Plataforma de Proteção de Dados

Ciphertrust
Carolina Paixão
RSM– Thales Brasil

cpl.thalesgroup.com
 O Thales Group é voltado para sistemas de inteligência

Aeronáutica Espaço Transporte Defesa Segurança

terrestre

Módulos Sistemas de defesa

de segurança de avançados
hardware
nº1 nº1 nº2 nº2 nº2 nº3
n°1 na Europa
para sensores de do mundo do mundo do mundo do mundo do mundo
do mundo defesa (satélites civis)
e sistemas de missão

2
Pública
 Plataforma de Proteção de Dados
Introdução

cpl.thalesgroup.com
 Realidade e Dores Atuais – Muitas soluções isoladas para proteção

Storage Applications File Data Cloud Databases Virtual

Systems & Web Servers Servers Lakes Storage Machines

Cada caso requer infraestrutura, gerenciamento e conhecimento específicos

Complexo • Ineficiente • Alto Custo

44
Pública
 Conformidade a LGPD - Lei Geral de Proteção de Dados Pessoais, 13.709/2018

A Thales pode ajudar a cumprir com os principais

requisitos:

 Anonimização de dados pessoais e sensíveis

com técnicas de criptografia, mascaramento
e / ou toquenização

 Controle de acesso aos dados sensíveis

 Monitoramento, registros e relatórios de

todos os acessos aos dados

 Proteção e gerenciamento das chaves de

criptografia que permitem acesso ao dado

5
Pública
 Empresas precisam de uma abordagem unificada para proteção de dados

Descobrir Proteger Controlar

Data wherever it Sensitive data with Access to the data and
resides and encryption centralize
classify it or tokenization key management

6
Pública
 Capacidades e benefícios da plataforma CipherTrust

Simplifique a segurança dos dados e acelere o tempo

de conformidade
 Descubra, classifique e proteja dados confidenciais
para atender aos regulamentos de privacidade e
segurança de dados

Segurança Multi-Cloud
 Suporte a ambientes multi-cloud com gestão centralizada
de chaves para AWS, Azure, Google Cloud, Salesforce e
IBM cloud
 Clusters hibridos para simple migração a nuvem

Oferece Alta Segurança

 Alta garantia de chaves com HSM interno ou externo
 Certificação FIPS 140-2 L2/L3 e conectores com
validação FIPS 140-2 L1

7
Pública
 Produtos da Plataforma CipherTrust

Thales CipherTrust Data Security Platform

Discovery Encryption and Tokenization Key management

Discovery Transparent Database Application Tokenization Enterprise Cloud

and Classification Encryption Protection Data Protection Key Management Key Manager

8
Pública
 CipherTrust Data Security
Platform Products
CipherTrust Manager

cpl.thalesgroup.com
 CipherTrust Manager – Gerenciamento Centralizado
▌Portfólio de proteção de dados
Tokenização
Criptografia no nivel de arquivo, aplicação
e banco de dados
▌Gerenciamento de Chaves
3rd party integrations
Desenvolvimento Applicativo
HA Cluster Nivel de aplicação
Controle de acceso a chaves e dados
Ciphertrust
Manager
Armazenamento fisico ou virtual
Suporte amplo à APIs : REST / KMIP /
NAE XML

10
Pública
 Multi-tenant com separação de funções

Enterprise (Ciphertrust)
Administrator

Domain Administrator (Financing) Domain Administrator (Insurance) Domain Administrator (Investment)

Key Policy Host Audit Key Policy Host Audit Key Policy Host Audit
Custodian Manager Admin Role Custodian Manager Admin Role Custodian Manager Admin Role

Os domínios podem ser Separação de funções para

localização, unidade gerenciamento de chaves,
de negócios, cliente, controles de segurança,
departamento criptografia e auditoria

11
Pública
 CipherTrust Manager– Totalmente flexivel

▌O CipherTrust Manager pode ser instalada em diversas plataformas e ambientes:

VMware
AWS
Microsoft Azure
Oracle VM
Oracle Virtual Box
OpenStack
Google
Hyper-V
Oracle Cloud

