Chave Mestra
A Chave Mestra
Introdução
Para iniciarmos este tema, entende-se que neste momento a plataforma já está configurada com os principais serviços e a arquitetura está devidamente implementada.
É extremamente importante que o cliente tenha um último processo de recuperação caso as instâncias estejam inacessíveis e nem mesmo o backup possa ser utilizado.
O senhasegura exporta todas as informações privilegiadas para uma pasta sob determinação do cliente. Estas informações são criptografadas utilizando AES-256 e disponibilizadas em arquivos separados para cada informação e respeitando os diversos valores que ela possa ter recebido com o tempo.
Chamamos de Chave Mestra a chave que criptografa e permite a abertura destes dados. Essa chave é gerada, utilizando o algoritmo Shamir, e distribuída em diferentes partes para os Guardiões da Chave Mestra.
Através da união de uma parcela destas partes é possível recuperar a Chave Mestra e ter acesso aos dados dos arquivos criptografados.
Ao processo de emissão e distribuição das parcelas da chave damos o nome de Cerimônia de Chave Mestra. Também conhecido no mercado como Break the glass.
A Cerimônia de Chave Mestra
Para realizar a Cerimônia é necessário que o cliente tenha determinado quais membros de alta confiança irão receber as partes da chave. No mínimo 4 membros devem ser destacados. E no mínimo 2 membros são necessários para a abertura da chave.
Estes membros devem dirigir-se a uma sala segura onde o implantador do senhasegura deve operar um notebook seguro com uma impressora local instalada.
O papel do implantador é garantir que:
a Chave Mestra seja criada;
que os membros de alta confiança recebam sua parcela da chave;
que os membros sejam instruídos da responsabilidade e de como se faz o uso da chave;
garantir que os dados criptografados estejam sendo criados no local correto e que os membros tenham conhecimento deste local;
Os seguintes eventos da cerimônia da Master Key são exibidos no SYSLOG e encaminhados para o SIEM:
Início da cerimônia
Visualização da parte da chave
Download do arquivo PDF contendo parte da chave
Encerramento da cerimônia
A criação da Chave Mestra
Configurando o diretório local
Atenção! Se você está configurando uma instância senhasegura SaaS, esta etapa não é necessária. Vá para etapa masterkey-creation.
Antes de criarmos a Chave Mestra é necessário configurarmos o local de exportação dos dados criptografados. Lembre-se de que este diretório deve ser de conhecimento pelos detentores das chaves.
Dentro do módulo e menu Settings ➔ Backup ➔ Servers você terá acesso aos registros de diretórios onde o senhasegura encaminha internamente o backup. Crie um novo registro através do botão de ação de relatório New. E no formulário que é apresentado, mantenha os dados padrão e finalize com o botão Save.
Este diretório é o mesmo diretório onde foi configurado o backup da base de dados e arquivos de sessão. Os arquivos da chave mestra são encaminhados para esse mesmo diretório e automaticamente direcionado ao diretório remoto configurado na etapa do backup.
Em versões anteriores do senhasegura essa entidade continha mais aprofundamentos, mas a tendência é que não necessite mais desta tela no futuro.
Criando a Chave Mestra
Agora podemos criar a chave mestra e suas partes. Ainda no módulo Settings vá ao menu Backup ➔ Credentials.
Informe a quantidade de partes que deve ser gerada e a quantidade de partes necessárias para restaurar o valor da Chave Mestra. Você pode gerar no máximo 10 partes. E para restaurar é necessário o mínimo de 2 partes.
Clique em Generate new key para ter acesso às partes da chave.
Na tela seguinte você já tem acesso às partes criadas. Chame um a um dos guardiões para que eles possam confirmar suas informações e envelopar a chave que lhe é de direito. Para isso, clique no botão View de cada parte e preencha o formulário com os dados do guardião. Imprima a tela final que contém a parte e envelope o segredo garantindo que o guardião tenha recebido o envelope.
Ao término da cerimônia é importante que todos assinem o termo de responsabilidade e presença fornecido pelo Implantador.
