Servicio SonicWall Email

Encryption – Visión general del

flujo de datos
Garantice la seguridad del intercambio de mensajes de correo electrónico
que incluyan datos sensibles de clientes o información confidencial.

Este documento trata del flujo de datos y las prácticas de
seguridad para proteger la información personal identificable
(PII) y la información médica personal (PHI) utilizada por el
servicio de nube SonicWall Email Encryption, disponible como
servicio de suscripción add-on para las soluciones SonicWall
Email Security locales y hospedadas. En nuestro ejemplo
utilizamos un e-mail de un usuario de SonicWall como ejemplo
de cliente remitente. De esta forma cubrimos los algoritmos
de cifrado utilizados por el servicio de cifrado en la nube, los
procedimientos almacenados que rigen el control del acceso en
la base de datos cifrada, y explica cómo el servicio de cifrado
en la nube gestiona las claves de cifrado. Asimismo describimos
procedimientos de mitigación de riesgos y control de calidad
para el refuerzo de estas medidas.
Con fines de brevedad, se han hecho una serie de suposiciones
relacionadas con las opciones de conexión y entrega. Le
rogamos tenga presente que éstas no son las únicas formas
en que el servicio de cifrado en la nube puede gestionar los
datos. Tras 14 años de perfeccionamiento, el servicio de cifrado
en la nube contiene numerosas opciones de configuración para
adaptarse prácticamente a cualquier escenario.
Flujo de mensajes seguro entre SonicWall Email Security
y el servicio de cifrado en la nube
SonicWall Email Encrytion es un servicio de nube hospedado en
la nube de Amazon Web Services (AWS). Con el fin de garantizar
la total seguridad durante la operación de este entorno, hemos
establecido un acuerdo comercial con Amazon.

1 Encryption Cloud
SonicWall Email Security
• Servicio hospedado
• Dispositivo de hardware
• Dispositivo virtual
• Software Windows
Solución SonicWall Email Security,
local u hospedada, con filtros de
cumplimiento normativo
Figura 1. Flujo de mensajes entre SonicWall Email Security y el servicio de cifrado en la nube
"Durante todo el
ciclo de vida de un
mensaje seguro, la
carga útil del mensaje
nunca reside en el
sistema sin estar
cifrada."
2
2
SonicWall Email Security
establece sesión TLS
TLS
2 5
Transmisión de los mensajes privados Servidor SQL
y archivos adjuntos del remitente
3
Cifrado y almacenamiento del mensaje
en la base de datos
Durante todo el ciclo de vida de un
mensaje seguro, la carga útil del mensaje
nunca reside en el sistema sin estar
cifrada. El diagrama anterior ilustra cómo
un dispositivo SonicWall Email Security y
el servicio de cifrado en la nube pueden
interoperar.
El flujo ilustrado incorpora las siguientes
tecnologías de cifrado:
1. El remitente crea y envía un mensaje
que contiene datos sensibles, como
PII o PHI. El filtro de cumplimiento
normativo de SonicWall determinará
si un mensaje individual contiene
información personal identificable
o información médica personal que
deba cifrarse. En caso afirmativo,
SonicWall Email Security establece
una sesión TLS segura con el
servicio de cifrado en la nube.
2. Los mensajes se transmiten desde el
dispositivo SonicWall Email Security
al servicio de cifrado en la nube
utilizando cifrado TLS. En el caso de
que todavía no exista, la cuenta del
remitente se crea (opcionalmente)
de forma dinámica. El servicio crea
una huella digital del mensaje a
su llegada, que más adelante se
utiliza para comparar su integridad
con el mensaje que se trasmite al
destinatario.
3. El servicio cifra los mensajes
utilizando AES de 256 bits y los
SonicWall Email
4
El destinatario recibe un enlace
Destinatario
El destinatario establece una conexión
HTTPS y descarga el mensaje
almacena cifrados en la base de
datos.
4. Si todavía no existen, se crean una
cuenta y una bandeja de entrada de
destino y el destinatario recibe un
mensaje de notificación vía e-mail
con un enlace e instrucciones para
iniciar sesión en el portal de cifrado
en la nube (SSL de 128 bits).
5. Utilizando esta información de inicio
de sesión, el destinatario no solo
accede al mensaje y a todos los
archivos adjuntos a través de un
servidor seguro, sino que además,
opcionalmente, puede responder
al remitente a través de la misma
interfaz segura. Los mensajes de
respuesta se componen en el portal
del servicio de cifrado en la nube.
Durante su transmisión, los mensajes
siempre se almacenan cifrados y de
forma persistente.
El servicio Cloud Encryption y los
algoritmos FIPS 140-2
La criptografía del servicio de
cifrado en la nube está basada en la
CryptoAPI de Microsoft y utiliza las
bibliotecas validadas por FIPS 140-
2 que proporciona Microsoft como
parte del sistema operativo Windows
Server. El servicio de cifrado es capaz
de proporcionar servicios completos de
cumplimiento del estándar FIPS 140-2
utilizando la CryptoAPI de Microsoft. Si
desea obtener más información sobre los
certificados Microsoft FIPS, visite https://
technet.microsoft.com/en-us/library/
cc750357.aspx.
Control de acceso a los datos
El servicio de cifrado en la nube utiliza
mejores prácticas líderes en el sector
para proteger y controlar el acceso a la
base de datos. Mientras que todos los
datos enviados y recibidos por el servicio
de cifrado siempre están protegidos por
canales fuertemente cifrados, los datos
que se encuentran en la base de datos se
protegen mediante una combinación de
cifrado fuerte, control de acceso a nivel
de campo y auditorías reforzadas en la
capa de datos. Como resultado de esta
combinación de métodos, el almacén
de datos se califica como “base de
datos controlada.”
Una prestación principal de diseño de
la base de datos es que la capa de
aplicación no tiene acceso directo a los
registros ni a los campos. Esto evita que
las solicitudes no autorizadas accedan
a los datos no autorizados, o que se
invalide la integridad del almacén de
datos. En lugar de ello, la única forma de
acceder al seguimiento de los datos (y a
las correspondientes claves de cifrado)
y a los informes es que un usuario
autenticado haga una solicitud tanto a la
capa de seguridad como a la de la lógica
de negocio. Cada solicitud se valida
con los permisos de inicio de acceso
concedidos al usuario que realiza la
solicitud. Estos servicios se proporcionan
a nivel de datos utilizando un enfoque
basado en base de datos conocido como
Procedimientos almacenados. Solo una
vez validada la solicitud, se permitirá el
acceso a los datos. Esto se aplica tanto
a los remitentes como a los destinatarios
de mensajes.
Otra ventaja de este diseño es una
efectiva protección contra los ataques
de inyección SQL y la manipulación por
parte de los hackers para acceder a datos
que no son suyos.
Gestión de claves de cifrado
El servicio de cifrado de correo
electrónico en la nube automáticamente
se ocupa de gestionar las claves de
cifrado, liberando de esta carga a los
usuarios finales. El código de aplicación
del sistema automáticamente genera y
3
almacena una clave única para el cifrado
y descifrado de cada mensaje, así como