12
Pública
 Administração de Chaves centralizada com o CipherTrust Manager

Database (TDE) key management

Data storage vendors,
Big Data

TDE Key
Management
Client

KMIP
Clients
CipherTrust
PKCS#11 Cloud Key Manager

Home-grown apps, web servers, CAs

13
Pública
 CipherTrust Manager: ecosistema tecnologico

File & Disk CASB Backup &

Storage & SIEM
Encryption Storage Big
Archive Tools
Cloud Data
Identity
Services
Management
Database CipherTrust Manager
Encryption
Data at Rest

Transparent Application Data Tokenization

Encryption Protection ProtectDB Data in Motion

14
Pública
 CipherTrust Data Security Platform
Products
Data Discovery and Classification

CipherTrust Data
Discovery and
Classification

cpl.thalesgroup.com
 O primeiro passo para um programa efetivo de privacidade de dados

Find sensitive data Thales CipherTrust Data Analytical outcomes

Discovery and Classification

Cloud storage

Data Remediation

Databases

Specific Dashboards for

CEO, CISO, IT Admin

Files shares, NAS

Reporting &
Compliance

Big Data

16
Pública
Descoberta de Dados Integrada à Correção é uma Estratégia Vencedora

Remediation Policy

Detailed
reports
Risk
Discovery
analysis

Classification

17
17
Pública
 Definir Políticas, Executar Varreduras e Classificar Dados

1 3 5

Policy Discovery Classification

2 4 6

18
Pública
 Compreender Dados e Riscos, Proteger Ativos Sensíveis

Transparent
Tokenization
Encryption

7 9

Risk Analysis Reports and Dashboard Remediation

19
Pública
 CipherTrust Data Security Platform
Products
Transparent Encryption

CipherTrust
Transparent Encryption

cpl.thalesgroup.com
 Protegendo Dado em Nível de Sistema

• Endereça até 80% dos casos de uso

• Protege Dado em Repouso (Criptografia)
• Restringe e controla o acesso ao dado por
necessidade de negócio
• Rastreia e Monitora todo acesso ao dado

• Dado Estruturado
• MSSQL, Oracle, MySQL
• Hadoop, Teradata, SAP HANA,
Cloudera, MongoDB, IBM, outros
• Dado não Estruturado
• Pasta, documentos, PDFs, planilhas e
etc

21
Pública
 CTE - Ciphertrust Transparent Encryption
Privileged Approved Processes
Users and Users
*$^!@#)( John Smith
-|”_}?$ 401 Main
%-:>> Street

Encrypted Clear Text

& Controlled
Ciphertrust Security
User
Intelligence
CTE Agent
Logs to SIEM User Allow/Block
Encrypt/Decrypt
Encrypted
Application & controlled

Cloud Admin,
Database Storage
Admin, etc
DSM File Volume
Systems Managers
Ciphertrust
Data Security Manager Storage *$^!@#)(
virtual or physical appliance -|”_}?$%-:>>
Server Big Data, Containers,
Databases, Files,
Cloud Storage

• Transparente para o usuário final, protege o sistema e os dados em repouso

• Não são necessárias alterações nos sistemas ou fluxos de trabalho
• Gerenciamento de criptografia e chave para proteger os dados
• Controles de acesso granular - descriptografa apenas para usuários e processos autorizados

22
Pública
 CTE - Controle de acesso granular

HR ERP Directory
Group: HR Ciphertrust Transparent Encryption
App: ERP
What: Read File
Usuario autorizado Time: 2PM 11/14/2014
Quem Operações Quando Recursos
Where: HR ERP Directory

Read Directory
Group: Finance
App: IE 9.0
What: Read File
Write File Type Access Policy #1
Usuario não autorizado Time: 5pm 11/14/2014
User File File Name User: HR-Group
Where: HR ERP Directory permission,
etc..
Time Drive App: ERP
Application / Device/Disk
Opp: Read Only
Group: SystemAdmin
Process: Cat command Process Time: Any
What: Read File Resources: Any
Usuario Root Time: 2PM 11/14/2014
Where: HR ERP Directory

Block access and log attempt

• Políticas de acesso a arquivos, pastas e etc.

