Como explorar o Edge Encryption
O Edge Encryption é um sistema de criptografia de rede que reside em sua rede e que criptografa e descriptografa dados confidenciais conforme eles trafegam entre o datacenter e a nuvem do ServiceNow.
O que é Edge Encryption
Também conhecido como criptografia do "lado do cliente", o Edge requer que todo o tráfego bidirecional do usuário passe por proxies mantidos em sua infraestrutura. Você tem controle total sobre o gerenciamento de chaves porque elas são armazenadas no proxy na sua infraestrutura. A Now Platform não pode descriptografar seu texto cifrado para acessar suas chaves.
O recurso Edge Encryption é uma opção com custo adicional que fornece a capacidade de controlar a criptografia de ponta a ponta dos dados e o gerenciamento de chaves. O Edge Encryption usa uma aplicação proxy, fornecido pela ServiceNow e instalado por você em sua própria rede. Essa aplicação de proxy tokeniza padrões de dados especificados ou criptografa campos de cadeia de caracteres, campos de data, campos de data/hora e dados de anexo antes de serem enviados do seu ambiente para a sua instância. A aplicação de proxy também descriptografa os mesmos dados, novamente somente em sua própria rede, usando chaves armazenadas somente em sua própria rede.
As chaves de criptografia relevantes e a configuração existem somente no proxy do Edge na sua rede e não estão visíveis para a ServiceNow. Os dados são criptografados a partir do momento em que saem do ambiente e só são descriptografados na recuperação. Em nenhum momento os dados são acessíveis em texto sem formatação por sistemas ou pessoal da ServiceNow.
Quem usa Edge Encryption
Somente um usuário conectado à instância por meio de um servidor proxy em sua rede pode exibir dados criptografados em texto simples. Da mesma forma, somente um usuário security_admin conectado a uma instância por meio de um servidor proxy em sua rede pode configurar e administrar o Edge Encryption.
Como o servidor proxy reside na sua rede, você possui e gerencia as chaves de criptografia e elas nunca são enviadas para a instância. Como resultado, a ServiceNow nunca mostra dados confidenciais em texto não criptografado.
Além da configuração de proxy do Edge e do gerenciamento de regras, você é responsável pelos requisitos usuais de operação de um servidor em seu ambiente (incluindo hospedagem, roteamento, backup, configuração de DNS e assim por diante) para habilitar e oferecer suporte a seus proxies do Edge.
Criptografia e tokenização
O Edge Encryption oferece suporte à criptografia (por meio de configurações de criptografia) e à tokenização (por meio de padrões de criptografia) como um meio de proteger suas informações confidenciais.
- Configurações de criptografia
- Você pode criptografar campos individuais usando configurações de criptografia. O Edge Encryption é compatível com chaves de criptografia AES de 128 bits e AES de 256 bits. O Edge Encryption oferece suporte a tipos de criptografia padrão, de preservação de igualdade e de preservação de ordem.Além dos anexos, você pode criptografar os seguintes tipos de campo:
- Data
- Data/Hora
- HTML
- Endereço IP
- Diário
- Entrada de Diário
- Texto de várias linhas
- Texto de linha única
- Cadeia de caracteres
- URL
Nota:Se um campo de diário a ser criptografado for adicionado ao fluxo de atividades, todas as entradas do usuário no campo serão criptografadas no fluxo de atividades.
Caracteres de vários bytes nos tipos de campo compatíveis podem ser criptografados.
Também é possível criptografar os seguintes tipos de variáveis do catálogo de serviços:- Tipos de Cadeia de caracteres
- Texto de linha única
- Texto de várias linhas
- Texto de linha única larga
- Data
- Data/Hora
- URL
- HTML
- Endereço IP
- Padrões de criptografia
- É possível usar padrões de criptografia para tokenizar cadeias de caracteres que correspondem a padrões regulares, como CPF e números de cartão de crédito. Embora as configurações de criptografia devam ser o principal método de criptografia, use os padrões de criptografia como um suplemento para proteger informações confidenciais encontradas fora dos campos criptografados.
Edge Encryption na Now Platform
O Edge Encryption atua como um gateway entre seu navegador e sua instância da ServiceNow. O tráfego do seu navegador passa pelo gateway em seu caminho para a instância da ServiceNow. O gateway, por sua vez, é configurado para criptografar dados de saída que estão marcados para criptografia. O tráfego de entrada é descriptografado por meio do gateway e o usuário final vê o texto não criptografado no navegador. A vantagem desta implementação sob uma perspectiva de controle de segurança é que a criptografia e o gerenciamento de chaves são tratados externamente a partir da ServiceNow.
Prós e contras
Assim como acontece com o Criptografia em nível de coluna para empresas e o Criptografia em nível de coluna, o Edge Encryption impõe algumas limitações funcionais em uma instância como resultado da segurança adicional. O proxy local do Edge, no entanto, também fornece algumas funcionalidades adicionais relacionadas à classificação quando comparado ao Criptografia em nível de coluna.
- O Edge Encryption fornece controle absoluto de quem vê suas informações e evita violações de dados.
- As informações permanecem no servidor proxy e nunca saem da rede sem criptografia.
- As informações são criptografadas em trânsito, antes mesmo de atingirem a instância da ServiceNow.
- Você mantém e gerencia todas as suas próprias chaves de criptografia. Mais ninguém, nem mesmo o pessoal da ServiceNow, pode acessar suas chaves.
- Você pode escolher a força do algoritmo de criptografia: AES-128 ou AES-256.
- O Edge Encryption inclui a capacidade de criptografar texto de cadeia de caracteres, campos de Data e Data/Hora, anexos, URLs e diários.
- O Edge Encryption fornece criptografia Padrão, de Preservação de igualdade e de Preservação de ordem de dados em repouso no banco de dados e na instância.
- As regras de criptografia permitem gravar scripts personalizados que informam ao servidor proxy especificamente o que criptografar e onde colocar essas informações criptografadas na instância. Esses scripts são úteis quando a estrutura de dados não corresponde exatamente à instância da ServiceNow.
- Os padrões de criptografia permitem tokenizar informações como senhas.
- O Edge Encryption requer um salto de rede extra por meio do cluster de proxies do Edge e processamento extra, o que pode adicionar atraso ao tráfego. O atraso de processamento adicionado da aplicação Edge Encryption é insignificante em comparação com o salto de rede.
- Manter suas próprias chaves de criptografia pode ser complexo e demorado.
- Você pode manter no máximo duas chaves, sem flexibilidade para definir chaves diferentes para diferentes subconjuntos de colunas/dados ou para diferentes funções e assim por diante.
- O Edge Encryption tem o efeito colateral de impedir o servidor ou a plataforma de descriptografar os dados para executar qualquer manipulação dos dados descriptografados. Como consequência, a funcionalidade e o processamento de dados na Now Platform podem ser restritos ao criptografar colunas com o Edge Encryption.
O que saber antes de começar
Como a criptografia e a tokenização mudam a natureza dos dados, o Edge Encryption pode afetar outros processos de instância. Antes de usar o Edge Encryption, considere com cuidado o impacto em sua instância.
Como o servidor proxy é instalado e mantido em sua rede, o Edge Encryption requer administração e gerenciamento de rede. Revise os requisitos de rede para garantir uma implementação sem problemas.
Analise os tópicos a seguir para entender o impacto do Edge Encryption em sua instância: