Apportez votre propre clé (BYOK) pour résoudre les problèmes de sécurité
Publié: 2023-09-27Bien que le cloud computing présente de nombreux avantages, la sécurité constitue un inconvénient car les données restent chez le fournisseur de services cloud (CSP) et ne sont pas sous le contrôle direct du propriétaire de ces informations. Cela signifie que la sécurité des clés de chiffrement est de la plus haute importance pour les organisations qui choisissent cette méthode de protection des données.
Définir BYOK : qu’est-ce que Bring Your Own Key ?
Bring Your Own Key (BYOK) est, par essence, un système d'administration qui permet aux entreprises de crypter leurs données tout en conservant le contrôle et la gestion. Certains programmes BYOK téléchargent cependant des clés de chiffrement sur les serveurs CSP. Dans ces cas-là, l’entreprise perd à nouveau la garde de ses clés.
Une solution exemplaire à ce défi « apportez votre propre clé » consiste pour l'organisation à produire des clés plus robustes via un module de sécurité matérielle (HSM) hautement sécurisé et à régir l'exportation sécurisée de ses clés vers le cloud, ce qui améliore sa gestion des clés. processus.
Déballage Bring Your Own Key (BYOK) : comment ça marche ?
Bring Your Own Key (BYOK) permet aux entreprises de garder le contrôle des informations de chiffrement de leurs propres données, quel que soit le ou les fournisseurs de cloud qu'elles emploient pour stocker leurs données. Pour ce faire, les étapes suivantes doivent être suivies :
- Le fournisseur de cloud génère ses propres clés de chiffrement de données (DEK) à l'aide du gestionnaire de clés du module de sécurité de la plateforme cloud.
- L'organisation emploie un tiers pour générer les clés de chiffrement de ces DEK. La clé utilisée pour chiffrer la DEK d'un CSP, provoquée par un tiers, est appelée clé de chiffrement à clé (KEK).
- La KEK « enveloppe » la DEK pour garantir que seuls les membres de l'organisation, qui conservent la propriété et le contrôle de la KEK, peuvent déverrouiller la DEK et accéder aux données contenues dans le CSP. Parfois, ce processus est appelé « encerclement de clés ».
- Lorsqu’elle recherche un tiers capable de produire des KEK et de proposer des emballages clés, l’organisation a généralement deux alternatives :
- Modules de sécurité matérielle (HSM) : il s'agit de composants matériels coûteux, hautement sécurisés et spécialisés qui peuvent nécessiter des outils et des technologies supplémentaires pour communiquer avec le cloud.
- Système de gestion de clés basé sur logiciel (KMS) : ces applications sont sur des serveurs standards. Les avantages de l’utilisation d’un KMS logiciel sont une plus grande adaptabilité, une administration plus facile et des dépenses généralement réduites.
- La DEK est disponible pour les utilisateurs au moment du cryptage et du déchiffrement, mais les clés sont effacées du cache après utilisation. Gardez à l’esprit que les clés ne sont jamais déposées dans un stockage à long terme. Au lieu de cela, le DEK ou l'EDEK est crypté et conservé avec les données cryptées.
En un mot, BYOK aide les utilisateurs de services cloud publics à produire des clés cryptographiques au sein de leur propre écosystème et à garder le contrôle de ces clés avec un accès facile sur un serveur cloud de leur choix.
Comment BYOK résout-il les problèmes de sécurité ?
Il existe de nombreuses raisons pour lesquelles les responsables de la sécurité et les décideurs informatiques se soucient du BYOK, et même le recherchent lorsqu'ils investissent dans le cloud.
1. Se conformer aux lois sur la confidentialité des données
En 2017 et 2018, 50 pays ont adopté de nouvelles lois sur la vie privée. Le Règlement général sur la protection des données (RGPD) de l'UE attend des entreprises qu'elles garantissent la sécurité et la confidentialité des informations personnelles identifiables (PII) de leurs consommateurs. Lorsqu'elles transmettent des informations personnelles à des fournisseurs externes, tels que des fournisseurs SaaS, ces organisations sont également responsables de leur sécurité. BYOK offre une visibilité sur l'accès aux données et la possibilité de le révoquer.
2. Facilitez la transition culturelle vers le cloud, grâce à un contrôle étendu
La sécurité est une préoccupation majeure lorsque les entreprises commencent à stocker des données sur le cloud. BYOK permet aux entreprises de reprendre le contrôle de leurs informations confidentielles. Il permet de séparer un système de serrure et de clé en deux moitiés, ce qui permet à l'entreprise d'utiliser ses propres programmes de clé de cryptage et de conserver une autorité indépendante.