• Suporta controles para usuários e grupos do nível do sistema, bem como ambientes
• LDAP / AD, Hadoop e Container - incluindo usuários privilegiados
23
Pública
 CTE para Bancos de dados

Applications ▌ Proteção para Banco de Dados

A criptografia transparente facilita a adição de fortes proteções
no nível do sistema a dados confidenciais em bancos de dados.
Limite facilmente o acesso de nível de sistema a texto não
criptografado apenas para o processo de banco de dados e
Database função de usuário do banco de dados, enquanto permite que
DSM outras funções de nível de sistema funcionem normalmente
sem expor dados confidenciais
CipherTrust
Manager ▌ Suporte de Ambientes
File System
Proteja dados confidenciais em bancos de dados Oracle, DB2,
MS SQL Server, MySQL, Sybase entre outros
Compativel com sistemas locais ou na nuvem

Disk

24
Pública
 CTE para Dados não estruturados

▌ De acordo com a IDC, 80% dos dados em

repouso de uma empresa não são
estruturados
▌ Seguranca para dados não estruturados
Com o CTE, sua empresa pode proteger arquivos não
estruturados, onde quer que estejam – em premise ou na
nuvem
O sistema de criptografia de arquivos CTE permite que você
proteja dados confidenciais em planilhas, documentos,
apresentações, imagens e muito mais
A proteção de dados é transparente para aplicativos e usuários
finais, o que significa que não há interrupção nas suas
operações comerciais, no desempenho ou na experiência do
usuário

25
Pública
 CipherTrust Developer Suite

▌Soluções abrangentes de segurança na

camada de aplicações
Gerenciamento de chaves assimétricas e simétricas e
uma plataforma de segurança avançada para
aplicativos
CipherTrust Application
CipherTrust Tokenization Tokenização de dados preservando o formato
Data Protection
Combinação das melhores soluções dos principais
CipherTrust Developer Suite
fornecedores de segurança
A mais ampla linha de integração de soluções da
indústria

27
Pública
 Protegendos os dados sensíveis com Tokenização

Credit Card or Token

other sensitive data

CipherTrust 4567-8765-9807-2342
1234-5678-9123-4567
Tokenization

▌ Casos de Uso:
Reduza o escopo do PCI e apoie outras iniciativas de conformidade
Proteção de banco de dados de produção
Anonimização e de-identificação de Dados
Impedir que administradores, hackers e usuários não autorizados analisem
dados confidenciais

28
Pública
 Tokenização de dados

1 2 3*
DSM
0544-4124-4325-3490 REST
API
Customer App 4 Ciphertrust
Servers Tokenization
Server
5
1234-4567-6789-1234

1234-4567-6789-1234

Credit Card or
Banco de Dados
other sensitive data
Token
* New and expired keys

29
Pública
 Tokenização com mascaramento dinâmico

1 Request 2 3
DSM
0544-4124-4325-3490 REST API
Accounts App Servers 4 Ciphertrust
Payable 349
0 Mask Data Sent Token Server
-
XX
X-XX
X
-XX
XX
XX
6 Response 5
1234-4567-6789-1234

Customer
Service AD/LDAP
Server
1234-4567-6789-1234

Banco de Dados
(Dados Tokenizados)
Credit Card

Token

30
Pública
 Ciphertrust Tokenization - Características e benefícios

▌ Uso Facil
Interface REST API - Chamadas individuais e em lote com
confirguração centralizada do serviço de tokenização
▌ Tokenização vaultless com alto desempenho
Instalação simples e escalável com a opção de HA
▌ Caracteristicas flexiveis para cumprir normativas de
proteção de dados
TLS autenticado mutuamente
Tokenização Format Preserving(FPE) o aleatórios
Tokens irreversiveis disponivel com FPE
Suporte a dados numéricos e alfanuméricos
Tokenização com Luhn checks para cartões de credito
Suporte AD / LDAP

31
Pública
 Casos de Uso de Tokenização

▌Proteção de dado geral

Proteção de dados ao nivel applicativo/Banco de dados
▌Big Data
▌Compartilhameno de copia de banco de dados de produção
Desenvolvimento, Teste, Analitica
▌Compartilhamento de dados com terceiros
▌Reduz o escopo: LGPD, GDPR, HIPPA, PCI, outros

