Cifrado de almacenamiento.
Esta función implementa el cifrado basado en hardware para proteger los datos en reposo, utilizando aceleradores criptográficos dedicados dentro de los dispositivos de almacenamiento, garantizando la seguridad mediante el aislamiento físico del sistema host.
Priority
Execution Context
La función de Cifrado de Almacenamiento establece una base de seguridad sólida mediante el uso de componentes de hardware dedicados para cifrar los datos antes de que lleguen a la interfaz del host. Este enfoque garantiza que, incluso si el medio de almacenamiento se ve comprometido físicamente, los datos permanezcan inaccesibles sin las claves de descifrado específicas almacenadas en dispositivos de hardware seguros. El diseño exige la integración con el Módulo de Plataforma Confiable (TPM) del dispositivo para gestionar de forma segura el ciclo de vida de las claves, previniendo el acceso no autorizado y garantizando el cumplimiento de los estándares de protección de datos empresariales en todos los niveles de almacenamiento.
El sistema inicializa un motor criptográfico dedicado dentro del controlador de almacenamiento, el cual opera de forma independiente de la CPU del host.
Las claves de encriptación se generan y se almacenan exclusivamente dentro del enclave seguro del hardware, siendo accesibles únicamente a través de protocolos de gestión autenticados.
Los datos se cifran directamente utilizando algoritmos estándar de la industria antes de que se realicen cualquier operación de lectura o escritura que interactúe con el medio físico.
Operating Checklist
Implemente el dispositivo de almacenamiento con el firmware verificado que contenga el acelerador de cifrado dedicado.
Configure el almacén de claves de hardware para inicializar y almacenar de forma segura las claves de cifrado maestras.
Habilite la encriptación automática para todos los bloques de datos escritos en el medio físico.
Verificar que las operaciones de descifrado se ejecuten exclusivamente dentro del enclave de hardware.
Integration Surfaces
Firmware del controlador de almacenamiento.
Las actualizaciones de firmware deben incluir parches para el módulo criptográfico y revisiones del protocolo de gestión de claves para mantener la integridad del hardware.
Servicio de gestión de claves.
El servicio orquesta la generación, distribución y rotación seguras de claves de cifrado a través de canales protegidos por hardware.
Protocolo de Interfaz de Host.
Los protocolos de comunicación deben aplicar requisitos de autenticación estrictos antes de permitir cualquier acceso a los volúmenes de almacenamiento encriptados.
