Llegamos a ustedes gracias a:



Reportajes y análisis

Herramientas de gestión de claves

[28/04/2014] El cifrado es una de las mejores maneras de prevenir los terribles dolores de cabeza que muchas empresas de alto perfil han experimentado con datos robados. Incluso si los hackers experimentados son capaces de penetrar en un sistema, tener los datos cifrados puede significar que no se lleven nada útil.
Pero el cifrado puede colocar una gran carga en la red y sus usuarios. No es demasiado difícil de cifrar los datos, pero asegurar el acceso a los archivos protegidos a los usuarios autorizados, manteniendo a todos los demás a distancia, es extremadamente complicado. Las organizaciones pequeñas pueden ser capaces de gestionar los esquemas de cifrado de forma manual, pero para nada más allá de unas pocas docenas de usuarios, la tarea de hacer eso sin ayuda se convierte en monumentalmente difícil.
Introduzca sistemas de gestión de claves. Probamos tres: KeySecure de SafeNet; SecureDoc Enterprise Server de WinMagic; y Encryption Management Server de Symantec.
El KeySecure de SafeNet viene como appliance o en forma virtualizada, que se ejecuta en la nube. KeySecure está diseñado para gestionar productos de cifrado de otros fabricantes, por lo que es una buena apuesta si su empresa dispone de uno o más productos de cifrado ya desplegados. Puede administrar las claves para las unidades de disco, los dispositivos de backup en cinta, SAN, sistemas cliente y aplicaciones virtuales.
El SecureDoc Enterprise Server es una buena opción si está interesado en el cifrado de datos en dispositivos móviles. SecureDoc también va más allá de la gestión de claves de cifrado; su consola de administración le permite configurar las políticas de seguridad tales como la autenticación de contraseña para los dispositivos Android y iOS.
El Symantec Encryption Management Server proporciona una suite de programas diseñada para ayudar con todos los aspectos de la encriptación, incluyendo el cifrado de unidades, cifrado de punto final, correo electrónico de gateway, correo electrónico de escritorio y cifrado de compartición de archivos. A diferencia de Key Secure, la suite de Symantec solo gestiona sus propios componentes.
Qué fue lo que buscamos
Un sistema de gestión de claves de cifrado se supone que hace un seguimiento de todas las claves válidas que los usuarios puedan presentar para obtener acceso a sus archivos cifrados.
Diferentes programas de gestión manejan esto en una variedad de formas, pero en general todos ellos incluyen el proceso de emisión de nuevas claves, según sea necesario, haciendo seguimiento del número de claves válidas en el lugar, y derogando claves cuando se requiere, como cuando un empleado deja la organización.
Además, los programas robustos de gestión de claves pueden establecer diferentes niveles de permiso para que una clave específica solo le dé al usuario acceso a lo que necesita y nada más. También pueden registrar cuándo, cómo y dónde se están utilizando las claves, todo lo cual podría desenmascarar un abuso o infracción en curso mientras sucede.
Algunos programas ofrecen pistas de auditoría fáciles de entender y ayudan a los administradores a establecer políticas de red. Y algunos pueden descubrir automáticamente nuevos dispositivos y nuevas aplicaciones que tienen la capacidad de almacenar o de estar protegidas por un proceso de cifrado, proporcionando a los administradores la capacidad de configurar y proteger los activos de la red desde el momento en que entren en funcionamiento hasta el momento en que se desmantelan.
La mayoría de los proveedores de gestión de claves de cifrado tratan de especializarse en un aspecto de cifrado, como en toda la unidad de almacenamiento, el e-mail o la protección basada en archivos. Es por eso que hemos probado cada proveedor para esta revisión basados, en primer lugar, en las funciones básicas de la emisión de claves de cifrado para los nuevos usuarios y dispositivos, y luego en la posibilidad de rescindirlas según sea necesario. Más allá de eso, hemos probado las funciones que se agregan a esa plataforma básica.
En todos los casos, una interfase de usuario estable y amistosa fue primordial. La gestión de claves de cifrado no es una cosa fácil de lograr, y hay mucho en juego en el éxito o el fracaso. Como tal, la interfase debe estar limpia y ser capaz, de modo que los administradores puedan hacer frente al problema, no luchar con su solución elegida.
Los servidores de gestión de claves se probaron utilizando programas de tipo oficina normales en el lado del cliente, que se ejecutan en Windows y Linux. Si la función estaba disponible, a cada programa se le pidió emitir claves para los dispositivos móviles que funcionan con Android, Blackberry y sistemas operativos iOS. Se dio una gran cantidad de peso a la facilidad con que se pudo realizar cada tarea, qué nivel de informes y auditoría estuvieron disponibles, y lo difícil que fue configurar y mantener todo el sistema. En todos los casos se asumió que el cifrado real era válido y no se hizo ningún intento de romperlo, sobre todo teniendo en cuenta que con el cifrado AES de 256 bits, se considera imposible hacerlo.
A continuación los resultados individuales:
 
KeySecure de SafeNet
El dispositivo KeySecure de SafeNet es como un seguro que protege los datos clave del cifrado. Puede ser comprado como un appliance, incluyendo una variedad fortalecida para ambientes difíciles; o como un dispositivo de infraestructura virtualizada que se ejecuta en un entorno de nube.
Para las unidades KeySecure desplegadas como hardware, hay algunos modelos cuya escala se debe conocer. El KeySecure K 460 es una unidad de 19,3 kilos que puede manejar un millón de claves y mil clientes simultáneos, mientras que la pequeña K150 pesa solo siete kilos y trabaja con 25 mil claves diferentes y 100 usuarios simultáneos. La interfase de gestión entre los dos es casi idéntica, aunque se utilizó el K150 para esta evaluación.
Las organizaciones pueden comprar KeySecure en una variedad de maneras. Por cerca de 75 centavos de dólar por hora, puede ser arrendado y se accede al mismo en la nube, a través de Amazon Web Services. Pero las empresas que necesitan mantener todo el hardware de seguridad in-house pueden comprar un dispositivo físico para su sala de servidores. Según el modelo, puede costar entre 4.700 y 10 mil dólares con hasta tres años de mantenimiento. Eso tiene un valor bastante bueno en todos los casos, especialmente si hay varios esquemas de cifrado que deben ser gestionados.
KeySecure es una plataforma robusta diseñada para administrar otros productos de cifrado, por lo que es una buena opción para las organizaciones que han comenzado a implementar una variedad de soluciones de encriptación; sin embargo, realmente no demanda mucho esfuerzo para manejarlo todo. También podría ajustarse a las organizaciones que tienen una solución de cifrado que les gusta, pero que ha crecido más allá de sus capacidades de gestión de claves, o como un ancla para una nueva implementación que otorga máxima libertad para expandirse de manera independiente de los productos de los fabricantes.
Un appliance KeySecure puede administrar las claves para las unidades de disco de cifrado automático, dispositivos de cintas de backup, aplicaciones virtuales, archivos, entre otros. Trabaja con cualquier dispositivo compatible con el muy popular estándar Oasis Key Managment Interoperability Protocol (KMIP).
En términos de tipos de clave, KeySecure también es neutral y abierto. Desde la consola de gestión, los administradores pueden asignar certificados de datos simétricos, asimétricos, secretos y X.509 con solo unos cuantos clics. Una vez que se crea una clave, es muy fácil de configurar las propiedades de la misma antes de que sea emitida. Por ejemplo, creamos una nueva clave utilizando el algoritmo AES -256. Se le dio un nombre primario y el nombre del propietario de la red. También fue fácil configurar alertas, como si la clave fuera borrada por un usuario, o exportada a un dispositivo móvil.
La gestión de claves individuales es bastante fácil, pero también lo es la configuración de la política de seguridad global para el dispositivo y un esquema de cifrado en una organización. Por ejemplo, puede desactivar la creación y el uso de claves globales, o prevenir que se usen algoritmos no FIPS y tamaños de clave. También es bastante fácil de gestionar el propio dispositivo local KeySecure, desactivando posibles agujeros de seguridad como el uso de FTP para importar nuevos certificados, a menos que eso sea algo que los administradores necesitan utilizar. Si lo hacen, se puede configurar seguridad adicional en torno a ese proceso.
En el lado negativo, la interfase podría ser descrita como algo escasa. Eso es a la vez algo bueno y malo, dependiendo del administrador. En el lado bueno, hace las funciones básicas de gestión muy fáciles de lograr. Pero en el lado negativo, significa que hacer algo realmente complejo probablemente requerirá un poco de entrenamiento.