32
Pública
 Tokenization – Escalabilidade

Tok
e niza
t ion
DSM
DSM
on
izati
oken
De-T
Load Balancer / Proxy

Application Servers or End

Points calling tokenization

Ciphertrust Token Server

Cluster

33
Pública
 CipherTrust Database Suite

▌ Soluções abrangentes para segurança

de banco de dados
Soluções de gerenciamento de chaves para
CipherTrust Protection for bancos de dados oferecendo Transparent
Database Encryption
CipherTrust Batch Data - Gerenciamento centralizado de chaves
Transformation
reduz custos, ajuda a obter conformidade e
aumenta a segurança
Soluções de proteção de banco de dados
CipherTrust Database
convenientemente implementadas ao nivel
Protection de User-Defined Function (UDF)
CipherTrust Database Suite

34
Pública
 Ciphertrust Batch Data Transformation

Principais casos de uso:

• Faz o que você disser. Funciona

baseado em tabela e coluna. Você
informa o que irá mascarar no
SDK novo destino.
Policy
v
• Mascarar dados confidenciais antes
REST API
de compartilhar com terceiros
Batch Data Transformation Token Server
(software on server) • CSV file, Oracle, Microsoft SQL
Server, MySQL, DB2, SAP HANA

35
Pública
 Ciphertrust Batch Data Transformation

▌ Ferramenta de Transformação de dados

configuravel e de alto Desempenho
▌ Operações
File File Database Database
Encrypt / tokenize / decrypt / detokenize
▌ Ambientes
CSV CSV SQL SQL
CSV file, Oracle, Microsoft SQL Server, MySQL,
DB2, SAP HANA
▌ Modos suportados
Standard AES Encryption
File Database Database File
Batch random Tokenization
Batch FPE FF3/FF1
CSV SQL SQL CSV
▌ Casos de Uso
BDs Produção a não Produção
De-Identificação de dados a compartilhar com
▌SDK / REST Batching API calls terceiros ou a ser carregados a data lake

36
Pública
 CipherTrust Protection para Teradata

Teradata Node
Teradata Node
Teradata Node
CipherTrust
Vormetric Encryption UDF Cryptoserver
Vormetric Decryption UDF Daemon

CipherTrust
Application
Protection
CipherTrust
Manager

Teradata Data Store

37
Pública
 Opções para proteger os dados na nuvem

Complementando a nuvem pública com eficiência operacional, competindo com fornecedores

de segurança de dados com plataforma

&
Highly Protect Effectively Bring Your Own
Sensitive Data Encryption

Sensitive Native Cloud With Bring Your

Data Encryption Own Key

38
Pública
 O Poder de usar a sua própia solução de segurança (BYOE)

▌Segurança de dados eficiente entre mutliclouds:

Armazenamento de chaves centralizado, FIPS 140-2
Politicas de acesso granular
Visibilidade Centralizada
LDT
Reduz o custo operacional
▌ Simples de usar
▌ Migração simples e segura para nuvens
▌ Portabilidade de dados entre nuvens / on-prem
▌ demonstrando a separação de responsabilidades e
o controle das chaves

39
39 Thales © 2018 All rights reserved. Thales Group Internal
Pública
 Modelo de responsabilidade compartilhada para segurança de dados na
nuvem

Cloud Data
Customer Security Provider
Responsibility Responsibility
Cloud
Infrastructure
Security

Shared Responsibility Model

For Cloud Security

40
Pública
 O Caso de usar a sua própia solução de segurança

Centralized Encryption Key and Policy Management

Legend

Ciphertrust
Transparent
Encryption
Agent

Ciphertrust
Tokenization
Server Or run
Control
fullyfrom
and securely
Customerfrom
Premises
the cloud

41
Pública
 Portabilidade dos dados é só possível com BYOE

Financial
Data

Centralized Keys Provide

Data Mobility
ellectual Property Data Encrypted at Rest and HIPA
in Motion
A
No need to purchase IPsec
tunnels (2x)

On-Premises
Private Cloud

PI
I
42
Pública
 Protegendo dados na nuvem com a Plataforma Ciphertrust
DSM

Ciphertrust Transparent Encryption Ciphertrust Tokenization Cloud Key Manager

Infrastructure as a Service (laaS) Platform as a Service (PaaS) Software as a Service (SaaS)

Data Data Data

Application Application Application

Runtime Runtime Runtime

Middleware Middleware Middleware

O/S O/S O/S

Customer Responsibility
Virtualization Virtualization Virtualization

Servers Servers Servers

Provider Responsibility Storage Storage Storage

Networking Networking Networking

43
Pública
 BYOK nasceu da necessidade

Origem

Cloud Provider Customers demanded to Cloud Providers offered

Infrastructure has have control of their encryption, Customers demanded
your data data access and security yet most held the keys – to control their keys
keeping control Best practices (e.g. Cloud
Security Alliance) or
Regulatory

Todos os principais fornecedores oferecem alguma forma de BYOK

44
Pública
 Simplificando a gestão de chaves na nuvem com o Cloud Key Manager

O CipherTrust Cloud Key

Manager oferece gerenciamento
simplificado e automatizado do
ciclo de vida de chaves em
nuvem

▌ Controle e gerenciamento centralizado de várias

nuvens, IaaS e SaaS (Multicloud)
▌ Armazenamento seguro de chaves
Enhanced
IT Efficiency
▌ Log, rastreabilidade e relatórios de conformidade Security

▌ Controle do acesso ao dado

CipherTrust Cloud Key Manager

45
Pública
 Armazenamento Centralizado para gestão Multi-Cloud

▌ Acesse diferentes nuvems desde o

browser em uma unica tela

▌ Terminologia consiste para diferentes

nuvens

▌ Sincronização das chaves

All Tenant Secrets All Keys
Install, configure, synchronize and
go!
▌ IaaS e SaaS Existing key estates adopted
IaaS: Microsoft Azure, Amazon Web Services (Dec 2017)
SaaS: Microsoft Office365, Salesforce

46
Pública
 Visibilidade, Relatorios e Monitoramento das chaves

Pre-built reports Activity Logging

Saiba como, quando e quem usa as chaves criptograficas

47
Pública
 Nosso objetivo - estratégia de proteção de dados

▌ Multi-ambiente
Data security silos Unified data security with
centralized key mgmt. Multi-cloud, multi-database, multi-application
Achieve data mobility
Cloud
▌ Alta Segurança
Deploy head-to-toe holistic data security
Eliminate silos and point solutions
Centralized security solution
Enforce consistent security and best practices

▌ Baixo Custo
Centralized security team and administration
Documented repetitive procedures

48
Pública
 CCKM oferece mais que o BYOK!

Bring Your Own Key (HSM) CCKM

Create
Create

Destroy Backup
Destroy Backup

HSM, SoftHSM, Key Manager… CipherTrust Cloud Key Manager

O caso comum do Archive / A única solução de gestão
Archive / BYOK, processo de chaves no mercado Deploy
Deploy Suspend
Suspend altamente manual e
complexo

Expire Monitor Expire Monitor

Rotate Rotate

49
Pública
 Ciphertrust Data Security Platform
Plataforma Única e Centralizada – Arquitetura Modular /Escalável – Mútiplas Soluções

Transparent Encryption Big Data Encryption

•

Cenário 2
Hadoop, NoSQL

Cenário 1
• Criptografia em nivel de sistema • Teradata, SAP Hana
• Controle de acesso granular • Criptografia, Controle de
• Acesso de Admin

Banco de dados Servidor de Arquivos

Tokenização com Application Encryption

Mascaramento Dinâmico • Fácil integração
Cenário 3

Cenário 4
• .NET, Java & C APIs
• Mantem o Formato dos Dados
• FPE and AES256 support
• Mascaramento Dinâmico CipherTrust Manager
• Replicação de bases anonimizadas para FIPS 140-2 Level 2 & Level 3 validated
Apps

Name: Jon Dough

desv, sem alteração no DB / APP
• Independe do tipo de volume, PaaS
appliances or FIPS 1 Virtualized SW server Cloud API SS: 123-45-6789
PO: Jan395-2014
Big Data
Data At Rest

Batch Data Transformation Key Management Cloud Key Management

Cenário 7
• Ferramenta de alto rendimento para
Cenário 5

Cenário 6

criptografia e tokenização • Centraliza o Gerenciamento de Chaves • Integração com Azure/AWS e

• Criptografia inicial dos dados • Custódia de chaves p/ Oracle/SQL TDE, Salesforce Shield.
• Mascaramento dinamico para etc • Control compleot na geração,
compartilhar Bases de dados com • KMIP/PKCS Key Manager
armazenamento e permissões das
• Chaves de Terceiros / Volumes
terceiros chaes criptograficas na nuvem
Certificados

50
Pública