Criptografia de campo Enterprise
Criptografia de campo Enterprise usa o. Estrutura de gestão principal( KMF) para permitir que você personalize e gerencie como os campos e anexos são criptografados e descriptografados em sua instância. Uma assinatura é necessária para usar Criptografia de campo Enterprise.
Criptografia de campo Enterprise tem como premissa Criptografia de campo e usa o. Estrutura de gestão principal e seu suporte total de funções de gestão de chaves. Criptografia de campo Enterprise fornece proteção de chave e gestão do ciclo de vida da chave para criptografia de campo no nível da aplicação. Todas as chaves são protegidas com uma hierarquia de encapsulamento de chaves, em última análise, enraizada nos FIPS (Federal Information Processing Standards) 140-2-L3 Hardware Security Modules (HSM).
O Criptografia de campo Enterprise oferece a capacidade de gerenciar como os campos compatíveis são criptografados e descriptografados de acordo com as práticas do NIST 800-57. Ele também usa a versão mais atualizada da criptografia em nível de campo, incluindo a integração para proteção e gerenciamento de chave apropriados.
Especificamente, Criptografia de campo Enterprise usa o. KMF módulos de criptografia, concedendo mais controle da criptografia do lado do servidor. KMF verifica a proteção de chave de criptografia de dados apropriada usando hierarquia de chaves e criptografia de envelope. Sua instância criptografa os dados por meio de módulos criptográficos que você configura. É possível criar uma política de acesso para cada módulo e, em seguida, configurar as especificações criptográficas e as políticas de acesso e controlar a gestão do ciclo de vida das chaves.
O Criptografia de campo Enterprise oferece suporte a políticas de acesso ao módulo com base em:
- Escopo
- Função
- Script
- Troca de recursos
- Usuário do Sistema
Termos de criptografia
| Termo | Descrição |
|---|---|
| Suporte para gerenciamento de chave O KMF (Key Management Framework) é fundamental para o Criptografia de campo Enterprise Obtenha os seguintes recursos:
Consulte Referência da estrutura de gestão de chaves para obter detalhes. |
|
| Suporte para chaves fornecidas pelo cliente Um dos maiores benefícios do Criptografia de campo Enterprise é que você pode usar suas próprias chaves de criptografia. Os administradores têm a opção de usar chaves fornecidas pela ServiceNow ou suas próprias chaves fornecidas pelo cliente (CSK) para criptografia no ServiceNow AI Platform®. Você também pode gerenciar o ciclo de vida da chave e decidir quando revogar, girar e desativar as chaves. Depois de habilitar as chaves fornecidas pelo cliente e criar um módulo criptográfico, é preciso baixar um token e uma chave efêmera pública. O token e a chave pública são usados para encapsular sua chave e carregá-la na instância. Para usar chaves fornecidas pelo cliente, consulte Definição das configurações de Edge Encryption para selecionar o tipo de chave e Usando chaves fornecidas pelo cliente com Criptografia de campo Enterprise. |
|
| Suporte para Edge Encryption e criptografia de anexo A criptografia de campo e a criptografia de anexo usam módulos criptográficos e políticas de acesso por meio de Configurações de campo criptografado. O formulário de Configuração de campo criptografado é usado para a escolha de um tipo de criptografia de coluna ou de anexo. Consulte Definição das configurações de campo criptografado para obter mais informações e os tipos de campo compatíveis. |
|
| Suporte para criptografia não determinística. O Criptografia de campo Enterprise é compatível com a criptografia não determinística para maior segurança. Se o sistema criptografar os mesmos dados mais de uma vez, os textos cifrados serão diferentes a cada vez. A criptografia não determinística está disponível com a criptografia AES (Advanced Encryption Standard) com CBC (Cipher Block Chaining). Você pode habilitar este recurso por meio da opção Preservação de igualdade na fase de Definição de algoritmo da especificação criptográfica. Crie uma especificação criptográfica para um módulo criptográfico e defina um algoritmo de criptografia e gere uma chave. Consulte Criação de um módulo criptográfico para definir os mecanismos usados para operações criptográficas e para obter mais informações sobre como habilitar a criptografia não determinística. |
|
Resource Exchange Criptografia de campo Enterprise chave de instância para instância de maneira segura usando as APIs criptográficas KMF para fornecer confidencialidade, integridade, autenticação e não recusa. Resource Exchange é um recurso KMF que oferece a capacidade de trocar recursos entre instâncias de maneira segura. Consulte Troca de recursos do Key Management Framework para obter detalhes. |
O Criptografia de campo Enterprise oferece suporte a clientes no local. Ele não é compatível com a Separação de domínios.
Suporte para campos criptografados adicionais
A versão padrão de Criptografia de campo está limitado a cinco colunas criptografadas. Criptografia de campo Enterprise oferece suporte a um número ilimitado de colunas criptografadas.
Informações sobre campo compatíveis
- Anexos
- Data
- Data/Hora
- HTML
- Diário
- Entrada do diário
- Lista de Diários
- Telefone
- Texto de cadeia de caracteres
- Campo Traduzido
- HTML traduzido
- Texto Traduzido
- URL
Criptografia de anexo
- Criptografia de anexo por padrão
Clientes que usam Criptografia de campo Tenha anexos criptografados por padrão em tabelas que tenham um tipo de Configuração de campo criptografado (EFC) ativo Attachment.
Essa criptografia padrão definida pela configuração EFC significa que os administradores não precisam declarar manualmente que um anexo deve ser criptografado no carregamento dessas tabelas.
- Os administradores podem proibir os usuários de anexar arquivos não criptografados
- Para obter detalhes, consulte Impedir que usuários anexem arquivos não criptografados.
- Recusar criptografia padrão
Se você não quiser que os anexos sejam criptografados por padrão com base na configuração EFC, é possível recusar essa opção entrando em contato com o suporte da ServiceNow.
Para recusar este recurso, crie um caso junto ao suporte da ServiceNow e inclua esta declaração no comentário do registro do caso:
"Eu [nome do cliente] entendo que estou solicitando que a ServiceNow desative uma prática recomendada de segurança para anexos, e que a [empresa do cliente] assume qualquer risco adicional relacionado à configuração e ao uso de anexos não criptografados na aplicação ServiceNow."
Suporte de API
O Criptografia de campo Enterprise atualiza as APIs setDisplayValue() e setValue() para que possam inserir dados criptografados de campos criptografados. Ele também permite que getDisplayValue() e getValue() retornem valores de texto não criptografado.
O script a seguir ilustra essas mudanças de API quando a descrição resumida do incidente é criptografada:
var gr = new GlideRecord('incident'); //creates a new incident
gr.setValue('short_description','test123'); //sets the value to test123
var sys_ID = gr.insert(); //inserts the record in the Incident table.
gs.info(gr.getValue('short_description')); //displays the unencrypted value
Ao usar getValue() para obter texto criptografado, o script não retorna mais o texto cifrado. O script exibe o texto sem formatação, supondo que o usuário tenha acesso ao módulo criptográfico. Para usuários que não têm acesso ao módulo criptográfico, getValue() exibe o texto cifrado.