) significa que os dados são cifrados ao nível dos segmentos TCP/UDP, depois de a ligação de rede ter sido estabelecida, mas antes de chegarem à aplicação. Esta abordagem tem várias vantagens importantes. Em primeiro lugar, preserva a visibilidade dos cabeçalhos de rede dos níveis 2 e 3 – a rede pode encaminhar os pacotes normalmente e aplicar políticas de QoS. Em segundo lugar, a encriptação é independente dos protocolos de aplicação – funciona para qualquer tráfego, quer seja HTTP, base de dados ou protocolo OT.
Os dispositivos Certes efectuam a encriptação com algoritmos AES-256-GCM, cumprindo as mais elevadas normas criptográficas, incluindo FIPS 140-2.
Gestão centralizada de chaves e políticas
A base da arquitetura do CryptoFlow é o Certes Policy Server (CPS), um servidor central que gere as políticas de encriptação e as chaves criptográficas. O administrador define quais os fluxos de tráfego que devem ser encriptados, entre que pontos e com que parâmetros – sem ter de configurar cada dispositivo separadamente.
As chaves criptográficas são geradas centralmente, distribuídas de forma segura aos dispositivos e rodadas automaticamente de acordo com uma política definida. Esta automatização elimina um dos maiores problemas operacionais das soluções VPN tradicionais – a gestão manual de chaves.
Implementação sem redesenhar a infraestrutura
A implementação do CryptoFlow resume-se à colocação de dispositivos Certes na infraestrutura de rede – física ou virtual – em linha ou em derivação. Não é necessária qualquer reconfiguração dos routers, switches ou endereçamento IP existentes.
As appliances Certes podem ser implementadas gradualmente – protegendo primeiro as ligações mais críticas e alargando o alcance da encriptação conforme necessário. Esta abordagem minimiza o risco operacional da implementação e permite uma migração gradual para uma infraestrutura encriptada.
Conformidade regulamentar e certificação
A Certes Networks possui as certificações e os algoritmos aprovados exigidos pelos reguladores em sectores com requisitos de segurança rigorosos. A solução cumpre os requisitos FIPS 140-2, um pré-requisito para contratos governamentais e militares nos EUA e em muitos países da NATO. Também suporta os requisitos da diretiva NIS2 para encriptação de dados em trânsito.
Aplicações em vários sectores
No sector financeiro, o Certes protege os dados de transação enviados entre as agências bancárias e o centro de dados, cumprindo os requisitos do PCI DSS para a encriptação de dados de cartões de pagamento. No sector governamental e da defesa, fornece encriptação para ligações entre instalações de diferentes níveis de classificação. Na indústria, protege as redes OT e ICS da interceção de dados por vectores de ataque à rede.
FAQ
O CryptoFlow funciona com todos os tipos de redes? Sim – o CryptoFlow funciona em conexões Ethernet, MPLS, SD-WAN e Internet. É agnóstico em relação à camada de transporte da rede.
A encriptação de camada 4 afecta o desempenho da rede? O impacto é mínimo – os dispositivos Certes são optimizados para encriptação de baixa latência. Para a maioria das aplicações de desempenho, a diferença é impercetível.
Como é que o CryptoFlow se integra com os sistemas de gestão de rede existentes? O Certes Policy Server integra-se com SIEM, SNMP e outras ferramentas de gestão através de APIs e protocolos padrão.
O Certes suporta a segmentação criptográfica? Sim – é possível criar zonas criptográficas isoladas, em que o tráfego entre zonas é encriptado e o tráfego dentro da zona pode não ser encriptado, implementando o princípio do menor privilégio ao nível da rede.
Resumo
O CryptoFlow da Certes Networks é uma solução elegante para um problema difícil: como encriptar o tráfego de rede numa grande organização sem uma dispendiosa remodelação da infraestrutura. A encriptação de camada 4, a gestão central de chaves e a transparência para a rede existente tornam a encriptação segura operacionalmente viável mesmo nos ambientes empresariais mais complexos.
