¿Qué es Cifrado en reposo?

Los datos en reposo se refieren a cualquier dato almacenado de forma persistente, a diferencia de los datos en tránsito (moviéndose por una red) o los datos en uso (procesándose en memoria). El cifrado en reposo protege frente a amenazas como el robo de discos duros, el acceso no autorizado a bases de datos, las cintas de copia de seguridad comprometidas y las brechas en el almacenamiento en la nube.

El cifrado en reposo puede implementarse en distintas capas. El cifrado de disco completo (como BitLocker o LUKS) cifra todo lo que hay en una unidad. El cifrado a nivel de base de datos (como TDE) cifra los archivos de datos de forma transparente. El cifrado a nivel de aplicación cifra los datos antes de escribirlos en cualquier almacenamiento, dando a la aplicación pleno control sobre quién posee las claves.

La pregunta crítica con el cifrado en reposo es quién posee las claves. Si el mismo servidor que almacena los datos cifrados también almacena las claves de descifrado, un compromiso total del servidor lo expone todo. El enfoque más sólido separa por completo la gestión de claves del almacenamiento de datos, de modo que comprometer únicamente el almacenamiento no baste para leer los datos.

Cómo usa Vaulted Cifrado en reposo

Vaulted proporciona cifrado en reposo por diseño. Los secretos se cifran con AES-256-GCM en el navegador antes de enviarse al servidor, y se almacenan como texto cifrado en Redis. La clave de cifrado nunca llega al servidor: reside únicamente en el fragmento de la URL. Esto significa que los datos en reposo en Redis están cifrados con claves que existen en una ubicación completamente separada (el enlace compartido), proporcionando una sólida separación entre el almacenamiento cifrado y el material de clave.