También hay algunas molestias menores, como la incapacidad para poner espacios al nombrar claves, los usuarios tienen que escribir guiones en lugar de ello, aunque para cualquier persona con alguna experiencia en programación, este es un error que solo será cometido mientras se aprende el uso del sistema. Y la interfase KeySecure no permitirá crear una clave mal configurada. En su lugar se activará una alerta y mostrará cómo solucionar el problema antes de la implementación.
Las organizaciones que prefieran tener un dispositivo de gestión de claves robusto que pueda ser encerrado en un cuarto de servidor seguro para mayor resguardo físico, o de aquellos que no quieran que sus opciones de cifrado se limiten a un solo proveedor, pueden encajar bien con un appliance KeySecure adecuadamente escalado.
SecureDoc Enterprise Server
El SecureDoc Enterprise Server, de WinMagic, viene en un disco, y una vez instalado en un servidor compatible, se puede utilizar para hacer mucho más que administrar las claves de cifrado. SecureDoc puede convertirse en el corazón de un sistema completo de seguridad empresarial para PC con Windows, Macs, Linux o redes mixtas. También se concentra en gran medida de la administración de dispositivos móviles, por lo que encaja naturalmente en oficinas que permiten que los usuarios se conviertan en parte de una fuerza de trabajo bajo el enfoque traiga su propio dispositivo (BYOD).
Después de haber utilizado muchas herramientas WinMagic a lo largo de los años, no me sorprendió encontrar una interfase similar, fácil de usar, con SecureDoc. El corazón del programa es la consola web SES. Desde esa ubicación central, un administrador puede establecer la automatización de muchas tareas requeridas de administración de claves, como reportes diarios y auditoría. La emisión de claves no requiere ningún entrenamiento especial, y el programa hace un buen trabajo al señalar cómo funciona todo, si fuera necesario.
Lo que diferencia a SecureDoc del paquete es el cuidado puesto en la administración de dispositivos móviles, y las claves que van en esos equipos, las cuales son una creciente preocupación en muchos entornos empresariales. Desde la página de bienvenida de la parte MDM de la consola, a los administradores se les da una visión completa de todos los dispositivos móviles que forman parte de la red.
Funciona con dispositivos Android e iOS, y ambos aparecieron en nuestra red de prueba. Además de la simple emisión de claves para estos dispositivos, la consola SecureDoc también permite a los administradores establecer políticas de seguridad como la autenticación de contraseña, y puede alertar a los funcionarios apropiados si alguien trata de eludirlas.
Una característica adicional de SecureDoc, única entre los productos analizados, se llama PBConnex. Cuando se combina con cifrado de disco completo, obliga a los dispositivos a autenticarse en una red en la fase previa al inicio, antes de que un sistema operativo se cargue. Esto puede asegurar que las políticas de seguridad se están aplicando, y no da a los hackers muchas posibilidades de insertar malware o programas de espionaje, ya que la autenticación ocurre antes que el sistema operativo, o cualquier otra cosa, se pueda cargar.
El costo de la Enterprise Server SecureDoc varía con el número de usuarios que puede admitir. Una configuración de entre 500 y 999 usuarios se puede encontrar por alrededor de 6.500 dólares con un año de mantenimiento asegurado, un buen precio para un software de gestión de claves con una interfase fácil de usar basado en la web, y con una concentración en la seguridad de dispositivos móviles. El software SecureDoc sería una buena opción para cualquier organización que esté considerando mudarse a un lugar de trabajo BYOD y que no quiere renunciar a la seguridad en el ínterin.
Symantec Encryption Management Server
Symantec entró en la gestión de cifrado a través de la fusión con PGP Corp. y con GuardianEdge en el 2010. Aprovechando los recursos de esas dos entidades, Symantec elaboró un conjunto homogéneo de programas diseñados para ayudar en todos los aspectos de la encriptación de una red moderna. El corazón de todo el sistema es el servidor de administración de cifrado, que probamos en esta revisión.
Sin embargo, otros componentes que se pueden añadir opcionalmente para mejorar la seguridad incluyen el Drive Encryption, Endpoint Encryption Removable Storage, Gateway Email Encryption, Desktop Email Encryption, File Share Encryption y el programa Command Line, los cuales ayudan con la configuración de procesos en batch y disparadores especiales para proteger los datos en tránsito y en reposo.
