Cifrado: Cómo proteger nuestros datos “en tránsito”

Cybersecurity and secure nerwork concept. Data protection, gdrp. Glowing futuristic backround with lock on digital integrated circuit.

Las empresas realizan muchos esfuerzos para proteger la integridad de su información en sus centros de datos contra ataques como malware, spoofing, phishing, etc. Aún así están desprotegidos contra ataques que tienen como objetivo los datos en tránsito o “en vuelo”.

Una estrategia de seguridad eficaz debe contemplar la protección de los datos durante una transmisión. Alcanzar este nivel de seguridad requiere tecnología, procesos y experiencia para obtener soluciones de encriptación eficientes en servicios de comunicaciones de extremo a extremo de alta capacidad, complementando así la seguridad de los datos en “reposo”. Por otro lado, estas soluciones de encriptación deben cumplir con los estándares que requiere cada industria. Los sectores Financieros y Salud son los más estrictos en cuanto a requisitos debido a la sensibilidad de la información que manejan. Estas soluciones se conocen como cifrado de nivel óptico (cifrado de capa 1) o cifrado de Ethernet (cifrado de capa 2).

A continuación encontrará una descripción de estos tipos de encriptación y las ventajas comparativas que ofrecen sus tecnologías.

Types of Encryption for Data in Transit

Depending on the application and use cases, companies can choose different types of encryption ranging from the physical layer to higher layers of application, according to the Open Systems Interconnection Model, better known as the “OSI model”:

  • El cifrado óptico es una forma de proteger los datos en la capa física (o capa 1), mientras se transmiten señales protegidas a través de un sistema de fibra óptica. Este tipo de encriptación es especialmente útil para aplicaciones en los sectores financiero y de salud que se ejecutan en enlaces de comunicación de muy alta velocidad (10 Gbps, 40 Gbps, 100 Gbps).
  • En la capa de enlace, o capa 2, Ethernet Encryption tiene la posibilidad de cifrar la información utilizando MACsec (Media Access Control Security) cuando se utiliza el protocolo Ethernet independientemente del medio de transmisión. HIPAA, PCI y Sarbanes-Oxley entre otros ya utilizan MACsec como mecanismos válidos para asegurar redes de comunicaciones hasta altas capacidades (<10G).
  • Avanzando en las capas del modelo OSI, IPSec (Protocolo de seguridad de Internet) está disponible como marco y protocolo para establecer túneles seguros, comúnmente llamados VPN (Redes privadas virtuales) entre sitios conectados por una capa 3 o IP. IPSec es ampliamente utilizado en casi todas las industrias para establecer comunicaciones seguras a través de Internet, en capacidades que generalmente no superan 1G y existen protocolos estandarizados soportados por varias marcas.
  • Para el cifrado del tráfico en capas de aplicación superiores (capa 4 a capa 7), existen varios protocolos como TLS (Transport Layer Security) creados para proteger las sesiones en entornos Cliente-Servidor.

Ventajas del cifrado óptico

Los diferentes mecanismos de cifrado ofrecen ventajas y desventajas según el caso de uso. Si nos encontramos en un escenario donde la transmisión de grandes volúmenes de información es necesaria para aplicaciones sujetas a estrictas regulaciones entonces las ventajas del cifrado óptico se pueden resumir en tres aspectos principales:

  • Flexibilidad: como este cifrado se proporciona sobre señales ópticas con total independencia de la información transmitida en capas superiores, el cifrado óptico soporta una amplia variedad de formatos de información, lo que hace que esta tecnología sea completamente independiente del protocolo elegido por los usuarios.
  • Eficiencia: los protocolos de capa superior utilizan encabezados para el cifrado de la información, lo que reduce la capacidad disponible para enviar datos útiles para las aplicaciones. Esta situación es más evidente para aplicaciones que usan pequeños paquetes de información donde la información usada para el cifrado es significativa con respecto a la cantidad de información usada para transmitir datos relevantes para la aplicación. Por el contrario, la encriptación en la capa óptica no hace uso de estas cabeceras permitiendo utilizar el 100% de la capacidad disponible para el envío de información de valor, como se puede observar en el siguiente gráfico:
  • Retraso: el retraso introducido durante la codificación/decodificación de señales ópticas es significativamente menor (casi despreciable) en comparación con otros mecanismos de cifrado en capas superiores.

Ventajas del cifrado de Ethernet

Al igual que el cifrado Óptico, el cifrado Ethernet se adapta muy bien a escenarios donde es necesario transmitir información en altas capacidades con normas de seguridad muy estrictas. El uso del protocolo MACsec para el cifrado en esta capa tiene las siguientes ventajas:

  • Independencia del transporte: a diferencia del cifrado óptico que necesita OTN (Optical Transport Networking) para funcionar, MACsec establece una transferencia de datos segura entre dos dispositivos, independientemente de los dispositivos o redes intermedias, siempre que se ofrezca un formato Ethernet en los extremos.
  • Costos: el costo del cifrado de capa 2 a través del protocolo MACSec para capacidades equivalentes, considerando el costo del equipo, es superior al que ofrece el cifrado óptico.
  • Eficiencia: a pesar de no ser tan eficientes y tener demoras ligeramente más largas en comparación con el cifrado óptico, los servicios de cifrado de capa 2 siguen siendo muy superiores para los entornos descritos a comparación los mecanismos de protección de datos en tránsito de capas superiores.

En la siguiente tabla podemos ver como resultan las diferentes variables de coste y calidad de servicio según la capa en la que se realiza el cifrado:

¿Cuál es el tipo de encriptación que más me conviene?

¿Cuál es la capa de red en la que debemos manejar la seguridad de los datos en tránsito? Algunos argumentan que la capa de aplicación es la más adecuada porque es donde residen los datos confidenciales. Otros argumentan que la seguridad debe comenzar en la capa física o niveles más básicos de conexión, protegiendo incluso la información de protocolo involucrada en el movimiento de datos. La respuesta es que, ependiendo de los requisitos ambientales y de seguridad, ambos son correctos.

En Transtelco nos especializamos en encontrar la solución de encriptación más adecuada para su empresa, respaldados por una trayectoria y experiencia desarrollada durante más de 20 años brindando soluciones y servicios utilizando todos los mecanismos de encriptación antes mencionados. Contamos con una infraestructura óptica (OTN) inigualable en la región que permite el despliegue de soluciones encriptadas en diferentes capas de servicio, además contamos con las alianzas tecnológicas, procesos y recursos capacitados para operar servicios de encriptación que cumplen con los estándares impuestos por la Norma Federal de Procesamiento de Información (FIPS – Nivel 2).

Tabla de contenidos