นำกุญแจมาเอง (BYOK) เพื่อแก้ปัญหาความท้าทายด้านความปลอดภัย
เผยแพร่แล้ว: 2023-09-27แม้ว่าการประมวลผลแบบคลาวด์จะมีข้อดีหลายประการ แต่ความปลอดภัยก็เป็นข้อเสียเปรียบ เนื่องจากข้อมูลยังคงอยู่กับผู้ให้บริการระบบคลาวด์ (CSP) และไม่อยู่ภายใต้การควบคุมโดยตรงของเจ้าของข้อมูลนี้ ซึ่งหมายความว่าการรักษาความปลอดภัยของคีย์เข้ารหัสมีความสำคัญสูงสุดสำหรับองค์กรที่เลือกวิธีการปกป้องข้อมูลนี้
การกำหนด BYOK: นำกุญแจมาเองเกี่ยวกับอะไร?
Bring Your Own Key (BYOK) คือระบบการดูแลระบบที่ช่วยให้ธุรกิจต่างๆ สามารถเข้ารหัสข้อมูลของตนในขณะที่ยังคงการควบคุมและการจัดการไว้ได้ อย่างไรก็ตาม บางโปรแกรม BYOK จะอัปโหลดคีย์เข้ารหัสไปยังเซิร์ฟเวอร์ CSP ในกรณีเหล่านี้ บริษัทสูญเสียการดูแลกุญแจอีกครั้ง
แนวทางปฏิบัติที่ดีที่สุดสำหรับความท้าทายในการ "นำคีย์มาเอง" คือ ให้องค์กรสร้างคีย์ที่มีประสิทธิภาพมากขึ้นผ่านโมดูลรักษาความปลอดภัยฮาร์ดแวร์ที่มีความปลอดภัยสูง (HSM) และควบคุมการส่งออกคีย์ไปยังระบบคลาวด์อย่างปลอดภัย ซึ่งช่วยปรับปรุงการจัดการคีย์ กระบวนการ
การแกะกล่องนำกุญแจของคุณเอง (BYOK): มันทำงานอย่างไร?
Bring Your Own Key (BYOK) ช่วยให้ธุรกิจสามารถควบคุมข้อมูลรับรองการเข้ารหัสสำหรับข้อมูลของตนเองได้ โดยไม่คำนึงถึงผู้ให้บริการระบบคลาวด์ที่พวกเขาใช้ในการจัดเก็บข้อมูล เพื่อให้บรรลุผลนี้ จะต้องดำเนินการขั้นตอนต่อไปนี้:
- ผู้ให้บริการคลาวด์สร้างคีย์การเข้ารหัสข้อมูล (DEK) ของตนเองโดยใช้ตัวจัดการคีย์ในโมดูลความปลอดภัยของแพลตฟอร์มคลาวด์
- องค์กรจ้างบุคคลที่สามเพื่อสร้างคีย์เข้ารหัสสำหรับ DEK เหล่านี้ คีย์ที่ใช้ในการเข้ารหัส DEK ของ CSP ซึ่งเกิดจากบุคคลที่สามเรียกว่าคีย์การเข้ารหัสคีย์ (KEK)
- KEK 'ล้อม' DEK เพื่อให้แน่ใจว่าเฉพาะสมาชิกขององค์กรซึ่งรักษาความเป็นเจ้าของและการควบคุม KEK เท่านั้นที่สามารถปลดล็อค DEK และเข้าถึงข้อมูลที่มีอยู่ภายใน CSP ในบางครั้ง กระบวนการนี้เรียกว่า 'การล้อมรอบคีย์'
- เมื่อพิจารณาจากบุคคลที่สามที่สามารถผลิต KEK และนำเสนอบรรจุภัณฑ์ที่สำคัญได้ องค์กรมักจะมีทางเลือกสองทาง:
- โมดูลความปลอดภัยฮาร์ดแวร์ (HSM) : ส่วนประกอบฮาร์ดแวร์เหล่านี้มีราคาแพง มีความปลอดภัยสูง และเป็นส่วนประกอบฮาร์ดแวร์เฉพาะทางที่อาจต้องใช้เครื่องมือและเทคโนโลยีเพิ่มเติมเพื่อสื่อสารกับระบบคลาวด์
