Edge Encryption erkunden
Edge Encryption ist ein Netzwerkverschlüsselungssystem in Ihrem Netzwerk, das vertrauliche Daten während der Übertragung zwischen Ihrem Rechenzentrum und der ServiceNow-Cloud verschlüsselt und entschlüsselt.
Edge Encryption – Beschreibung
Edge wird auch als „clientseitige“ Verschlüsselung bezeichnet und erfordert, dass der gesamte bidirektionale Benutzerverkehr über Proxys geleitet wird, die in Ihrer Infrastruktur verwaltet werden. Sie haben die vollständige Kontrolle über Ihre Schlüsselverwaltung, da die Schlüssel in Ihrem Proxy in Ihrer Infrastruktur gespeichert werden. Now Platform kann Ihren Geheimtext nicht entschlüsseln, um auf Ihre Schlüssel zuzugreifen.
Die Funktion Edge Encryption ist eine zusätzliche Kostenoption, mit der Sie die End-to-End-Verschlüsselung Ihrer Daten und die Schlüsselverwaltung steuern können. Edge Encryption verwendet eine Proxy-Anwendung, die von ServiceNow bereitgestellt und von Ihnen in Ihrem eigenen Netzwerk installiert wird. Diese Proxy-Anwendung tokenisiert bestimmte Datenmuster oder verschlüsselt Zeichenfolgenfelder, Datumsfelder, Datums-/Uhrzeitfelder und Anhangdaten, bevor sie von Ihrer Umgebung an Ihre Instanz gesendet werden. Die Proxy-Anwendung entschlüsselt dieselben Daten ebenfalls nur innerhalb Ihres eigenen Netzwerks mit Schlüsseln, die nur in Ihrem eigenen Netzwerk gespeichert sind.
Die relevanten Verschlüsselungsschlüssel und die Konfiguration sind nur auf dem Edge-Proxy in Ihrem Netzwerk vorhanden und für ServiceNownicht sichtbar. Die Daten werden ab dem Moment verschlüsselt, in dem sie Ihre Umgebung verlassen, und erst beim Abruf entschlüsselt. Zu keinem Zeitpunkt sind die Daten im Nur-Text-Format für Systeme oder Mitarbeiter von ServiceNow zugänglich.
Edge Encryption – Benutzer
Nur ein Benutzer, der über einen Proxy-Server in Ihrem Netzwerk bei der Instanz angemeldet ist, kann verschlüsselte Daten im Klartext anzeigen. Ebenso kann Edge Encryption nur von einem security_admin-Benutzer konfiguriert und verwaltet werden, der sich über einen Proxy-Server in Ihrem Netzwerk bei einer Instanz angemeldet hat.
Da sich der Proxyserver in Ihrem Netzwerk befindet, besitzen und verwalten Sie die Verschlüsselungsschlüssel, und sie werden nie an die Instanz gesendet. Daher werden vertrauliche Daten von ServiceNow niemals im Klartext angezeigt.
Zusätzlich zur Konfiguration des Edge-Proxy und zur Verwaltung von Regeln sind Sie für die üblichen Anforderungen für den Betrieb eines Servers in Ihrer Umgebung verantwortlich (einschließlich Hosting, Routing, Sicherung, DNS-Konfiguration usw.), um Ihre Edge-Proxys zu aktivieren und zu unterstützen.
Verschlüsselung und Tokenisierung
Edge Encryption unterstützt sowohl die Verschlüsselung (durch Verschlüsselungskonfigurationen) als auch die Tokenisierung (durch Verschlüsselungsmuster) für den Schutz Ihrer vertraulichen Informationen.
- Verschlüsselungskonfigurationen
- Sie können einzelne Felder mit Verschlüsselungskonfigurationen verschlüsseln. Edge Encryption unterstützt AES mit 128-Bit- und 256-Bit-Verschlüsselungsschlüsseln. Edge Encryption unterstützt standardmäßige, gleichstellungserhaltende und ordnungserhaltende Verschlüsselungstypen.Neben Anlagen können Sie folgende Feldtypen verschlüsseln:
- Datum
- Datum/Uhrzeit
- HTML
- IP-Adresse
- Journal
- Journaleingabe
- Mehrzeiliger Text
- Einzeiliger Text
- Zeichenfolge
- URL
Hinweis:Wenn dem Aktivitätsstrom ein Journal Feld hinzugefügt wird, das für die Verschlüsselung markiert ist, werden alle Benutzereingaben in das Feld im Aktivitätsstrom verschlüsselt.
Multi-Byte-Zeichen innerhalb der unterstützten Feldtypen können verschlüsselt werden.