para cada megabyte de los datos de los
El servicio de cifrado
archivos adjuntos. Así, por ejemplo, un en la nube utiliza
mensaje que contiene un archivo adjunto
de 5MB tendrá 6 claves únicas generadas
mejores prácticas
para proteger sus datos. El acceso a líderes en el sector
las claves de cifrado está restringido
por el control del acceso a los datos,
para proteger y
tal y como se describe en la sección controlar el acceso
anterior, evitando el acceso a claves no
autorizado. Las claves almacenadas se
a la base de datos.
destruyen automáticamente al expirar Mientras que todos
el mensaje correspondiente, lo cual,
por defecto, ocurre a los 30 días. No
los datos enviados
obstante, si el cliente lo desea, también y recibidos por el
es posible establecer un plazo menor.
servicio de cifrado
Diseño de aplicaciones, codificación siempre están
y control de calidad basados en las
mejores prácticas protegidos por
El servicio de cifrado en la nube tiene un canales fuertemente
proceso formal de control de cambios
para garantizar que solo se ponga
cifrados, los datos
en producción software verificado. que se encuentran en
Las prestaciones de productos y las
solicitudes de reparación de defectos
la base de datos se
son revisadas por un consejo de protegen mediante
revisión de solicitudes compuesto por
personal senior de gestión de productos,
una combinación
desarrollo de productos, control de de cifrado fuerte,
calidad y soporte para su inclusión en las
versiones de productos planificadas. Tras
control de acceso
su aprobación, un equipo compuesto a nivel de campo y
por miembros con diferentes funciones
se asegura de que los diseños
auditorías reforzadas
funcionales de ingeniería y los casos de a nivel de los datos.
pruebas de control de calidad puedan
rastrearse hasta requisitos formalmente
Como resultado de
documentados. esta combinación de
Los procesos de gestión de productos, métodos, el almacén
ingeniería y control de calidad siguen de datos se califica
una metodología establecida. Antes de
la implementación, se documentan y como “base de
revisan las prestaciones de las versiones datos controlada.”
de productos, la cobertura de los
casos de prueba y las instrucciones
de implementación. Las versiones son
implementadas primero por el equipo de
operaciones en un servidor de prueba
para probar tanto la funcionalidad
del software como el propio proceso
de implementación. Finalmente, la
producción obtiene la autorización para
la fase de prueba y se realiza una prueba
de aceptación interna.
© 2017 SonicWall Inc. TODOS LOS DERECHOS
RESERVADOS.
SonicWall es una marca comercial o marca comercial registrada
de SonicWall Inc. y/o sus filiales en EEUU y/u otros países. Las
demás marcas comerciales y marcas comerciales registradas son
propiedad de sus respectivos propietarios.
La información incluida en este documento se proporciona en
relación con los productos de SonicWall Inc. y/o sus filiales. No
se otorga mediante este documento, ni en relación con la venta
de productos SonicWall, ninguna licencia, expresa ni implícita,
por doctrina de los propios actos ni de ningún otro modo, sobre
ningún derecho de propiedad intelectual. A EXCEPCIÓN DE
LO ESTABLECIDO EN LOS TÉRMINOS Y CONDICIONES TAL
Y COMO SE ESPECIFICAN EN EL CONTRATO DE LICENCIA
DE ESTE PRODUCTO, SONICWALL Y/O SUS FILIALES NO
ASUMEN NINGUNA RESPONSABILIDAD Y RECHAZAN
CUALQUIER GARANTÍA EXPRESA, IMPLÍCITA O LEGAL EN
RELACIÓN CON SUS PRODUCTOS, INCLUIDAS, ENTRE
OTRAS, LAS GARANTÍAS IMPLÍCITAS DE COMERCIALIZACIÓN,
ADECUACIÓN PARA UN DETERMINADO PROPÓSITO O NO
VIOLACIÓN DE DERECHOS DE TERCEROS. SONICWALL Y/O
SUS FILIALES NO SE HARÁN RESPONSABLES EN NINGÚN
CASO DE DAÑOS DIRECTOS, INDIRECTOS, CONSECUENTES,
PUNITIVOS, ESPECIALES NI INCIDENTALES (INCLUIDOS, SIN
LIMITACIÓN, LOS DAÑOS RELACIONADOS CON LA PÉRDIDA
DE BENEFICIOS, LA INTERRUPCIÓN DEL NEGOCIO O LA
PÉRDIDA DE INFORMACIÓN) DERIVADOS DEL USO O DE
LA INCAPACIDAD DE UTILIZAR EL PRESENTE DOCUMENTO,
INCLUSO SI SE HA ADVERTIDO A SONICWALL Y/O SUS
FILIALES DE LA POSIBILIDAD DE QUE SE PRODUZCAN TALES
DAÑOS. SonicWall y/o sus filiales no ofrecen declaración ni
garantía alguna con respecto a la precisión ni a la integridad
de la información contenida en el presente documento y se
reservan el derecho de modificar las especificaciones y las
descripciones de productos en cualquier momento y sin previo
aviso. SonicWall Inc. y/o sus filiales no se comprometen a
actualizar la información contenida en el presente documento.

Acerca de SonicWall
SonicWall lleva más de 25 años combatiendo la industria del
crimen cibernético, defendiendo a las empresas pequeñas,
medianas y grandes de todo el mundo. Nuestra combinación
de productos y partners nos ha permitido crear una solución de
defensa cibernética en tiempo real adaptada a las necesidades
específicas de más de 500.000 negocios globales en más de
150 países, para que usted pueda centrarse por completo en su
negocio sin tener que preocuparse por las amenazas.

Si tiene alguna duda sobre el posible uso de este material,

póngase en contacto con nosotros:

SonicWall Inc.
5455 Great America Parkway
Santa Clara, CA 95054

Para más información, consulte nuestra página Web.

www.sonicwall.com

Whitepaper-EmailEncryptionService-US-KS-26208-D90