Usamos en Encription Management Server con la parte Drive Encryption de la suite, ya que Symantec señala que es como comienzan la mayoría de los usuarios que desean moverse a la encriptación. Esto tiene sentido ya que la encriptación de todo el disco es la forma más fácil de proteger los datos contra el espionaje. Posteriormente, los usuarios pueden agregar nuevos componentes a medida que encuentran valor en las comunicaciones de correo electrónico cifradas, o quieren extender esa protección a los componentes basados en la nube. Agregar nuevos programas al Servidor de Gestión es algo sencillo, ya que están diseñados para trabajar juntos. El servidor principal notificará a los usuarios cuando se añade un nuevo componente a una red. Las claves pueden ser entonces emitidas y compartidas con los nuevos dispositivos después de un breve periodo establecido.
El servidor de administración de cifrado se ha diseñado para funcionar como un appliance en un sistema que se dedica exclusivamente a este fin. Sin embargo, los requisitos del sistema son sorprendentemente ligeros. Los requisitos mínimos son un procesador Pentium 4 de 1.4 GHz, 1GB de memoria y 15GB de espacio libre en el disco duro. El programa se instala y se ejecuta en un sistema operativo independiente construido sobre un núcleo de CentOS. Para el producto Drive Encryption, una máquina cliente típica solo necesita tener un procesador de 233MHz o más rápido y 360MB de espacio libre para manejar el volumen extra que requiere el cifrado. Los clientes pueden estar basados en Linux, Mac o Windows.
La configuración del servidor necesita un poco de tiempo, pero no tan largo como podría ser, debido a lo bien que el programa lo guiará a través de todo lo que tenga que hacer. La guía de configuración es de solo 19 páginas, y realmente no tiene que tener mucho más que eso para las operaciones básicas. Estuve emitiendo claves para probar usuarios, estableciendo sus niveles de permiso, y rescindiéndolas nuevamente a la media hora de haber concluido la configuración.
Una de las mejores cosas de la configuración del servidor es que los administradores pueden gestionar todos los aspectos de la experiencia del usuario. Es muy fácil configurar múltiples formas en que los usuarios pueden recuperar claves perdidas, en función de sus políticas de seguridad, incluyendo dejar que los usuarios lo hagan ellos mismos en determinadas circunstancias. También puede personalizar los mensajes que indican a los usuarios con quién deben comunicarse y qué deben hacer si su clave se pierde o es robada. Como un buen bono, se pueden establecer señales de audio como una opción o como valor predeterminado para los usuarios con discapacidad visual, ayudando a hacer el programa más adecuado en lugares como oficinas de gobierno con requisitos de acceso para usuarios discapacitados.
El servidor de administración de cifrado tiene un muy buen tablero de control que proporciona a los administradores una visión general de lo que está sucediendo dentro de su red, qué claves están en uso y otros metadatos que pueden ser útiles para las auditorías o para configurar políticas de seguridad más precisas en el tiempo. Por capricho, descargué una versión de prueba del programa Email Encryption para ver cómo se ocuparía de esta nueva adición el servidor principal.
El nuevo programa fue reconocido de inmediato y comenzó un proceso de instalación que fue muy similar al de todo el disco. Cualquier usuario que aprenda cómo trabajar una parte de la suite está probablemente 80%, o más, preparado para gestionar cualquier otro componente, lo cual podría ahorrar tiempo en los entrenamientos.
Todo el sistema y todos los componentes se pueden escalar desde unos pocos usuarios a decenas de miles de personas, y cada usuario puede emitir varias claves. El precio es igualmente bastante flexible dependiendo de las opciones. En general, el Symantec Drive Encryption con el Encryption Management Server se ofrece bajo un modelo de licencia perpetua por disco. El precio por una licencia perpetua para 100 discos es de aproximadamente 100 dólares por dispositivo, con descuentos disponibles en base a volumen y programas de compra.
Lo único realmente negativo para algunas compañías podría ser el hecho de que la suite de Symantec es una tienda cerrada. Funciona muy bien, pero solo maneja sus propios componentes. Si una organización ha dedicado un montón de tiempo y dinero a otro esquema de gestión de cifrado, tendría que ser sustituido en su totalidad si se quiere centrar en el Encryption Management Server en su lugar. Tal vez sería mejor para redes que están empezando desde cero, para que puedan crecer y desarrollar sus componentes de cifrado según sea necesario sin reinventar la rueda, o tener que capacitar administradores todas las veces.
John Breeden II, Network World (EE.UU.)