Proteger dados de clientes é de suma importância para empresas grandes e pequenas. Regulamentação e ramificações legais pesadas são o centro das atenções para equipes de segurança encarregadas de garantir que dados sensíveis fiquem longe das mãos de pessoal externo e interno não autorizado.
A criptografia desempenha um papel elementary para tornar o acima possível. Enquanto a Rockset aplica suas próprias chaves de criptografia aos dados dos clientes, algumas equipes de segurança querem ter seu próprio destino quando se trata de gerenciar o cronograma de rotação, bem como ter um mecanismo de emergência ‘quebre o vidro’ em caso de violação. Para permitir isso, os dados coletados pela Rockset agora podem ser criptografados em repouso com Chaves de criptografia gerenciadas pelo clientetambém frequentemente chamado de convey your individual key (BYOK). Os clientes permanecem em controle whole da chave, enquanto concedem à conta Rockset AWS permissão para criptografar e descriptografar dados usando essa chave.
Configurando chaves de criptografia gerenciadas pelo cliente
Para garantir a compatibilidade com esse recurso, os clientes devem siga as instruções da documentação do Rockset para criar uma chave do AWS Key Administration Service (KMS). Depois que a organização é criada e vinculada ao ARN da chave KMS fornecida pelo cliente, todas as coleções criadas nessa organização são criptografadas em repouso usando essa chave. O ARN da chave de criptografia não pode ser alterado após a criação da organização, mas os clientes podem, opcionalmente, habilitar rotação automática de chaves na chave fornecida.
Comportamento quando a chave não está disponível
Uma vez criadas, as organizações Rockset que usam uma Chave de Criptografia Gerenciada pelo Cliente se comportam exatamente da mesma forma que qualquer outra organização Rockset – a única diferença é a chave de criptografia usada para proteger os dados da coleta. No entanto, os clientes podem desabilitar ou alterar a configuração de política da chave KMS fornecida. Desabilitar o acesso à chave impedirá que a Rockset consiga criptografar novos dados ou descriptografar dados de coleta existentes, resultando em falhas de consulta e ingestão em minutos.
Se a Rockset recuperar o acesso à chave imediatamente, as consultas e a ingestão ficarão disponíveis em minutos. No entanto, se a chave KMS permanecer indisponível por várias horas, todas as coleções dentro da organização serão pausadas, e os dados em trânsito e os caches serão expurgados. Isso impede que a Rockset acesse quaisquer dados de coleção do cliente. Coleções que são pausadas devido à indisponibilidade da chave por várias horas se tornam irrecuperáveis.
Para obter mais informações sobre como você pode usar chaves de criptografia gerenciadas pelo cliente em sua organização Rockset, consulte nosso Chaves de criptografia gerenciadas pelo cliente guia.