Encriptar los archivos almacenados en una unidad local los protege de ser leídos en caso de que un atacante los exfiltre del entorno de red o del dispositivo de un usuario. Los datos cifrados en reposo son un componente importante en la ciberseguridad, la protección de datos y el cumplimiento. Si un atacante compromete un sistema y roba archivos, el atacante no podría leer los archivos cifrados, ya que se almacenan en un formato ilegible sin la clave de cifrado.
¿Qué es la encriptación a nivel de archivos?
Con la encriptación a nivel de archivo, también conocida como encriptación basada en archivos o encriptación a nivel de sistema de archivos, los archivos y carpetas individuales almacenados en un dispositivo local o almacenamiento de red pueden encriptarse sin necesidad de encriptar todo el medio de almacenamiento en sí. Los archivos encriptados parecen una larga cadena de caracteres aleatorios, pero la clave utilizada para encriptar archivos traducirá los caracteres al estado original del archivo. Los administradores pueden especificar archivos y datos que deben estar cifrados, por lo que es posible que una estación de trabajo de usuario tenga algunos archivos en un estado no cifrado. Por lo general, los archivos con datos corporativos confidenciales, propiedad intelectual, secretos comerciales o información de clientes están cifrados.
Un entorno de red hospitalaria es un buen ejemplo de un caso de uso de cifrado a nivel de archivo. Los hospitales almacenan datos de pacientes, incluida la información de identificación personal (PII), la información de pago y los registros médicos electrónicos confidenciales. Cualquier organización de atención de la salud en los EE. UU., incluidos los hospitales, está obligada por las reglamentaciones de la Ley de Portabilidad y Responsabilidad del Seguro Médico (Health Insurance Portability and Accountability Act, HIPAA). La HIPAA exige que los proveedores de atención médica encripten la información electrónica protegida de atención médica (ePHI). Al usar el cifrado a nivel de archivo, los hospitales cumplirían con las regulaciones locales y evitarían divulgar datos confidenciales a un tercero después de un compromiso.
>> Pure Storage ofrece una forma simple y segura de almacenar datos de atención de la salud sin comprometer la eficiencia. Siga leyendo para obtener más información.
¿Cómo funciona el cifrado a nivel de archivos?
Los procesos involucrados en la encriptación a nivel de archivo son invisibles para el usuario en la estación de trabajo o el dispositivo local. Un usuario debe ser autenticado en el entorno para descifrar archivos, y el sistema encripta automáticamente los archivos cuando se almacenan en la unidad de almacenamiento local. Para cada solicitud de acceso a archivos, el sistema intercepta la solicitud y garantiza que el usuario sea autenticado en el entorno antes de descifrarlo.
Para encriptar y desencriptar un archivo, el usuario debe tener acceso a una clave. Para preservar el rendimiento, la mayoría de los servicios de encriptación a nivel de archivo utilizan el Estándar de encriptación avanzada (AES), que es un algoritmo simétrico. Un algoritmo simétrico utiliza la misma clave para encriptar y desencriptar datos. Debido a que la clave se puede usar para descifrar archivos, a menudo se mantiene en una ubicación segura en el sistema y se encripta con una clave privada que solo está disponible para el administrador.
Tecnologías y servicios de encriptación a nivel de archivos
Tanto Microsoft como Apple tienen su propia forma de encriptación a nivel de archivo incorporada en sus sistemas operativos. El sistema operativo Microsoft Windows incluye BitLocker. Los usuarios pueden habilitar o deshabilitar BitLocker en sus dispositivos locales, y los administradores de una red de Windows pueden forzar el cifrado a nivel de archivo mediante políticas globales.
Apple incluye FileVault en su sistema operativo Mac. Todos los archivos están cifrados en el dispositivo de almacenamiento local, por lo que los datos no pueden ser robados después del robo de una computadora portátil Mac. Solo los usuarios con credenciales en la computadora portátil local pueden acceder a archivos cifrados.
