Bring Your Own Key (BYOK) per risolvere le sfide alla sicurezza
Pubblicato: 2023-09-27Sebbene il cloud computing presenti molti vantaggi, la sicurezza rappresenta uno svantaggio perché i dati rimangono presso il fornitore di servizi cloud (CSP) e non sono sotto il controllo diretto del proprietario di queste informazioni. Ciò significa che la sicurezza della chiave di crittografia è della massima importanza per le organizzazioni che scelgono questo metodo di protezione dei dati.
Definizione di BYOK: in cosa consiste il Bring Your Own Key?
Bring Your Own Key (BYOK) è, nella sua essenza, un sistema di amministrazione che consente alle aziende di crittografare i propri dati mantenendone il controllo e la gestione. Alcuni programmi BYOK, tuttavia, caricano le chiavi di crittografia sui server CSP. In questi casi l’azienda perde nuovamente la custodia delle chiavi.
Una soluzione ottimale a questa sfida "porta la tua chiave" è che l'organizzazione produca chiavi più robuste attraverso un modulo di sicurezza hardware (HSM) altamente sicuro e governi l'esportazione sicura delle sue chiavi nel cloud, migliorando così la gestione delle chiavi. processi.
Disimballaggio Bring Your Own Key (BYOK): come funziona?
Bring Your Own Key (BYOK) consente alle aziende di mantenere il controllo delle credenziali di crittografia per i propri dati, indipendentemente dal fornitore di servizi cloud che utilizzano per archiviare i propri dati. Per realizzare ciò, è necessario eseguire i seguenti passaggi:
- Il fornitore di servizi cloud genera le proprie chiavi di crittografia dei dati (DEK) utilizzando il gestore delle chiavi nel modulo di sicurezza della piattaforma cloud.
- L'organizzazione impiega una terza parte per generare le chiavi di crittografia per questi DEK. La chiave utilizzata per crittografare il DEK di un CSP, causata da una terza parte, è denominata chiave di crittografia della chiave (KEK).
- La KEK "avvolge" la DEK per garantire che solo i membri dell'organizzazione, che mantiene la proprietà e il controllo della KEK, possano sbloccare la DEK e accedere ai dati contenuti nel CSP. Occasionalmente, questo processo viene definito "accerchiamento delle chiavi".
- Quando si cerca una terza parte in grado di produrre KEK e offrire pacchetti di chiavi, l'organizzazione ha solitamente due alternative:
- Moduli di sicurezza hardware (HSM) : si tratta di componenti hardware costosi, altamente sicuri e specializzati che potrebbero richiedere strumenti e tecnologie aggiuntivi per comunicare con il cloud.
- Sistema di gestione delle chiavi basato su software (KMS) : queste app si trovano su server standard. I vantaggi derivanti dall'utilizzo di un KMS basato su software sono una maggiore adattabilità, un'amministrazione più semplice e, in generale, una riduzione delle spese.
- La DEK è disponibile per gli utenti al momento della crittografia e decrittografia, ma le chiavi vengono cancellate dalla cache dopo l'uso. Tieni presente che le chiavi non vengono mai depositate in un deposito a lungo termine. Invece, la DEK o l'EDEK viene crittografata e conservata insieme ai dati crittografati.
In poche parole, BYOK aiuta gli utenti dei servizi cloud pubblici a produrre chiavi crittografiche all'interno del proprio ecosistema e a mantenere il controllo di tali chiavi con facile accessibilità su un server cloud di loro scelta.
In che modo BYOK risolve le sfide alla sicurezza?
Ci sono diversi motivi per cui i responsabili della sicurezza e i decisori IT si preoccupano del BYOK e lo ricercano anche quando effettuano investimenti nel cloud.
1. Rispettare le leggi sulla privacy dei dati
Tra il 2017 e il 2018, 50 nazioni hanno adottato nuove leggi sulla privacy. Il Regolamento generale sulla protezione dei dati (GDPR) dell'UE prevede che le aziende mantengano le informazioni di identificazione personale (PII) dei propri consumatori sicure e riservate. Quando inoltrano le PII a fornitori esterni, come i fornitori SaaS, queste organizzazioni sono anche responsabili della loro sicurezza. BYOK offre visibilità sull'accesso ai dati e la capacità di revocarlo.
2. Facilitare la transizione culturale al cloud, grazie a un controllo esteso
La sicurezza è una preoccupazione primaria quando le aziende iniziano ad archiviare dati sul cloud. BYOK consente alle aziende di riprendere il controllo delle proprie informazioni riservate. Consente la separazione di un sistema di serratura e chiave in due metà, consentendo all'azienda di utilizzare i propri programmi di chiave di crittografia e mantenere un'autorità indipendente.
