Pular para o conteúdo principal

Criptografia de software Commvault

Renata Bergamo Bianchini da Silva
  • Atualizado

 

Criptografia e Segurança

Backup Winov

Baseada no atendimento humanizado em todos os pontos de contato, a Winov entrega a tecnologia dos melhores fornecedores do mercado aliada ao suporte feito por pessoas de verdade.

 

Sumário do documento

 

1. Gerenciamento de chaves de criptografia Commvault

2. Fluxo de dados para operações de gerenciamento de chaves

3. Criptografia de software Commvault Winov

4. Gateway de rede Commvault e Conexão túnel

5. Segurança do Backup Winov

6. Data Center Winov Backup

 

 

1. Gerenciamento de chaves de criptografia Commvault

O gerenciamento de chaves pelo software Commvault inclui a capacidade de gerar chaves de criptografia aleatórias para os dados armazenados e também de gerenciar o armazenamento seguro dessas chaves.

 

2. Fluxo de dados para operações de gerenciamento de chaves

A. Armazenamento;

  1. O software gera KEK (Público-Privado) para o pool de armazenamento.
  2. O software envia uma solicitação ao KMS para gerar a chave mestra e, em seguida, o KMS gera a chave mestra.
  3. O software criptografa a parte privada da KEK usando a chave mestra e, em seguida, armazena a KEK criptografada no banco de dados CommServe.
  4. O software armazena o ID da chave mestra no banco de dados CommServe. (Para KMS integrado, a chave mestra embaralhada também é armazenada no banco de dados CommServe).

 

B. Backup;

 

  1. O software gera uma chave de criptografia de dados (DEK) para o cliente.
  2. O software criptografa a DEK usando a parte pública da KEK e, em seguida, armazena a DEK criptografada no banco de dados CommServe.
  3. O CommServe envia DEK ao cliente. O software protege o DEK na rede usando a senha da rede do cliente.
  4. O cliente criptografa os dados de backup usando DEK.
  5. O cliente envia dados criptografados para o MediaAgent .
  6. O MediaAgent grava dados criptografados no armazenamento de backup de destino.

 

C. Restore

  1. O servidor CommServe busca a parte privada criptografada da KEK e a DEK criptografada do banco de dados CommServe.
  2. O servidor CommServe busca a chave mestra do KMS.
  3. O servidor CommServe descriptografa a KEK privada usando a chave mestra.
  4. O servidor CommServe descriptografa DEK usando Private KEK.
  5. O servidor CommServe envia DEK ao cliente. O software protege o DEK na rede usando a senha da rede do cliente.
  6. O MediaAgent envia dados criptografados ao cliente.
  7. O cliente descriptografa os dados usando DEK.

Link de referência.

https://documentation.commvault.com/2022e/expert/7804_commvault_management_of_encryption_keys.html

Documento: https://drive.google.com/file/d/15t7dJO4K5hCsUNvYqM2M_I3ZFZhAeRbj/view?usp=drive_link

 

3. Criptografia de software Commvault Winov

A criptografia do software usa vários algoritmos com diferentes comprimentos de chave. Todos os algoritmos atendem ao padrão de criptografia avançada do Instituto Nacional de Padrões e Tecnologia dos EUA (NIST).

Na Winov, utilizamos a seguinte segurança lógica no ambiente Commvault com Criptografia blowfish com 128 bits, os dados permanecem criptografados em repouso.

 

A. Criptografia aplicada;

    1. Ambiente de backup Winov



A tabela a seguir lista o algoritmo e seu comprimento de chave:

Link de referência: https://documentation.commvault.com/2023e/expert/59006_supported_algorithms_for_software_encryption.html

 

4. Gateway de rede Commvault e Conexão túnel

O gateway de rede Commvault é uma configuração na qual um agente Commvault dedicado é colocado em uma rede de perímetro configurada para permitir conexões (de redes internas e externas) à rede de perímetro. O gateway de rede (o agente em execução na rede de perímetro) autêntica, criptografa e permite que as conexões de túnel que ele aceita conectem os clientes que operam fora da rede privada aos clientes que operam dentro dela.

 

 

 

 

 

5. Segurança do Backup Winov

  1. Identificação por dois fatores (MFA):

Os acessos ao portal Commvault, é exigido duplo fator de autenticação, cadastrados previamente os e-mails e enviando um código de acesso com 6 dígitos com duração de 30 minutos, também podendo utilizar para autenticação Google Authenticator e Microsoft Authenticator.

 

 

  1. Senha de acesso ambiente de Backup Winov:

Para ter acesso a gerência do Portal de Backup Winov, é necessário cadastrar uma senha com complexidade de no mínimo 12 caracteres com letras, números e caracteres especiais:

 

Evidência da ferramenta de Backup Winov:

 

As senhas cadastradas no portal ficarão armazenadas no Banco de Dados interno da Ferramenta de Backup Winov, as senhas não poderão ser repetidas no intervalo de 15 alterações.



As senhas de acesso ao portal de Backup Winov, devem ser alteradas a cada 90 dias.

 

  1. Segurança de borda:

Em nosso ambiente de Firewall aplicamos alguns filtros para garantir maior segurança nos acessos do ambiente de Backup Winov.

 

Evidência da regra do Firewall:

 

 

6. Data Center Winov Backup

São Paulo 3 – Localização Estratégica:

Fácil acesso às principais rodovias e aeroportos da região.

Osasco – SP

 

Padrão de segurança do Data Center onde os equipamentos estão alocados:

 

Conectividade

  • Data Centers Carrier Neutral.
  • Rede de fibra óptica própria.
  • PIX São Paulo e conexão direta com PIX Campinas.

 

Segurança

  • Monitoramento 24×7 por câmeras CFTV com detecção de movimento, gravação e armazenamento digital.
  • Dupla autenticidade: biometria e cartão magnético.

 

Energia

  • Subestação própria redundante Tri-bus, com três linhas abastecendo cada módulo.
  • Sistema de refrigeração a diesel com autonomia de 48 horas sem reabastecimento.

 

Refrigeração

  • Sistema de água gelada chillers a ar.
  • Corredores segregados para manutenção de equipamentos.

 

Certificações de Compliance

  • TR3
  • ISO
  • 14.001 
  • 27.001
  • 37.001
  • 50.001
  • PCI-DSS
  • SOC 1
  • SOC 2
  • SOC 3
  • Type II

 

Comentários

0 comentário

Artigo fechado para comentários.