- ระบบการจัดการคีย์ที่ใช้ซอฟต์แวร์ (KMS) : แอปเหล่านี้อยู่บนเซิร์ฟเวอร์มาตรฐาน ข้อดีของการใช้ KMS ที่ใช้ซอฟต์แวร์คือความสามารถในการปรับตัวที่มากขึ้น การดูแลระบบที่ง่ายขึ้น และค่าใช้จ่ายที่ลดลงโดยทั่วไป
- DEK พร้อมใช้งานสำหรับผู้ใช้ในเวลาที่ทำการเข้ารหัสและถอดรหัส แต่คีย์จะถูกลบออกจากแคชหลังการใช้งาน โปรดทราบว่ากุญแจจะไม่ถูกเก็บไว้ในพื้นที่จัดเก็บระยะยาว แต่ DEK หรือ EDEK จะถูกเข้ารหัสและเก็บรักษาไว้พร้อมกับข้อมูลที่เข้ารหัสแทน
โดยสรุป BYOK ช่วยให้ผู้ใช้บริการคลาวด์สาธารณะสร้างคีย์เข้ารหัสภายในระบบนิเวศของตนเอง และรักษาการควบคุมคีย์เหล่านี้ด้วยการเข้าถึงที่ง่ายดายบนเซิร์ฟเวอร์คลาวด์ที่ตนเลือก
BYOK แก้ปัญหาความท้าทายด้านความปลอดภัยได้อย่างไร
มีเหตุผลหลายประการที่ผู้จัดการความปลอดภัยและผู้มีอำนาจตัดสินใจด้านไอทีจะสนใจ BYOK และแม้กระทั่งค้นหาเมื่อพวกเขาลงทุนในระบบคลาวด์
1. ปฏิบัติตามกฎหมายความเป็นส่วนตัวของข้อมูล
ตลอดปี 2560 และ 2561 มี 50 ประเทศออกกฎหมายใหม่เกี่ยวกับความเป็นส่วนตัว กฎระเบียบคุ้มครองข้อมูลทั่วไป (GDPR) ของสหภาพยุโรปคาดหวังให้ธุรกิจต่างๆ รักษาข้อมูลส่วนบุคคลที่สามารถระบุตัวตน (PII) ของผู้บริโภคได้อย่างปลอดภัยและเป็นความลับ เมื่อส่งต่อ PII ไปยังผู้จำหน่ายภายนอก เช่น ผู้ให้บริการ SaaS องค์กรเหล่านี้ยังต้องรับผิดชอบต่อความปลอดภัยของตนด้วย BYOK ให้การมองเห็นการเข้าถึงข้อมูลและความสามารถในการเพิกถอนได้
2. ช่วยให้การเปลี่ยนผ่านทางวัฒนธรรมไปสู่ระบบคลาวด์ง่ายขึ้น ด้วยการควบคุมที่ขยายเวลา
ความปลอดภัยถือเป็นข้อกังวลหลักเมื่อบริษัทเริ่มจัดเก็บข้อมูลบนคลาวด์ BYOK ช่วยให้ธุรกิจสามารถควบคุมข้อมูลที่เป็นความลับของตนได้ ช่วยให้สามารถแยกระบบล็อคและกุญแจออกเป็นสองซีก ทำให้บริษัทสามารถใช้โปรแกรมคีย์เข้ารหัสของตนเองและรักษาอำนาจที่เป็นอิสระได้
สิ่งนี้ทำให้องค์กรมีความอุ่นใจที่พวกเขาต้องการ (เฉพาะบุคลากรที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลที่ละเอียดอ่อนของตนได้ สิ่งนี้สำคัญอย่างยิ่งเมื่อบริษัทต่างๆ ใช้ระบบคลาวด์เป็นครั้งแรก นอกจากนี้ยังช่วยให้พวกเขายึดคีย์การเข้ารหัสจากบุคคลหรือระบบที่ ไม่ควรมีสิทธิ์เข้าถึง
