Cerimônia remota de chave mestra
Por conta de cenários onde os participantes estão remotos e não podem se reunir fisicamente por motivos especiais, o senhasegura disponibiliza uma maneira de realizar a cerimônia de Chave Mestra de forma remota. Permitindo que os guardiões tenham acesso as suas frações de maneira segura.
Esta funcionalidade está presente apenas nas versões 3.6 e superior. E é necessário que uma conta de email SMTP esteja configurada e determinada como padrão.
Os seguintes eventos da cerimônia da Master Key são exibidos no Syslog:
Início da cerimônia
Visualização da parte da chave
Download do arquivo PDF contendo parte da chave
Encerramento da cerimônia
Para realizar a cerimônia da chave mestra de forma remota acesse o menu: Configurações ➔ Backup ➔ Cerimônia de chave mestra.
Você também pode acessar o formulário de emissão da Chave mestra através do caminho: Configurações ➔ Backup ➔ Definir chave mestra.
Na tela exibida clique na opção Definir uma nova chave mestra. No formulário será possível definir o número de partes da chave para restauração, lembrando que o número minimo de partes é 2.
Em seguida selecione os usuários Guardiões das partes da chave. O botão de adição exibido pode ser utilizado para aumentar o número de guardiões. É importante que estes usuários selecionados tenham seus e-mails cadastrados no sistema.
Por motivos de segurança, recomendamos que você escolha duas ou três vezes mais guardiões do que o número de partes necessárias para restaurar sua chave.
Apenas usuários ativos no sistema poderão ser selecionados como guardiões. Usuários guardiões do processo de chave mestra devem pertencer ao menos ao perfil View password para ter acesso a parcela da chave. E um usuário não poderá ser guardião de mais de uma parte da chave.
Caso deseje, o formulário possui um atalho para o cadastro de usuário, você pode utiliza-lo se um guardião ainda não possua um usuário no sistema.
É importante que estes guardiões sejam de confiança da organização, pois as chaves são um componente crítico para a segurança do sistema. Para finalizar clique em Salvar.
Caso você não tenha configurado uma conta de envio SMTP padrão, você será apresentado a uma mensagem de erro com a descrição Uma conta padrão não foi definida.
Guardiões
Ao término da emissão da Chave Mestra, os usuários guardiões receberão um e-mail, SMS ou mesmo uma mensagem do sistema de notificação sobre sua seleção como guardião de uma das partes da chave mestra.
Sempre que houver um guardião com status inativo, o sistema reportará como incidente via Orbit Web e SYSLOG. Será exibida uma mensagem alertando sobre o status inativo de guardião e sugerindo que o procedimento de cerimônia de chave mestra seja refeito
Cada guardião deverá acessar o senhasegura para visualizar sua parte.
Ao acessar o sistema, o guardião deverá clicar sob o seu username na barra superior, como na figura masterkey-180.
Barra superior da tela Entre as opções exibidas o usuário deverá clicar em Master key
cautionOs usuários deveram inserir seu token antes de visualizar sua parte da chave mestra. Caso o guardião não tenha o segundo fator de autenticação configurado deverá faze-lo antes de visualizar a sua parte da chave. Essa obrigatoriedade pode ser retirada na tela parâmetros do sistema: Configurações ➔ Parâmetros do sistema, acessando a seção Aplicação e em seguida seguindo para a parte Cerimônia de chave mestra e indique se o token e o MFA serão obrigatórios para esta ação. Lembre-se que desabilitando essa obrigação diminuirá a segurança do senhasegura .
Em seguida a tela para visualização da parte será exibida. Nesta tela o guardião poderá visualizar, copiar e até gerar um arquivo
PDF, contendo a sua parte, para download, assim como mostra a imagem abaixo. Esta tela também informará qual das partes o usuário é guardião, o dia em que ela foi gerada e a data da última visualização.
Tela de visualização da Chave Mestra. A emissão do PDF apresenta as mesmas informações contidas na tela de visualização.
Arquivo da chave mestra em PDF