Gerenciamento de chaves do Edge Encryption

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • Você é responsável por fornecer e gerenciar as chaves de criptografia usadas pelo Edge Encryption.

    Este tópico se refere a chaves para o produto Edge Encryption. Se estiver procurando informações sobre o Key Management Framework, que pode ser usado com o Criptografia em nível de coluna, consulteKey Management Framework.

    Ao obter e criar chaves de criptografia compatíveis com os tipos de criptografia usados pelo Edge Encryption, considere o seguinte:
    • Se deve ser usado o AES de 128 bits ou o AES de 256 bits. Você deve definir uma chave de criptografia AES de 128 bits padrão, mesmo que ela não seja usada.
    • Se deve ser usado o sistema de arquivos, o Java KeyStore ou o Enterprise Key Management (EKM).
    • Quando girar chaves de criptografia.
    • Quando e se um trabalho de criptografia em massa deve ser usado para criptografar novamente os dados usando a nova chave.

    Antes de remover uma chave dos arquivos de configuração de proxy e do repositório de chaves, é essencial descriptografar todos os dados na instância que usa a chave. É possível fazer isso adicionando uma nova chave de criptografia e programando um trabalho de rotação de chave em massa.

    Repositórios de chaves

    O Edge Encryption é compatível com os seguintes tipos de armazenamento de chave.
    Repositório de arquivo
    As chaves são armazenadas em um arquivo em um sistema de arquivos que pode ser acessado pelo proxy do Edge Encryption. As chaves de criptografia armazenadas em um arquivo não são criptografadas, portanto, é sua responsabilidade proteger esses arquivos.
    Java KeyStore
    As chaves são armazenadas no JCEKS KeyStore do Java. Um Java KeyStore é protegido por senha, portanto, é mais seguro do que armazenar chaves em um arquivo no repositório de arquivos. Um único Java KeyStore pode armazenar várias chaves e as elas são identificadas por um alias de chave, facilitando o gerenciamento de várias chaves.
    Enterprise Key Management (EKM)
    As chaves são armazenadas e recuperadas com os sistemas de gerenciamento de chaves SafeNet KeySecure ou Unbound Technology.

    O proxy do Edge Encryption é fornecido com o arquivo do Java JCEKS KeyStore chamado keystore.jceks no diretório do repositório de chaves. Este arquivo do repositório de chaves contém a chave pública da ServiceNow usada para validar regras de criptografia assinadas pela ServiceNow.

    Nota:
    Se estiver usando um repositório de chaves diferente do sistema de base Java JCEKS KeyStore, você deverá importar a chave pública da ServiceNow para o repositório de chaves. O alias da chave pública é servicenow.

    Além das chaves de criptografia, o Java JCEKS KeyStore é usado para armazenar o par de chaves RSA para assinar digitalmente a configuração de criptografia e as regras de criptografia armazenadas na instância, além do certificado digital que o proxy do Edge Encryption usa para estabelecer uma conexão segura com os navegadores e outros clientes.