Aduceți-vă propria cheie (BYOK) pentru a rezolva provocările de securitate
Publicat: 2023-09-27În timp ce cloud computing are multe avantaje, securitatea a fost un dezavantaj, deoarece datele rămân la furnizorul de servicii cloud (CSP) și nu sunt sub controlul direct al proprietarului acestor informații. Aceasta înseamnă că securitatea cheii de criptare este de cea mai mare importanță pentru organizațiile care selectează această metodă de protecție a datelor.
Definirea BYOK: Despre ce este Bring Your Own Key?
Bring Your Own Key (BYOK) este, în esență, un sistem de administrare care permite companiilor să-și cripteze datele, păstrând în același timp controlul și managementul. Cu toate acestea, unele programe BYOK încarcă chei de criptare pe serverele CSP. În aceste cazuri, compania își pierde din nou custodia cheilor.
O soluție de cea mai bună practică pentru această provocare „aduceți propria cheie” este ca organizația să producă chei mai robuste printr-un modul de securitate hardware (HSM) extrem de sigur și să guverneze exportul în siguranță al cheilor sale în cloud – ceea ce îi îmbunătățește gestionarea cheilor. proceselor.
Despachetarea Bring Your Own Key (BYOK): Cum funcționează?
Bring Your Own Key (BYOK) le permite companiilor să păstreze controlul asupra acreditărilor de criptare pentru propriile date, indiferent de furnizorul (furnizorii) de cloud pe care îl angajează pentru stocarea datelor. Pentru a realiza acest lucru, trebuie să luați următorii pași:
- Furnizorul de cloud își generează propriile chei de criptare a datelor (DEK) folosind managerul de chei din modulul de securitate al platformei cloud.
- Organizația angajează o terță parte pentru a genera cheile de criptare pentru aceste DEK. Cheia folosită pentru criptarea DEK a unui CSP, cauzată de o terță parte, se numește cheie de criptare a cheii (KEK).
- KEK „împachetează” DEK pentru a se asigura că numai membrii organizației, care dețin proprietatea și controlul asupra KEK, pot debloca DEK și accesa datele conținute în CSP. Ocazional, acest proces este denumit „încercarea cheii”.
- Când se uită la o terță parte care poate produce KEK-uri și oferă ambalaj cheie, organizația are de obicei două alternative:
- Module de securitate hardware (HSM) : Acestea sunt componente hardware costisitoare, foarte sigure și specializate, care pot necesita instrumente și tehnologii suplimentare pentru a comunica cu cloud-ul.
- Sistem de gestionare a cheilor (KMS) bazat pe software : aceste aplicații sunt pe servere standard. Avantajele utilizării unui KMS bazat pe software sunt o adaptabilitate mai mare, o administrare mai ușoară și, în general, cheltuieli reduse.
- DEK este disponibil pentru utilizatori în momentul criptării și decriptării, dar cheile sunt șterse din cache după utilizare. Rețineți că cheile nu sunt niciodată depozitate pe termen lung. În schimb, DEK sau EDEK este criptat și păstrat împreună cu datele criptate.
Pe scurt, BYOK îi ajută pe utilizatorii serviciului public de cloud să producă chei criptografice în cadrul propriului ecosistem și să mențină controlul asupra acestor chei cu acces facil pe un server cloud ales de ei.
Cum rezolvă BYOK provocările de securitate?
Există destul de multe motive pentru care managerii de securitate și factorii de decizie IT să le pese de BYOK și chiar să-l caute atunci când fac investiții în cloud.
1. Respectați legile privind confidențialitatea datelor
În 2017 și 2018, 50 de țări au promulgat noi legi privind confidențialitatea. Reglementările generale ale UE privind protecția datelor (GDPR) se așteaptă ca întreprinderile să păstreze informațiile de identificare personală (PII) ale consumatorilor în siguranță și confidențiale. Atunci când transmit informații personale către furnizori externi, cum ar fi furnizorii SaaS, aceste organizații sunt, de asemenea, responsabile pentru securitatea lor. BYOK oferă vizibilitate asupra accesului la date și capacitatea de a-l revoca.
2. Ușurează tranziția culturală către cloud, datorită controlului extins
Securitatea este o preocupare principală atunci când companiile încep să stocheze date în cloud. BYOK permite companiilor să preia controlul asupra informațiilor confidențiale. Permite separarea unui sistem de blocare și cheie în două jumătăți – permițând companiei să folosească propriile programe de cheie de criptare și să păstreze autoritatea independentă.
Acest lucru oferă organizațiilor liniștea pe care o căutau (că numai personalul autorizat are acces la datele lor sensibile. Acest lucru este deosebit de important atunci când companiile implementează cloud-ul pentru prima dată. De asemenea, le permite să confiște cheile de criptare de la persoane sau sisteme care nu ar trebui să aibă acces.