3. เตรียมความพร้อมที่ดีขึ้นสำหรับสภาพแวดล้อมคลาวด์ที่แตกต่างกัน
การจัดการคีย์เข้ารหัสจำนวนมากบนหลายแพลตฟอร์ม (เช่น ศูนย์ข้อมูล ระบบคลาวด์ หรือมัลติคลาวด์) อาจเป็นเรื่องที่ท้าทายและใช้เวลานาน องค์กรสามารถจัดการข้อมูลรับรองการเข้ารหัสทั้งหมดได้จากแพลตฟอร์มเดียวโดยใช้โมเดลการเข้ารหัส BYOK
โดยจะรวมศูนย์การจัดการคีย์โดยเสนออินเทอร์เฟซเดียวสำหรับการสร้าง การหมุนเวียน และการเก็บรักษาคีย์การเข้ารหัส หากองค์กรมีข้อมูลอยู่ในหลายคลาวด์ (มัลติคลาวด์) ก็อาจนำการจัดการคลาวด์ต่างๆ มารวมกันภายใต้ผู้ดูแลระบบเพียงคนเดียว
4. เพิ่มความปลอดภัยอีกชั้นหนึ่ง
นี่เป็นข้อได้เปรียบที่ชัดเจนที่สุดของการมีกุญแจของคุณเอง ด้วยการแยกข้อมูลที่เข้ารหัสออกจากคีย์ที่เกี่ยวข้อง BYOK จะสร้างชั้นความปลอดภัยเพิ่มเติมสำหรับข้อมูลที่เป็นความลับ ด้วย BYOK องค์กรต่างๆ สามารถใช้เครื่องมือการจัดการคีย์การเข้ารหัสเพื่อจัดเก็บคีย์ที่เข้ารหัสและรับรองว่ามีเพียงพวกเขาเท่านั้นที่สามารถเข้าถึงได้ ซึ่งจะเป็นการเพิ่มความปลอดภัยของข้อมูล
5. ประหยัดเงินหากคุณมีความเชี่ยวชาญด้านเทคนิค
BYOK ช่วยให้สามารถบริหารจัดการข้อมูลรับรองการเข้ารหัสภายในองค์กรได้ องค์กรอาจหยุดชำระค่าบริการการจัดการที่สำคัญจากผู้ขายบุคคลที่สามโดยการดูแลพวกเขา อย่างไรก็ตาม สิ่งนี้จะขัดขวางความเป็นไปได้ของค่าธรรมเนียมการสมัครสมาชิกและใบอนุญาตที่เกิดขึ้นซ้ำ
นอกจากนี้ การเข้ารหัส BYOK ยังได้รับการออกแบบมาเพื่อทำให้ข้อมูลไม่สามารถเข้าใจได้สำหรับนักแสดงที่เป็นอันตราย เช่น แฮกเกอร์และผู้ที่สวมรอยเป็นผู้ดูแลระบบคลาวด์ วิธีนี้สามารถลดต้นทุนทางอ้อมที่เกี่ยวข้องกับการเปิดเผยข้อมูลที่อาจละเอียดอ่อนได้ ในทางกลับกัน วิธีนี้จะช่วยหลีกเลี่ยงบทลงโทษอันหนักหน่วงในการปฏิบัติตามข้อกำหนดและการสูญเสียรายได้
ตัวอย่าง BYOK ระดับบนสุด: Zoom และ Salesforce
BYOK กำลังกลายเป็นบรรทัดฐานของอุตสาหกรรมอย่างรวดเร็วแทนที่จะเป็นผู้สร้างความแตกต่าง นอกเหนือจากผู้ให้บริการคลาวด์รายใหญ่ทุกรายแล้ว บริษัท SaaS ยังก้าวกระโดดขึ้นไปอีกขั้นอีกด้วย แท้จริงแล้ว องค์กรส่วนใหญ่ชื่นชมตัวเลือกในการนำคีย์ของตนเองมาเอง แม้ว่าพวกเขาจะเลือกใช้ CSP ในการเข้ารหัสก็ตาม