O Implantador tem agora que validar que os dados estão sendo exportados ao servidor destino. Para isso, acesse a pasta compartilhada e valide que as credenciais já registradas no senhasegura estejam replicadas na estrutura de diretórios.
A estrutura deve seguir seguinte hierarquia:
Pasta destino do backup configurada no Orbit;
Pasta "secrets" gerada automaticamente pelo senhasegura ;
Pasta da data da informação;
Entidade que foi exportada. Exemplo: "Credentials";
Dispositivo alvo composto de hostname e IP mais um sequencial de repetição;
Arquivos das credenciais exportadas contendo em seu nome o username e um sequencial de repetição;
Por exemplo, temos o seguinte arquivo:
\\\\172.17.241.252\\backup\\secrets\\2020-05-22\\Crendentials\$\dlsh$
application_server_172_17_241_33_1\\root_1.aes
Este arquivo contém a senha de root para o dispositivo application_server
(172.17.241.33).
Caso a credencial ou dispositivo tenha sido alterado durante o dia, o número sequencial será incrementado.
Entre em contato com nossa equipe de Suporte caso tenha qualquer dúvida deste processo.
A abertura da Chave Mestra
O processo de abertura da Chave Mestra deve ser realizado apenas quando a Política de Recuperação de Desastres da empresa autorize o uso da Chave Mestra.
Nestes casos os guardiões devem se reunir e acessar a tela de recuperação neste link: https://breakglass.senhasegura.com/.
A partir deste link você terá acesso a tela onde os Guardiões devem inserir suas parcelas da chave para ter acesso ao valor da Chave Mestra.
Copie o valor apresentado.
Essa chave deve ser utilizada durante o momento de crise e posteriormente deve ser utilizada para a emissão de uma nova Chave Mestra.
Recomendamos que essa chave seja utilizada apenas para restaurar os segredos dos serviços que irão restabelecer a normalidade dos negócios.
Todas as vezes em que o o proesso de abertura da Chave Mestra for realizado através do link: https://breakglass.senhasegura.com/, o time de Suporte do senhasegura será notificado através de mensagens contendo os detalhes da operação.
O uso da Chave Mestra aberta
Agora que o administrador detém a Chave Mestra aberta ele pode acessar a pasta compartilhada que recebe os dados de backup do senhasegura e restaurar o segredo utilizando qualquer cliente compatível com criptografia AES-256.
Criando uma nova Chave Mestra
Após o momento de crise é necessário emitir uma nova Chave Mestra no mesmo formato de cerimônia realizado anteriormente para a emissão da primeira chave.
O cliente pode utilizar tanto o valor aberto da Chave Mestra anterior ou utilizar das parcelas detidas pelos guardiões para emitir uma nova chave.
Acessando a tela de emissão, no módulo Settings menu Backup ➔ Set master key, você poderá inserir as parcelas ou o chave aberta para a nova emissão.
Confirmando através do botão de rodapé Generate new key o senhasegura irá gerar uma nova chave e apresentar a tela de distribuição das parcelas aos guardiões exatamente como descrito no processo de cerimônia.
Cerimônia remota de chave mestra
Por conta de cenários onde os participantes estão remotos e não podem se reunir fisicamente por motivos especiais, o senhasegura disponibiliza uma maneira de realizar a cerimônia de Chave Mestra de forma remota. Permitindo que os guardiões tenham acesso as suas frações de maneira segura.
Esta funcionalidade está presente apenas nas versões 3.6 e superior. E é necessário que uma conta de email SMTP esteja configurada e determinada como padrão.
Os seguintes eventos da cerimônia da Master Key são exibidos no Syslog:
Início da cerimônia
Visualização da parte da chave
Download do arquivo PDF contendo parte da chave
Encerramento da cerimônia
Para realizar a cerimônia da chave mestra de forma remota acesse o menu: Configurações ➔ Backup ➔ Cerimônia de chave mestra.
Você também pode acessar o formulário de emissão da Chave mestra através do caminho: Configurações ➔ Backup ➔ Definir chave mestra.