Una tercera opción para el cifrado a nivel de archivo es el software de código abierto VeraCrypt. Es una aplicación gratuita de encriptación de archivos de terceros para Windows, Linux y macOS. Es una opción de terceros si no desea usar las herramientas de encriptación populares disponibles en los principales sistemas operativos, pero puede ser más difícil de administrar que el software de sistema operativo incorporado si no tiene experiencia con encriptación a nivel de archivo.
En el centro de datos, la seguridad del cifrado inactivo puede pasar al siguiente nivel. Pure Storage ® FlashArray implementa el estándar AES-256 líder en la industria para el cifrado de datos inactivos. FlashArray encripta los datos con el uso de tres capas dependientes de claves internas: una clave de matriz, una clave SSD y una clave de encriptación de datos. La clave de matriz se genera con un secreto aleatorio y luego se distribuye en varias SSD, lo que garantiza que la mitad de las unidades de matriz, más dos más, sean necesarias para recrear las claves de acceso actuales.
Ventajas y desventajas del cifrado a nivel de archivo
Las corporaciones y los centros de datos utilizan la encriptación a nivel de archivos para preservar los datos confidenciales incluso después de un compromiso. Después de que un hacker o malware obtiene acceso a un entorno, la red se analiza para detectar datos sensibles. Por lo general, los datos se envían a un servidor controlado por un atacante, donde se usan para la extorsión o se venden en mercados de redes oscuras.
Cuando los archivos están cifrados, los archivos exfiltrados son ilegibles y no se pueden vender ni usar con fines perjudiciales. Solo los usuarios con la clave de cifrado pueden descifrar archivos, y los usuarios tienen acceso a los archivos automáticamente cuando se autentican en el entorno y reciben autorización. Los administradores pueden controlar el acceso a archivos mediante políticas de grupo o permisos específicos en el dispositivo local. Algunas regulaciones de cumplimiento, incluida la HIPAA, requieren encriptación a nivel de archivo, por lo que implementar herramientas de encriptación mantiene a las organizaciones en cumplimiento.
Los administradores deben mantener el sistema mantenido porque la pérdida de claves de encriptación provoca la pérdida de archivos. Las claves de encriptación solo deben estar disponibles para personas autorizadas. En caso de que un tercero tenga acceso a claves, cualquier archivo robado podría descifrarse. Se agrega cierta complejidad al entorno mediante el cifrado a nivel de archivo, pero una buena aplicación lo hace conveniente para los administradores e invisible para los usuarios.
Alternativas al cifrado a nivel de archivo
La encriptación a nivel de archivo está separada de la encriptación de disco completo (FDE), donde esta última encripta todo el sistema de archivos y todos los datos de la unidad. Los administradores pueden elegir archivos para encriptar con encriptación a nivel de archivo, pero el encriptación de disco completo a menudo se considera un entorno más seguro. Las entidades gubernamentales a menudo utilizan FDE para proteger mejor el sistema de archivos local y los datos sensibles.
El cifrado a nivel de aplicación es otra opción para los administradores que administran software crítico, como motores de bases de datos. La mayoría de los principales motores de bases de datos tienen encriptación a nivel de aplicación incorporada en sus funciones. Una función de cifrado a nivel de aplicación encripta un subconjunto de datos, como campos específicos en tablas de bases de datos que contienen información altamente sensible. Por ejemplo, Microsoft SQL Server tiene cifrado a nivel de aplicación en su versión empresarial.
Conclusiones
Para la protección y el cumplimiento de datos extendidos, los centros de datos y las empresas que aprovisionan servicios en la nube deben considerar el uso de cifrado a nivel de archivos. Los archivos robados después de un compromiso son inutilizables para el atacante, por lo que las empresas pueden proteger mejor su información confidencial incluso después de una filtración de datos. El software utilizado en el cifrado de archivos se ejecuta en segundo plano en un servidor o dispositivo de usuario, por lo que no interfiere con la productividad u otras operaciones diarias.