Cela donne aux organisations la tranquillité d'esprit qu'elles recherchaient (que seul le personnel autorisé a accès à leurs données sensibles). Ceci est particulièrement important lorsque les entreprises mettent en œuvre le cloud pour la première fois. Cela leur permet également de confisquer les clés de chiffrement des individus ou des systèmes qui ne devrait pas y avoir accès.
3. Mieux se préparer aux environnements cloud hétérogènes
L'administration de nombreuses clés de chiffrement sur plusieurs plates-formes (par exemple, centre de données, cloud ou multi-cloud) peut s'avérer difficile et prendre beaucoup de temps. Les organisations peuvent gérer toutes leurs informations d'identification de chiffrement à partir d'une seule plateforme en utilisant un modèle de chiffrement BYOK.
Il centralise l'administration des clés en offrant une interface unique pour la création, la rotation et la préservation des clés de chiffrement. Si l’organisation dispose de données localisées dans plusieurs cloud (multi-cloud), elle peut regrouper la gestion des différents cloud sous un seul administrateur.
4. Ajoutez une autre couche de sécurité
C’est l’avantage le plus évident d’avoir votre propre clé. En isolant les données cryptées de leur clé associée, BYOK crée une couche de sécurité supplémentaire pour les informations confidentielles. Avec BYOK, les organisations peuvent utiliser leurs outils de gestion des clés de chiffrement pour stocker les clés chiffrées et garantir qu'elles seules y ont accès, augmentant ainsi la sécurité des données.
5. Économisez de l’argent, à condition d’avoir l’expertise technique
BYOK permet l'administration en interne des informations d'identification de chiffrement. En les supervisant, les organisations peuvent cesser de payer pour les services de gestion de clés fournis par des fournisseurs tiers. Cela exclut toutefois la possibilité de frais d’abonnement et de licence récurrents.
En outre, le chiffrement BYOK est conçu pour rendre les données inintelligibles aux acteurs malveillants, comme les pirates informatiques et ceux se faisant passer pour des administrateurs cloud. Cela peut indirectement réduire les coûts associés à la divulgation d’informations potentiellement sensibles. Cela permet d’éviter de lourdes pénalités de non-conformité et des pertes de revenus.
Exemples BYOK de premier niveau : Zoom et Salesforce
BYOK est en train de devenir rapidement la norme de l’industrie plutôt qu’un différenciateur. Outre tous les principaux fournisseurs de cloud, les entreprises SaaS prennent également le train en marche. En effet, la plupart des organisations apprécient la possibilité d'apporter leurs propres clés, même si elles choisissent de s'appuyer sur leurs CSP pour le chiffrement.
Zoom a introduit une offre de clés gérées par le client réservée aux clients AWS Key Management Service (AWS KMS).
Il est destiné à satisfaire les besoins réglementaires des secteurs bancaire, financier et de la santé. Les prestataires de soins de santé doivent respecter les spécifications HIPAA et les services financiers doivent se conformer au NY DFS, à la Gramm-Leach-Bliley Act et à d'autres réglementations.
Salesforce propose également une fonctionnalité BYOK dans le cadre de Salesforce Shield, une suite de services de sécurité intégrés de manière native. Il permet aux utilisateurs de produire leur propre clé de chiffrement indépendamment de Salesforce, ce qui rend la plateforme considérablement plus sécurisée et confidentielle.
Les organisations peuvent utiliser des bibliothèques cryptographiques open source comme OpenSSL, leurs infrastructures HSM actuelles ou une solution tierce comme AWS KMS.
Réflexions finales : BYOK est-il étanche ?
Si BYOK réduit le risque de perte de données, notamment pour les données en transit, sa sécurité dépend de la capacité de l'entreprise à protéger ses clés.
La perte des clés de chiffrement peut entraîner une perte permanente de données. Pour réduire ce risque, essayez de sauvegarder les clés après leur génération et leur rotation, évitez de supprimer les clés sans déclencheur et établissez une gestion exhaustive du cycle de vie des clés. De plus, il sera bénéfique de disposer d'un plan d'administration englobant les règles de rotation des clés, la préservation, les étapes de révocation et les politiques d'accès.
Enfin, les coûts liés au BYOK ne peuvent être ignorés – sans oublier les coûts de gestion et de support. L'adoption du BYOK n'est pas facile ; par conséquent, les organisations pourraient devoir investir dans des équipes et des HSM supplémentaires, ce qui entraînerait des dépenses plus élevées.
En bref, BYOK n’est pas une solution miracle mais un élément nécessaire de votre stratégie globale de sécurité. Examinez toutes les voies de sortie et d’entrée des données, telles que les API ou les transferts de fichiers, ainsi qu’une variété de critères d’accès privilégiés. Cela s’applique également à l’authentification et aux meilleures pratiques à l’échelle du secteur telles que le zéro confiance.
Ensuite, lisez le livre blanc sur la protection de vos données de bout en bout pour élaborer votre stratégie de sécurité.