Sie können auch die folgenden Servicekatalog-Variablentypen verschlüsseln:- Zeichenfolgentypen
- Einzeiliger Text
- Mehrzeiliger Text
- Breite einzeilige Textzeile
- Datum
- Datum/Uhrzeit
- URL
- HTML
- IP-Adresse
- Verschlüsselungsmuster
- Sie können Verschlüsselungsmuster verwenden, um Zeichenketten zu tokenisieren, die regulären Mustern wie Sozialversicherungs- und Kreditkartennummern entsprechen. Verschlüsselungskonfigurationen sollten zwar die primäre Verschlüsselungsmethode sein, verwenden Sie jedoch Verschlüsselungsmuster als Ergänzung, um vertrauliche Informationen außerhalb verschlüsselter Felder zu schützen.
Edge Encryption auf Now Platform
Edge Encryption fungiert als Gateway zwischen Ihrem Browser und Ihrer ServiceNow-Instanz. Der Datenverkehr Ihres Browsers wird durch das Gateway auf dem Weg zur ServiceNow-Instanz. Das Gateway wiederum ist so konfiguriert, dass ausgehende Daten, die zur Verschlüsselung markiert sind, verschlüsselt werden. Eingehender Datenverkehr wird über das Gateway entschlüsselt, und der Endbenutzer sieht im Browser Klartext. Der Vorteil dieser Implementierung in Bezug auf die Sicherheitskontrolle besteht darin, dass die Verschlüsselung und die Schlüsselverwaltung extern über ServiceNow erfolgen.
Vor- und Nachteile
Wie bei Verschlüsselung auf Spaltenebene Enterprise und der Verschlüsselung auf Spaltenebene führt Edge Encryption aufgrund der zusätzlichen Sicherheit zu funktionalen Einschränkungen innerhalb einer Instanz. Der lokale Edge-Proxy bietet jedoch auch einige zusätzliche Funktionen im Zusammenhang mit der Sortierung im Vergleich zur Verschlüsselung auf Spaltenebene.
- Edge Encryption bietet absolute Kontrolle darüber, wer Ihre Informationen sieht, und verhindert Datenschutzverletzungen.
- Informationen verbleiben auf Ihrem Proxy-Server und verlassen Ihr Netzwerk nie unverschlüsselt.
- Informationen werden während der Übertragung verschlüsselt, bevor sie die Instanz ServiceNow erreichen.
- Sie besitzen und verwalten alle Ihre eigenen Verschlüsselungsschlüssel. Niemand sonst, nicht einmal Mitarbeiter von ServiceNow, kann auf Ihre Schlüssel zugreifen.
- Sie können die Stärke des Verschlüsselungsalgorithmus auswählen: AES-128 oder AES-256.
- Edge Encryption bietet die Möglichkeit, Zeichenfolgen, Datums- und Datums-/Uhrzeitfelder, Anhänge, URLs und Journale zu verschlüsseln.
- Edge Encryption bietet Standard-, Equal- und Order-Preserving-Verschlüsselung von Daten im Ruhezustand innerhalb der Datenbank und der Instanz.
- Mit Verschlüsselungsregeln können Sie benutzerdefinierte Skripts schreiben, die dem Proxy-Server genau mitteilen, was verschlüsselt werden soll und wo diese verschlüsselten Informationen in der Instanz abgelegt werden sollen. Diese Skripts sind nützlich, wenn die Datenstruktur nicht genau mit der Instanz ServiceNow übereinstimmt.
- Mit Verschlüsselungsmustern können Sie Informationen wie Passwörter tokenisieren.
- Edge Encryption erfordert einen zusätzlichen Netzwerk-Hop durch das Edge-Proxy-Cluster und zusätzliche Verarbeitung, was den Datenverkehr verzögern kann. Die zusätzliche Verarbeitungsverzögerung der Anwendung Edge Encryption ist im Vergleich zum Netzwerk-Hop vernachlässigbar.
- Die Verwaltung eigener Verschlüsselungsschlüssel kann komplex und zeitaufwändig sein.
- Sie können maximal zwei Schlüssel verwalten, ohne die Flexibilität zu haben, unterschiedliche Schlüssel für verschiedene Teilmengen von Spalten/Daten oder für verschiedene Rollen zu definieren usw
- Edge Encryption hat den Nebeneffekt, dass der Server oder die Plattform die Daten nicht entschlüsseln kann, um die entschlüsselten Daten zu manipulieren. Daher können Funktionalität und Datenverarbeitung auf Now Platform beim Verschlüsseln von Spalten mit Edge Encryption eingeschränkt sein.
Was Sie wissen müssen, bevor Sie beginnen
Da Verschlüsselung und Tokenisierung die Art Ihrer Daten ändern, kann Edge Encryption sich auf andere Instanzprozesse auswirken. Prüfen Sie vor der Nutzung von Edge Encryption sorgfältig die Auswirkungen auf Ihre Instanz.
Da der Proxy-Server in Ihrem Netzwerk installiert und verwaltet wird, erfordert Edge Encryption eine Netzwerkadministration und -verwaltung. Überprüfen Sie die Netzwerkanforderungen, um eine reibungslose Implementierung sicherzustellen.
Lesen Sie die folgenden Themen, um die Auswirkungen nachzuvollziehen, die Edge Encryption auf Ihre Instanz hat: