Criptografia em nível de coluna para empresas
A CLE (Criptografia em nível de coluna para empresas, criptografia em nível de coluna para empresas) utiliza a KMF (Estrutura de gestão principal, Estrutura de gestão de chaves) para permitir que você personalize e gerencie a forma de criptografia e descriptografia de campos e anexos em sua instância. É necessária uma assinatura para utilizar o Criptografia em nível de coluna para empresas.
A Criptografia em nível de coluna para empresas se baseia na CLE (Column Level Encryption, Criptografia em nível de coluna) e usa a Estrutura de gestão principal e seu suporte total a funções de gestão de chaves. A Criptografia em nível de coluna para empresas oferece proteção de chaves e gestão do ciclo de vida das chaves, proporcionando criptografia de campo em nível de aplicação. Todas as chaves são protegidas com uma hierarquia de encapsulamento de chave enraizada em módulos de segurança de hardware (HSM) FIPS 140-2-L3.
O Criptografia em nível de coluna para empresas oferece a capacidade de gerenciar como os campos compatíveis são criptografados e descriptografados de acordo com as práticas do NIST 800-57. Ele também usa a versão mais atualizada da criptografia em nível de campo, incluindo a integração para proteção e gerenciamento de chave apropriados.
Especificamente, o Criptografia em nível de coluna para empresas utiliza os módulos de criptografia doKMF, concedendo a você mais controle da criptografia do lado do servidor. OKMF garante a proteção da chave de criptografia de dados usando a hierarquia de chaves e a criptografia de envelope. Sua instância criptografa os dados por meio de módulos criptográficos que você configura. É possível criar uma política de acesso para cada módulo e, em seguida, configurar as especificações criptográficas e as políticas de acesso e controlar a gestão do ciclo de vida das chaves.
O Criptografia em nível de coluna para empresas oferece suporte a políticas de acesso ao módulo com base em:
- Escopo
- Função
- Script
- Troca de recursos
- Usuário do Sistema
Termos de criptografia
| Termo | Descrição |
|---|---|
| Suporte para gerenciamento de chave O KMF (Key Management Framework) é fundamental para o Criptografia em nível de coluna para empresas Obtenha os seguintes recursos:
Consulte Noções básicas sobre a estrutura de gerenciamento de chaves para obter detalhes. |
|
| Suporte para chaves fornecidas pelo cliente Um dos maiores benefícios do Criptografia em nível de coluna para empresas é que você pode usar suas próprias chaves de criptografia. Os administradores têm a opção de usar chaves fornecidas pela ServiceNow ou suas próprias chaves fornecidas pelo cliente (CSK) para criptografia no Now Platform®. Você também pode gerenciar o ciclo de vida da chave e decidir quando revogar, girar e desativar as chaves. Depois de habilitar as chaves fornecidas pelo cliente e criar um módulo criptográfico, é preciso baixar um token e uma chave efêmera pública. O token e a chave pública são usados para encapsular sua chave e carregá-la na instância. Para usar chaves fornecidas pelo cliente, consulte Definição das configurações de Edge Encryption para selecionar o tipo de chave e Usar chaves fornecidas pelo cliente com a Criptografia em nível de coluna para empresas. |
|
| Suporte para Edge Encryption e criptografia de anexo A Edge Encryption e a criptografia de anexo utilizam módulos criptográficos e políticas de acesso por meio de configurações de campo criptografado. O formulário de Configuração de campo criptografado é usado para a escolha de um tipo de criptografia de coluna ou de anexo. Consulte Definição das configurações de campo criptografado para obter mais informações e os tipos de campo compatíveis. |
|
| Suporte para criptografia não determinística. O Criptografia em nível de coluna para empresas é compatível com a criptografia não determinística para maior segurança. Se o sistema criptografar os mesmos dados mais de uma vez, os textos cifrados serão diferentes a cada vez. A criptografia não determinística está disponível com a criptografia AES com Cipher Block Chaining (CBC). Você pode habilitar este recurso por meio da opção Preservação de igualdade na fase de Definição de algoritmo da especificação criptográfica. Crie uma especificação criptográfica para um módulo criptográfico e defina um algoritmo de criptografia e gere uma chave. Consulte Criação de um módulo criptográfico para definir os mecanismos usados para operações criptográficas e para obter mais informações sobre como habilitar a criptografia não determinística. |
|
Resource Exchange Criptografia em nível de coluna para empresas chave de instância para instância de maneira segura usando as APIs criptográficas KMF para fornecer confidencialidade, integridade, autenticação e não recusa. Resource Exchange é um recurso KMF que oferece a capacidade de trocar recursos entre instâncias de maneira segura. Consulte Troca de recursos do Key Management Framework para obter detalhes. |
O Criptografia em nível de coluna para empresas oferece suporte a clientes no local. Ele não é compatível com a Separação de domínios.
Suporte para módulos adicionais e políticas de acesso ao módulo
A versão padrão do Criptografia em nível de coluna é limitada a 5 módulos e políticas de acesso ao módulo (MAP). O Criptografia em nível de coluna para empresas oferece suporte a um número maior de módulos e MAPs.
Informações sobre campo compatíveis
- Anexos
- Data
- Data/Hora
- HTML
- Diário
- Entrada de Diário
- Lista de Diários
- Telefone
- Texto de cadeia de caracteres
- Campo Traduzido
- HTML Traduzido
- Texto Traduzido
- URL
Criptografia de anexo
- Criptografia de anexo por padrão
Para clientes que usam a Criptografia em nível de coluna, por padrão os anexos são criptografados em tabelas que têm um tipo de EFC (Encrypted Field Configuration, Configuração de campo criptografado) ativo de Attachment.
Essa criptografia padrão definida pela configuração EFC significa que os administradores não precisam declarar manualmente que um anexo deve ser criptografado no carregamento dessas tabelas.
- Os administradores podem proibir os usuários de anexar arquivos não criptografados
- Para obter detalhes, consulte Impedir que usuários anexem arquivos não criptografados.
- Recusar criptografia padrão
Se você não quiser que os anexos sejam criptografados por padrão com base na configuração EFC, é possível recusar essa opção entrando em contato com o suporte da ServiceNow.
Para recusar este recurso, crie um caso junto ao suporte da ServiceNow e inclua esta declaração no comentário do registro do caso:
"Eu [nome do cliente] entendo que estou solicitando que a ServiceNow desative uma prática recomendada de segurança para anexos, e que a [empresa do cliente] assume qualquer risco adicional relacionado à configuração e ao uso de anexos não criptografados na aplicação ServiceNow."
Suporte de API
O Criptografia em nível de coluna para empresas atualiza as APIs setDisplayValue() e setValue() para que possam inserir dados criptografados de campos criptografados. Ele também permite que getDisplayValue() e getValue() retornem valores de texto não criptografado.
O script a seguir ilustra essas mudanças de API quando a descrição resumida do incidente é criptografada:
var gr = new GlideRecord('incident'); //creates a new incident
gr.setValue('short_description','test123'); //sets the value to test123
var sys_ID = gr.insert(); //inserts the record in the Incident table.
gs.info(gr.getValue('short_description')); //displays the unencrypted value
Ao usar getValue() para obter texto criptografado, o script não retorna mais o texto cifrado. O script exibe o texto sem formatação, supondo que o usuário tenha acesso ao módulo criptográfico. Para usuários que não têm acesso ao módulo criptográfico, getValue() exibe o texto cifrado.