Na tela exibida clique na opção Definir uma nova chave mestra. No formulário será possível definir o número de partes da chave para restauração, lembrando que o número minimo de partes é 2.
Em seguida selecione os usuários Guardiões das partes da chave. O botão de adição exibido pode ser utilizado para aumentar o número de guardiões. É importante que estes usuários selecionados tenham seus e-mails cadastrados no sistema.
Por motivos de segurança, recomendamos que você escolha duas ou três vezes mais guardiões do que o número de partes necessárias para restaurar sua chave.
Apenas usuários ativos no sistema poderão ser selecionados como guardiões. Usuários guardiões do processo de chave mestra devem pertencer ao menos ao perfil View password para ter acesso a parcela da chave. E um usuário não poderá ser guardião de mais de uma parte da chave.
Caso deseje, o formulário possui um atalho para o cadastro de usuário, você pode utiliza-lo se um guardião ainda não possua um usuário no sistema.
É importante que estes guardiões sejam de confiança da organização, pois as chaves são um componente crítico para a segurança do sistema. Para finalizar clique em Salvar.
Caso você não tenha configurado uma conta de envio SMTP padrão, você será apresentado a uma mensagem de erro com a descrição Uma conta padrão não foi definida.
Guardiões
Ao término da emissão da Chave Mestra, os usuários guardiões receberão um e-mail, SMS ou mesmo uma mensagem do sistema de notificação sobre sua seleção como guardião de uma das partes da chave mestra.
Sempre que houver um guardião com status inativo, o sistema reportará como incidente via Orbit Web e SYSLOG. Será exibida uma mensagem alertando sobre o status inativo de guardião e sugerindo que o procedimento de cerimônia de chave mestra seja refeito
Cada guardião deverá acessar o senhasegura para visualizar sua parte.
Ao acessar o sistema, o guardião deverá clicar sob o seu username na barra superior, como na figura masterkey-180.
Barra superior da tela Entre as opções exibidas o usuário deverá clicar em Master key
cautionOs usuários deveram inserir seu token antes de visualizar sua parte da chave mestra. Caso o guardião não tenha o segundo fator de autenticação configurado deverá faze-lo antes de visualizar a sua parte da chave. Essa obrigatoriedade pode ser retirada na tela parâmetros do sistema: Configurações ➔ Parâmetros do sistema, acessando a seção Aplicação e em seguida seguindo para a parte Cerimônia de chave mestra e indique se o token e o MFA serão obrigatórios para esta ação. Lembre-se que desabilitando essa obrigação diminuirá a segurança do senhasegura .
Em seguida a tela para visualização da parte será exibida. Nesta tela o guardião poderá visualizar, copiar e até gerar um arquivo
PDF, contendo a sua parte, para download, assim como mostra a imagem abaixo. Esta tela também informará qual das partes o usuário é guardião, o dia em que ela foi gerada e a data da última visualização.
Tela de visualização da Chave Mestra. A emissão do PDF apresenta as mesmas informações contidas na tela de visualização.
Arquivo da chave mestra em PDF
Dashboard
É possível acompanhar o andamento da cerimônia e a relação dos guardiões com suas partes através do dashboard, acesse: Configurações ➔ Backup ➔ Cerimônia de chave mestra. Neste dashboard você poderá acompanhar:
Status da cerimônia
Quantidade mínima de guardiões para restauração
Data e hora de início da cerimônia
Data e hora de fim da cerimônia
Link para início de uma nova cerimônia
Informações dos guardiões, como: Nome, status do usuário no cofre, última visualização, cópia ou download da parte
Revelando a Chave Mestra
Reúna os guardiões e na tela de recuperação através do link: https://breakglass.senhasegura.com/
A partir deste link você terá acesso a tela onde os Guardiões devem inserir suas partes para ter acesso ao valor da Chave Mestra.
Copie o valor apresentado.
Em seguida acesse a pasta compartilhada que recebe os dados de backup do senhasegura e restaure os dados.