Criptografia em repouso: como funciona no Amazon Keyspaces

A criptografia em repouso do Amazon Keyspaces (para Apache Cassandra) criptografa seus dados usando Advanced Encryption Standard (AES-256) de 256 bits. Isso ajuda a proteger seus dados contra o acesso não autorizado ao armazenamento subjacente. Todos os dados do cliente nas tabelas do Amazon Keyspaces são criptografados em repouso por padrão, e a criptografia do lado do servidor é transparente, o que significa que não são necessárias alterações nos aplicativos.

A criptografia em repouso integra-se com AWS Key Management Service (AWS KMS) para gerenciamento da chave de criptografia usada para criptografar suas tabelas. Ao criar uma nova tabela ou atualizar uma tabela existente, você pode escolher uma das seguintes opções de chave AWS KMS:

• Chave pertencente à AWS: Esta é a opção de criptografia padrão. A chave é de propriedade do Amazon Keyspaces (sem custo adicional).

• Chave gerenciada pelo cliente: a chave é armazenada na sua conta e é você que a cria, detém e gerencia. Você tem controle total sobre a chave gerenciada pelo cliente (cobranças do AWS KMS são aplicáveis).

chave AWS KMS (chave KMS)

A criptografia em repouso protege todos os seus dados do Amazon Keyspaces com uma chave AWS KMS. Por padrão, o Amazon Keyspaces usa uma Chave pertencente à AWS, uma chave de criptografia multilocatário que é criada e gerenciada em uma conta de serviço do Amazon Keyspaces.

No entanto, você pode criptografar suas tabelas do Amazon Keyspaces usando uma chave gerenciada pelo cliente na sua Conta da AWS. Você pode selecionar uma chave do KMS diferente para cada tabela em uma keyspace. A chave do KMS selecionada para uma tabela também é usada para criptografar todos os metadados e backups restauráveis.

Você seleciona a chave do KMS para uma tabela ao criar ou atualizar essa tabela. É possível alterar a chave do KMS de uma tabela a qualquer momento, seja no console do Amazon Keyspaces ou usando a instrução ALTER TABLE. O processo de alternar chaves KMS é facilitado e não exige tempo de inatividade ou causa serviço de degradação.

Hierarquia de chaves

O Amazon Keyspaces usa uma hierarquia de chaves para criptografar dados. Nessa hierarquia de chaves, a chave KMS é a chave raiz. É usado para criptografar e descriptografar a chave de criptografia de tabela do Amazon Keyspaces. A chave de criptografia da tabela é usada para criptografar as chaves de criptografia usadas internamente pelo Amazon Keyspaces para criptografar e descriptografar dados ao realizar operações de leitura e gravação.

Com a hierarquia de chaves de criptografia, você pode fazer alterações na chave KMS sem precisar recriptografar os dados ou afetar os aplicativos e as operações de dados em andamento.

Chave de tabela

A chave de tabela do Amazon Keyspaces é usada como uma chave de criptografia de chaves. O Amazon Keyspaces usa a chave de tabela para proteger as chaves de criptografia de dados internas usadas para criptografar os dados armazenados em tabelas, arquivos de log e backups restauráveis. O Amazon Keyspaces gera uma chave de criptografia de dados exclusiva para cada estrutura subjacente em uma tabela. No entanto, várias linhas da tabela podem ser protegidas pela mesma chave de criptografia de dados.

Quando você define pela primeira vez a chave KMS como uma chave gerenciada pelo cliente, AWS KMS gera uma chave de dados. A chave AWS KMS de dados se refere à chave de tabela no Amazon Keyspaces.

Quando você acessa uma tabela criptografada, o Amazon Keyspaces envia uma solicitação para o AWS KMS usar a chave do KMS para descriptografar a chave de tabela. Ele usa a chave de tabela de texto simples para descriptografar as chaves de criptografia de dados do Amazon Keyspaces e usa as chaves de criptografia de dados de texto simples para descriptografar os dados da tabela.

