보안 문제를 해결하기 위한 BYOK(Bring Your Own Key)
게시 됨: 2023-09-27클라우드 컴퓨팅에는 많은 장점이 있지만 데이터는 클라우드 서비스 공급자(CSP)에 남아 있고 해당 정보 소유자의 직접적인 통제를 받지 않기 때문에 보안이 단점이 되었습니다. 이는 암호화 키 보안이 이 데이터 보호 방법을 선택하는 조직에 가장 중요하다는 것을 의미합니다.
BYOK 정의: 자체 키 가져오기란 무엇입니까?
BYOK(Bring Your Own Key)는 본질적으로 기업이 제어 및 관리를 유지하면서 데이터를 암호화할 수 있도록 하는 관리 시스템입니다. 그러나 일부 BYOK 프로그램은 암호화 키를 CSP 서버에 업로드합니다. 이 경우 회사는 다시 한 번 키에 대한 관리권을 잃습니다.
이 "직접 키 가져오기" 문제에 대한 모범 사례 솔루션은 조직 이 매우 안전한 하드웨어 보안 모듈(HSM)을 통해 더욱 강력한 키를 생성하고 클라우드로 키를 안전하게 내보내는 것을 관리하여 키 관리를 개선하는 것입니다. 프로세스.
포장 풀기 BYOK(Bring Your Own Key): 어떻게 작동하나요?
BYOK(Bring Your Own Key)를 사용하면 기업은 데이터 저장을 위해 고용한 클라우드 공급자에 관계없이 자체 데이터에 대한 암호화 자격 증명을 제어할 수 있습니다. 이를 달성하려면 다음 단계를 수행해야 합니다.
- 클라우드 공급자는 클라우드 플랫폼의 보안 모듈에 있는 키 관리자를 사용하여 자체 데이터 암호화 키(DEK)를 생성합니다.
- 조직은 이러한 DEK에 대한 암호화 키를 생성하기 위해 타사를 고용합니다. 제3자에 의해 CSP의 DEK를 암호화하는 데 사용되는 키를 KEK(키 암호화 키)라고 합니다.
- KEK는 DEK를 '래핑'하여 KEK의 소유권과 제어권을 유지하는 조직의 구성원만 DEK의 잠금을 해제하고 CSP에 포함된 데이터에 액세스할 수 있도록 합니다. 때때로 이 프로세스를 '키 둘러싸기'라고 합니다.
- KEK를 생산하고 주요 패키징을 제공할 수 있는 제3자를 고려할 때 조직에는 일반적으로 두 가지 대안이 있습니다.
- HSM(하드웨어 보안 모듈) : 이는 클라우드와 통신하기 위해 추가 도구와 기술이 필요할 수 있는 비싸고 보안이 뛰어난 특수 하드웨어 구성 요소입니다.
- 소프트웨어 기반 키 관리 시스템(KMS) : 이 앱은 표준 서버에 있습니다. 소프트웨어 기반 KMS를 사용하면 적응성이 향상되고 관리가 쉬워지며 일반적으로 비용이 절감된다는 이점이 있습니다.
- DEK는 암호화 및 복호화 시 사용자에게 제공되지만 사용 후에는 캐시에서 키가 삭제됩니다. 키는 장기 저장소에 보관되지 않습니다. 대신 DEK 또는 EDEK가 암호화되어 암호화된 데이터와 함께 보관됩니다.
간단히 말해서, BYOK는 퍼블릭 클라우드 서비스 사용자가 자신의 생태계 내에서 암호화 키를 생성하고 선택한 클라우드 서버에서 쉽게 액세스하여 이러한 키에 대한 제어를 유지하도록 돕습니다.
BYOK는 보안 문제를 어떻게 해결합니까?
보안 관리자와 IT 의사 결정자가 BYOK에 관심을 갖고 클라우드 투자 시 이를 모색하는 데에는 몇 가지 이유가 있습니다.
1. 데이터 개인정보 보호법을 준수합니다.
2017년과 2018년에 걸쳐 50개국에서 개인 정보 보호에 관한 새로운 법률을 제정했습니다. EU의 일반 데이터 보호 규정(GDPR)은 기업이 소비자의 개인 식별 정보(PII)를 안전하게 기밀로 유지할 것을 기대합니다. SaaS 제공업체와 같은 외부 공급업체에 PII를 전달할 때 이러한 조직은 보안에 대한 책임도 있습니다. BYOK는 데이터 액세스에 대한 가시성과 이를 취소할 수 있는 능력을 제공합니다.
2. 확장된 제어 덕분에 클라우드로의 문화 전환이 쉬워집니다.
기업이 클라우드에 데이터를 저장하기 시작할 때 보안은 주요 관심사입니다. BYOK를 통해 기업은 기밀 정보에 대한 통제권을 되찾을 수 있습니다. 이를 통해 자물쇠와 열쇠 시스템을 두 부분으로 분리할 수 있어 회사가 자체 암호화 키 프로그램을 사용하고 독립적인 권한을 유지할 수 있습니다.