Ciò offre alle organizzazioni la tranquillità che stavano cercando (che solo il personale autorizzato ha accesso ai propri dati sensibili). Ciò è particolarmente importante quando le aziende implementano il cloud per la prima volta. Consente inoltre loro di confiscare chiavi di crittografia a individui o sistemi che non dovrebbe avere accesso.
3. Prepararsi meglio agli ambienti cloud eterogenei
L'amministrazione di numerose chiavi di crittografia su più piattaforme (ad esempio, data center, cloud o multi-cloud) può essere impegnativa e richiedere molto tempo. Le organizzazioni possono gestire tutte le proprie credenziali di crittografia da un'unica piattaforma utilizzando un modello di crittografia BYOK.
Centralizza l'amministrazione delle chiavi offrendo un'unica interfaccia per la creazione, la rotazione e la conservazione delle chiavi di crittografia. Se l'organizzazione ha dati ubicati in più cloud (multi-cloud), può riunire la gestione dei vari cloud sotto un unico amministratore.
4. Aggiungi un altro livello di sicurezza
Questo è il vantaggio più evidente di avere la propria chiave. Isolando i dati crittografati dalla chiave associata, BYOK crea un ulteriore livello di sicurezza per le informazioni riservate. Con BYOK, le organizzazioni possono utilizzare i propri strumenti di gestione delle chiavi di crittografia per archiviare chiavi crittografate e garantire che solo loro possano accedervi, aumentando così la sicurezza dei dati.
5. Risparmia denaro, a condizione che tu abbia le competenze tecniche
BYOK consente l'amministrazione interna delle credenziali di crittografia. Supervisionandoli, le organizzazioni potrebbero smettere di pagare per i servizi di gestione delle chiavi di fornitori di terze parti. Ciò, tuttavia, preclude la possibilità di canoni di abbonamento e di licenza ricorrenti.
Inoltre, la crittografia BYOK è progettata per rendere i dati incomprensibili agli attori malintenzionati, come gli hacker e coloro che si spacciano per amministratori cloud. Ciò può ridurre indirettamente i costi associati alla divulgazione di informazioni potenzialmente sensibili. A sua volta, ciò evita pesanti sanzioni di conformità e perdite di entrate.
Esempi BYOK di livello superiore: Zoom e Salesforce
BYOK sta rapidamente diventando la norma del settore anziché un elemento di differenziazione. Oltre a tutti i principali fornitori di cloud, anche le aziende SaaS stanno saltando sul carro. In effetti, la maggior parte delle organizzazioni apprezza la possibilità di portare con sé le proprie chiavi, anche se sceglie di affidarsi ai propri CSP per la crittografia.
Zoom ha introdotto un'offerta di chiavi gestite dal cliente riservata ai clienti AWS Key Management Service (AWS KMS).
È destinato a soddisfare le esigenze normative dei settori bancario, finanziario e sanitario. Gli operatori sanitari devono aderire alle specifiche HIPAA e i servizi finanziari devono essere conformi al NY DFS, al Gramm-Leach-Bliley Act e ad altre normative.
Salesforce fornisce anche una funzionalità BYOK come parte di Salesforce Shield, una suite di servizi di sicurezza integrati nativamente. Consente agli utenti di produrre la propria chiave di crittografia indipendentemente da Salesforce, il che rende la piattaforma notevolmente più sicura e riservata.
Le organizzazioni possono utilizzare librerie crittografiche open source come OpenSSL, le loro attuali infrastrutture HSM o una soluzione di terze parti come AWS KMS.
Considerazioni conclusive: BYOK è a tenuta stagna?
Sebbene BYOK riduca il rischio di perdita di dati, soprattutto per i dati in transito, la sua sicurezza dipende dalla capacità dell'azienda di proteggere le proprie chiavi.
La perdita delle chiavi di crittografia può culminare nella perdita permanente dei dati. Per ridurre questo rischio, provare a eseguire il backup delle chiavi dopo la loro generazione e rotazione, astenersi dall'eliminare le chiavi senza trigger e stabilire una gestione esaustiva del ciclo di vita delle chiavi. Inoltre, sarà vantaggioso disporre di un piano amministrativo che comprenda regole di rotazione delle chiavi, conservazione, fasi di revoca e politiche di accesso.
Infine, non si possono trascurare i costi legati a BYOK, con un occhio ai costi di gestione e di supporto. L'adozione BYOK non è facile; pertanto, le organizzazioni potrebbero dover investire in team e HSM aggiuntivi, sostenendo spese più elevate.
In breve, BYOK non è una soluzione miracolosa, ma una componente necessaria della tua strategia di sicurezza generale. Esamina tutti i percorsi di ingresso e uscita dei dati, come API o trasferimenti di file, insieme a una varietà di criteri di accesso privilegiati. Ciò vale anche per l’autenticazione e le migliori pratiche a livello di settore come Zero Trust.
Successivamente, leggi il white paper sulla protezione dei dati end-to-end per definire la tua strategia di sicurezza.