O Amazon Keyspaces armazena e usa a chave de tabela e as chaves de criptografia de dados fora do AWS KMS. Ele protege todas as chaves com a criptografia Advanced Encryption Standard (AES) e chaves de criptografia de 256 bits. Depois, armazena as chaves criptografadas com os dados criptografados para que estejam disponíveis para descriptografar os dados da tabela sob demanda.

Armazenamento em cache de chave de tabela

Para evitar chamar o AWS KMS para cada operação do Amazon Keyspaces, o Amazon Keyspaces armazena chaves de tabela de texto simples para cada conexão na memória. Quando o Amazon Keyspaces recebe uma solicitação para a chave de tabela armazenada em cache após cinco minutos de inatividade, ele envia uma nova solicitação ao AWS KMS para descriptografar a chave de tabela. Essa chamada captura todas as alterações feitas nas políticas de acesso da chave do KMS no AWS KMS ou no AWS Identity and Access Management (IAM) desde a última solicitação para descriptografar a chave de tabela.

criptografia envelopada

Se você alterar a chave da tabela gerenciada pelo cliente, o Amazon Keyspaces gera outra chave de tabela. Depois, ele usa a nova chave de tabela para criptografar novamente as chaves de criptografia de dados. Ele também usa a nova chave de tabela para criptografar chaves de tabela anteriores que são usadas para proteger backups restauráveis. Esse processo é chamado de criptografia envelopada. Isso garante que você possa acessar backups restauráveis mesmo se você alternar a chave gerenciada pelo cliente. Para obter mais informações sobre a criptografia envelopada, consulte Criptografia de envelope no Guia do desenvolvedor do AWS Key Management Service.

chaves de propriedade da AWS

Chaves pertencentes à AWS não estão armazenadas na sua Conta da AWS. Elas fazem parte de um conjunto de chaves do KMS que a AWS detém e gerencia para serem usadas em várias contas das Contas da AWS. Os serviços da AWS podem usar Chaves pertencentes à AWS para proteger seus dados.

Você não pode visualizar, gerenciar ou usar Chaves pertencentes à AWS, nem auditar seu uso. No entanto, você não precisa fazer nenhum trabalho nem alterar nenhum programa para proteger as chaves que criptografam seus dados.

Não é cobrada taxa mensal nem taxa de uso para usar Chaves pertencentes à AWS, e elas não são contabilizadas com base nas cotas do AWS KMS para a sua conta.

Chaves gerenciadas pelo cliente

Chaves gerenciadas pelo cliente são chaves em sua Conta da AWS que você cria, detém e gerencia. Você tem controle total sobre essas chaves KMS.

Use uma chave gerenciada pelo cliente para obter os seguintes recursos:

• Você cria e gerencia a chave gerenciada pelo cliente, incluindo a configuração e a manutenção de políticas de chaves, políticas do IAM e concessões para controlar o acesso à chave gerenciada pelo cliente. Você pode habilitar e desabilitar a chave gerenciada pelo cliente, habilitar e desabilitar a alternância automática de chaves e programar a chave gerenciada pelo cliente para ser deletada quando ela não estiver mais em uso. Você pode criar tags e aliases para as chaves gerenciadas pelo cliente que você gerencia.

• Você pode usar uma chave gerenciada pelo cliente com material de chave importado ou uma chave gerenciada pelo cliente em um armazenamento de chaves personalizado que você possui e gerencia.

• Você pode usar o AWS CloudTrail e o Amazon CloudWatch Logs para rastrear as solicitações que o Amazon Keyspaces envia ao AWS KMS por você. Para obter mais informações, consulte Etapa 6: Configurar o monitoramento com AWS CloudTrail.

As chaves gerenciadas pelo cliente geram uma cobrança para cada chamada de API, e as cotas do AWS KMS são aplicáveis a essas chaves do KMS. Para obter mais informações, consulte Cotas AWS KMS de recurso ou de solicitação.