이는 조직이 찾고 있던 마음의 평화를 제공합니다(승인된 직원만 민감한 데이터에 액세스할 수 있음). 이는 기업이 처음으로 클라우드를 구현할 때 특히 중요합니다. 또한 이를 통해 개인이나 시스템에서 암호화 키를 압수할 수 있습니다. 접근이 없어야 합니다.
3. 이기종 클라우드 환경에 더 효과적으로 대비
여러 플랫폼(예: 데이터 센터, 클라우드 또는 멀티 클라우드)에서 많은 암호화 키를 관리하는 것은 어렵고 시간이 많이 걸릴 수 있습니다. 조직은 BYOK 암호화 모델을 사용하여 단일 플랫폼에서 모든 암호화 자격 증명을 처리할 수 있습니다.
암호화 키 생성, 순환, 보존을 위한 단일 인터페이스를 제공하여 키 관리를 중앙 집중화합니다. 조직이 여러 클라우드(멀티 클라우드)에 데이터를 보유하고 있는 경우 단일 관리자 아래 다양한 클라우드를 통합 관리할 수 있습니다.
4. 또 다른 보안 계층 추가
이것이 바로 자신만의 열쇠를 갖는 것의 가장 분명한 장점입니다. BYOK는 암호화된 데이터를 관련 키에서 분리함으로써 기밀 정보에 대한 추가 보안 계층을 만듭니다. BYOK를 통해 조직은 암호화 키 관리 도구를 사용하여 암호화된 키를 저장하고 해당 조직만이 액세스할 수 있도록 보장함으로써 데이터 보안을 강화할 수 있습니다.
5. 기술적 전문성이 있다면 비용을 절감하세요.
BYOK를 사용하면 암호화 자격 증명을 내부적으로 관리할 수 있습니다. 이를 감독함으로써 조직은 제3자 공급업체의 주요 관리 서비스에 대한 비용 지불을 중단할 수 있습니다. 그러나 이로 인해 반복적인 구독 및 라이센스 비용이 발생할 가능성이 배제됩니다.
또한 BYOK 암호화는 해커나 클라우드 관리자로 가장하는 악의적인 행위자가 데이터를 이해할 수 없도록 설계되었습니다. 이를 통해 잠재적으로 민감한 정보의 공개와 관련된 비용을 간접적으로 줄일 수 있습니다. 결과적으로 이는 급격한 규정 준수 처벌과 수익 손실을 방지합니다.
최상위 계층 BYOK 예: Zoom 및 Salesforce
BYOK는 차별화 요소가 아닌 업계 표준으로 빠르게 자리잡고 있습니다. 모든 주요 클라우드 제공업체 외에도 SaaS 회사도 이러한 흐름에 동참하고 있습니다. 실제로 대부분의 조직은 암호화를 위해 CSP에 의존하기로 결정하더라도 자체 키를 가져올 수 있는 옵션을 높이 평가합니다.
Zoom은 AWS Key Management Service(AWS KMS) 고객을 위해 예약된 고객 관리형 키 제품을 출시했습니다.
이는 은행, 금융, 의료 분야의 규제 요구 사항을 충족하기 위한 것입니다. 의료 서비스 제공자는 HIPAA 사양을 준수해야 하며 금융 서비스는 NY DFS, Gramm-Leach-Bliley Act 및 기타 규정을 준수해야 합니다.
Salesforce는 기본적으로 통합된 보안 서비스 제품군인 Salesforce Shield의 일부로 BYOK 기능도 제공합니다. 이를 통해 사용자는 Salesforce와 독립적으로 자체 암호화 키를 생성할 수 있으므로 플랫폼이 훨씬 더 안전하고 기밀해집니다.
조직은 OpenSSL과 같은 오픈 소스 암호화 라이브러리, 현재 HSM 인프라 또는 AWS KMS와 같은 타사 솔루션을 사용할 수 있습니다.
마무리 생각: BYOK는 방수인가요?
BYOK는 특히 전송 중인 데이터의 경우 데이터 손실 위험을 줄이지만 보안은 회사의 키 보호 능력에 따라 달라집니다.
암호화 키가 손실되면 데이터가 영구적으로 손실될 수 있습니다. 이러한 위험을 줄이려면 키를 생성 및 순환한 후 백업을 시도하고, 트리거 없이 키 삭제를 중단하고, 철저한 키 수명 주기 관리를 설정하세요. 또한 키 순환 규칙, 보존, 해지 단계 및 액세스 정책을 포함하는 관리 계획을 세우는 것이 좋습니다.
마지막으로 관리 및 지원 비용을 고려하면 BYOK 관련 비용도 무시할 수 없습니다. BYOK 채택은 쉽지 않습니다. 따라서 조직은 추가 팀과 HSM에 투자해야 하므로 더 높은 비용이 발생할 수 있습니다.
간단히 말해서, BYOK는 만병통치약이 아니라 전반적인 보안 전략의 필수 구성 요소입니다. 다양한 권한 있는 액세스 기준과 함께 API 또는 파일 전송과 같은 모든 데이터 송신 및 수신 경로를 검사합니다. 이는 인증 및 제로 트러스트와 같은 업계 전반의 모범 사례에도 적용됩니다.
다음으로 보안 전략을 수립하려면 엔드투엔드 데이터 보호에 대한 백서를 읽어보세요.