Zoom ได้เปิดตัวข้อเสนอคีย์ที่จัดการโดยลูกค้าซึ่งสงวนไว้สำหรับลูกค้า AWS Key Management Service (AWS KMS)
โดยมีจุดมุ่งหมายเพื่อตอบสนองความต้องการด้านกฎระเบียบของภาคการธนาคาร การเงิน และการดูแลสุขภาพ ผู้ให้บริการด้านการดูแลสุขภาพต้องปฏิบัติตามข้อกำหนด HIPAA และบริการทางการเงินต้องปฏิบัติตาม NY DFS, Gramm-Leach-Bliley Act และข้อบังคับอื่นๆ
Salesforce ยังมีคุณสมบัติ BYOK ซึ่งเป็นส่วนหนึ่งของ Salesforce Shield ซึ่งเป็นชุดบริการรักษาความปลอดภัยที่บูรณาการโดยธรรมชาติ ช่วยให้ผู้ใช้สามารถสร้างคีย์เข้ารหัสของตนเองโดยเป็นอิสระจาก Salesforce ซึ่งทำให้แพลตฟอร์มมีความปลอดภัยและเป็นความลับมากขึ้นอย่างมาก
องค์กรต่างๆ สามารถใช้ไลบรารีการเข้ารหัสแบบโอเพ่นซอร์ส เช่น OpenSSL, โครงสร้างพื้นฐาน HSM ในปัจจุบัน หรือโซลูชันของบริษัทอื่น เช่น AWS KMS
ความคิดปิดท้าย: BYOK กันน้ำได้หรือไม่?
แม้ว่า BYOK จะช่วยลดความเสี่ยงที่ข้อมูลสูญหาย โดยเฉพาะข้อมูลที่อยู่ระหว่างการส่งผ่าน แต่ความปลอดภัยของข้อมูลนั้นขึ้นอยู่กับความสามารถของบริษัทในการปกป้องคีย์ของตน
การสูญเสียคีย์เข้ารหัสอาจทำให้ข้อมูลสูญหายอย่างถาวร เพื่อลดความเสี่ยงนี้ ให้ลองสำรองข้อมูลคีย์หลังจากการสร้างและการหมุนเวียนคีย์ ยกเลิกการลบคีย์โดยไม่มีทริกเกอร์ และสร้างการจัดการวงจรการใช้งานคีย์แบบละเอียดถี่ถ้วน นอกจากนี้ การมีแผนการบริหารที่ครอบคลุมกฎการหมุนเวียนคีย์ การเก็บรักษา ขั้นตอนการเพิกถอน และนโยบายการเข้าถึงจะเป็นประโยชน์
สุดท้ายนี้ ไม่สามารถมองข้ามต้นทุนที่เกี่ยวข้องกับ BYOK ได้ โดยต้องคำนึงถึงต้นทุนการจัดการและการสนับสนุนด้วย การนำ BYOK มาใช้ไม่ใช่เรื่องง่าย ดังนั้นองค์กรอาจต้องลงทุนในทีมและ HSM เพิ่มเติม ทำให้เกิดค่าใช้จ่ายที่สูงขึ้น
กล่าวโดยสรุป BYOK ไม่ใช่เป้าหมายหลัก แต่เป็นองค์ประกอบที่จำเป็นในกลยุทธ์การรักษาความปลอดภัยที่ครอบคลุมของคุณ ตรวจสอบข้อมูลขาออกและเส้นทางขาเข้าทั้งหมด เช่น API หรือการถ่ายโอนไฟล์ พร้อมด้วยเกณฑ์การเข้าถึงสิทธิพิเศษที่หลากหลาย นอกจากนี้ยังใช้กับการรับรองความถูกต้องและแนวปฏิบัติที่ดีที่สุดทั่วทั้งอุตสาหกรรม เช่น Zero Trust
ถัดไป อ่านเอกสารไวท์เปเปอร์เกี่ยวกับการปกป้องข้อมูลของคุณตั้งแต่ต้นทางถึงปลายทางเพื่อสร้างกลยุทธ์ด้านความปลอดภัยของคุณ