Sistema de Gestao de Chaves
O que é Sistema de Gestao de Chaves?
Sistema de Gestao de ChavesServico centralizado que gera, armazena, rotaciona e audita chaves criptograficas em nome das aplicacoes, geralmente apoiado por modulos de seguranca em hardware.
Um sistema de gestao de chaves (KMS) e a ancora de confianca das chaves criptograficas de uma organizacao. Ele cobre todo o ciclo de vida - geracao, armazenamento, distribuicao, rotacao, revogacao, arquivamento e destruicao - e expoe operacoes de cifrar, decifrar, assinar e verificar atraves de uma API, sem entregar a chave em claro. Implementacoes de producao apoiam-se em HSMs validados FIPS 140-2/3 e aplicam politicas baseadas em papeis, aprovacoes por quorum e registos de auditoria invulneraveis. Solucoes comuns incluem AWS KMS, Google Cloud KMS, Azure Key Vault e HashiCorp Vault Transit auto-hospedado. O KMS e a base do envelope encryption, das estrategias BYOK/HYOK e da conformidade com PCI DSS, HIPAA e FedRAMP.
● Exemplos
- 01
Chaves geridas pelo cliente em AWS KMS protegendo dados em S3 e RDS.
- 02
HashiCorp Vault Transit como encryption-as-a-service para microsservicos.
● Perguntas frequentes
O que é Sistema de Gestao de Chaves?
Servico centralizado que gera, armazena, rotaciona e audita chaves criptograficas em nome das aplicacoes, geralmente apoiado por modulos de seguranca em hardware. Pertence à categoria Criptografia da cibersegurança.
O que significa Sistema de Gestao de Chaves?
Servico centralizado que gera, armazena, rotaciona e audita chaves criptograficas em nome das aplicacoes, geralmente apoiado por modulos de seguranca em hardware.
Como funciona Sistema de Gestao de Chaves?
Um sistema de gestao de chaves (KMS) e a ancora de confianca das chaves criptograficas de uma organizacao. Ele cobre todo o ciclo de vida - geracao, armazenamento, distribuicao, rotacao, revogacao, arquivamento e destruicao - e expoe operacoes de cifrar, decifrar, assinar e verificar atraves de uma API, sem entregar a chave em claro. Implementacoes de producao apoiam-se em HSMs validados FIPS 140-2/3 e aplicam politicas baseadas em papeis, aprovacoes por quorum e registos de auditoria invulneraveis. Solucoes comuns incluem AWS KMS, Google Cloud KMS, Azure Key Vault e HashiCorp Vault Transit auto-hospedado. O KMS e a base do envelope encryption, das estrategias BYOK/HYOK e da conformidade com PCI DSS, HIPAA e FedRAMP.
Como se defender contra Sistema de Gestao de Chaves?
As defesas contra Sistema de Gestao de Chaves costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Sistema de Gestao de Chaves?
Nomes alternativos comuns: KMS, Gestao de chaves criptograficas.
● Termos relacionados
- cryptography№ 384
Cifragem por envelope
Padrao em que os dados sao cifrados por uma chave de dados rapida, que por sua vez e cifrada (encapsulada) por uma chave-mestra armazenada num KMS ou HSM.
- cryptography№ 589
Rotação de chaves
Substituição periódica das chaves criptográficas por novas para limitar o volume de dados protegidos por uma única chave e conter o impacto de um comprometimento.
- cloud-security№ 124
Bring Your Own Key (BYOK)
Modelo de gestão de chaves em que o cliente gera ou importa as suas próprias chaves de cifragem para o KMS do fornecedor cloud, em vez de usar chaves criadas por este.