Quando você especifica uma chave gerenciada pelo cliente como a chave de criptografia raiz de uma tabela, os backups restauráveis são criptografados com a mesma chave de criptografia especificada para a tabela no momento em que o backup é criado. Se a chave KMS da tabela for alternada, o envelopamento da chave garante que a chave KMS mais recente tenha acesso a todos os backups restauráveis.

O Amazon Keyspaces deve ter acesso à sua chave gerenciada pelo cliente para fornecer acesso aos dados da sua tabela. Se o estado da chave de criptografia estiver definido como desativado ou programado para exclusão, o Amazon Keyspaces não conseguirá criptografar ou descriptografar dados. Como resultado, você não consegue realizar operações de leitura e gravação na tabela. Assim que o serviço detectar que a chave de criptografia está inacessível, o Amazon Keyspaces enviará uma notificação por e-mail para alertar você.

Você deve restaurar a acesso à sua chave de criptografia dentro de sete dias ou o Amazon Keyspaces excluirá sua tabela automaticamente. Como precaução, o Amazon Keyspaces cria um backup restaurável dos dados da tabela antes de excluí-la. O Amazon Keyspaces mantém o backup restaurável por 35 dias. Depois de 35 dias, você não poderá mais restaurar os dados da tabela. Você não é cobrado pelo backup restaurável, mas cobranças de restauração padrão se aplicam.

É possível usar esse backup restaurável e restaurar seus dados para uma nova tabela. Para iniciar a restauração, a última chave gerenciada pelo cliente usada na tabela deve estar habilitada e o Amazon Keyspaces deve ter acesso a ela.

nota

Quando vovê cria uma tabela criptografada usando uma chave gerenciada pelo cliente que está inacessível ou programada para ser excluída antes da conclusão do processo de criação, ocorre um erro. A operação de criação de tabela falha e você recebe uma notificação por e-mail.

Notas de uso de criptografia em repouso

Considere o seguinte ao usar criptografia em repouso no Amazon Keyspaces.

• A criptografia do lado do servidor em repouso está habilitada em todas as tabelas do Amazon Keyspaces e não pode ser desabilitada. A tabela inteira é criptografada em repouso, você não pode selecionar colunas ou linhas específicas para criptografia.

• Por padrão, o Amazon Keyspaces usa uma chave padrão de serviço único (Chave pertencente à AWS) para criptografar todas as suas tabelas. Se essa chave não existir, ela é criada para você. As chaves padrão do serviço não podem ser desabilitadas.

• A criptografia em repouso só criptografa dados enquanto eles estão estáticos (em repouso) em uma mídia de armazenamento persistente. Se a segurança dos dados for motivo de preocupação para dados em trânsito ou dados em uso, será necessário tomar outras medidas:

  • Dados em trânsito: todos os dados no Amazon Keyspaces são criptografados em trânsito. Por padrão, as comunicações com o Amazon Keyspaces são protegidas com a criptografia Secure Sockets Layer (SSL) /Transport Layer Security (TLS).

  • Dados em uso: proteja seus dados antes de enviá-los ao Amazon Keyspaces usando a criptografia do lado do cliente.

  • Chaves gerenciadas pelo cliente: os dados em repouso em suas tabelas são sempre criptografados usando suas chaves gerenciadas pelo cliente. No entanto, as operações que realizam atualizações atômicas de várias linhas criptografam os dados temporariamente usando Chaves pertencentes à AWS durante o processamento. Isso inclui operações de exclusão de intervalos e operações que acessam simultaneamente dados estáticos e não estáticos.

• Uma única chave gerenciada pelo cliente pode ter até 50.000 concessões. Cada tabela do Amazon Keyspaces associada a uma chave gerenciada pelo cliente consome 2 concessões. Uma concessão é liberada quando a tabela é excluída. A segunda concessão é usada para criar um snapshot automático da tabela para proteger contra perda de dados caso o Amazon Keyspaces perca o acesso à chave gerenciada pelo cliente acidentalmente. Essa concessão é liberada 42 dias após a exclusão da tabela.