3. Pregătiți-vă mai bine pentru medii cloud eterogene
Administrarea multor chei de criptare pe mai multe platforme (de exemplu, centru de date, cloud sau multi-cloud) poate fi o provocare și consumatoare de timp. Organizațiile își pot gestiona toate acreditările de criptare de pe o singură platformă folosind un model de criptare BYOK.
Centralizează administrarea cheilor, oferind o singură interfață pentru crearea, rotația și păstrarea cheilor de criptare. Dacă organizația are date situate în mai multe nori (multi-cloud), aceasta poate reuni gestionarea diferitelor nori sub un singur administrator.
4. Adăugați un alt nivel de securitate
Acesta este cel mai clar avantaj de a avea propria ta cheie. Izolând datele criptate de cheia asociată, BYOK creează un nivel suplimentar de securitate pentru informațiile confidențiale. Cu BYOK, organizațiile își pot folosi instrumentele de gestionare a cheilor de criptare pentru a stoca cheile criptate și pentru a se asigura că numai ei au acces, crescând astfel securitatea datelor.
5. Economisiți bani, cu condiția să aveți expertiza tehnică
BYOK permite administrarea internă a acreditărilor de criptare. Supravegându-le, organizațiile pot înceta să plătească pentru serviciile de management cheie de la furnizori terți. Acest lucru, totuși, exclude posibilitatea unor taxe recurente de abonament și de licență.
De asemenea, criptarea BYOK este concepută pentru a face datele de neînțeles pentru actorii rău intenționați, cum ar fi hackerii și cei care se prezintă drept administratori cloud. Acest lucru poate reduce indirect costurile asociate cu dezvăluirea de informații potențial sensibile. La rândul său, acest lucru evită penalizări abrupte de conformare și pierderi de venituri.
Exemple BYOK de nivel superior: Zoom și Salesforce
BYOK devine rapid norma din industrie, mai degrabă decât un diferențiator. Pe lângă toți furnizorii importanți de cloud, companiile SaaS trec și ele pe val. Într-adevăr, majoritatea organizațiilor apreciază opțiunea de a-și aduce propriile chei, chiar dacă aleg să se bazeze pe CSP-urile lor pentru criptare.
Zoom a introdus o ofertă de chei gestionate de client, rezervată clienților AWS Key Management Service (AWS KMS).
Este destinat să satisfacă nevoile de reglementare ale sectoarelor bancar, financiar și de sănătate. Furnizorii de asistență medicală trebuie să respecte specificațiile HIPAA, iar serviciile financiare trebuie să respecte NY DFS, Gramm-Leach-Bliley Act și alte reglementări.
Salesforce oferă, de asemenea, o funcție BYOK ca parte a Salesforce Shield, o suită de servicii de securitate integrate nativ. Permite utilizatorilor să producă propria cheie de criptare independent de Salesforce, ceea ce face platforma mult mai sigură și confidențială.
Organizațiile pot folosi biblioteci criptografice open-source precum OpenSSL, infrastructurile lor actuale HSM sau o soluție terță parte precum AWS KMS.
Gânduri finale: BYOK este etanș?
În timp ce BYOK reduce riscul de pierdere a datelor, în special pentru datele în tranzit, securitatea sa depinde de capacitatea companiei de a-și proteja cheile.
Pierderea cheilor de criptare poate duce la pierderea permanentă a datelor. Pentru a reduce acest risc, încercați să faceți copii de siguranță ale cheilor după generarea și rotația lor, renunțați la ștergerea cheilor fără declanșatoare și stabiliți un management exhaustiv al ciclului de viață al cheilor. În plus, va fi benefic un plan de administrare care să cuprindă reguli cheie de rotație, păstrare, pași de revocare și politici de acces.
În cele din urmă, costurile legate de BYOK nu pot fi neglijate – cu privire la costurile de management și suport. Adopția BYOK nu este ușoară; prin urmare, organizațiile ar putea fi nevoite să investească în echipe și HSM-uri suplimentare, suportând cheltuieli mai mari.
Pe scurt, BYOK nu este un glonț de argint, ci o componentă necesară a strategiei tale globale de securitate. Examinați toate căile de ieșire și intrare a datelor, cum ar fi API-urile sau transferurile de fișiere, împreună cu o varietate de criterii de acces privilegiat. Acest lucru este valabil și pentru autentificare și pentru cele mai bune practici la nivel de industrie, cum ar fi încredere zero.
În continuare, citiți cartea albă despre protejarea datelor dvs. de la un capăt la altul pentru a vă construi strategia de securitate.