أحضر مفتاحك الخاص (BYOK) لحل التحديات الأمنية

على الرغم من أن الحوسبة السحابية تتمتع بالعديد من المزايا، إلا أن الأمان كان بمثابة عيب لأن البيانات تظل مع موفر الخدمة السحابية (CSP) وليست تحت السيطرة المباشرة لمالك هذه المعلومات. وهذا يعني أن أمان مفتاح التشفير له أهمية قصوى بالنسبة للمؤسسات التي تختار طريقة حماية البيانات هذه.

تعريف BYOK: ما الذي يعنيه إحضار مفتاحك الخاص؟

يُعد إحضار المفتاح الخاص بك (BYOK)، في جوهره، نظامًا إداريًا يمكّن الشركات من تشفير بياناتها مع الاحتفاظ بالتحكم والإدارة. ومع ذلك، تقوم بعض برامج BYOK بتحميل مفاتيح التشفير إلى خوادم CSP. وفي هذه الحالات، تفقد الشركة مرة أخرى الوصاية على مفاتيحها.

إن الحل الأمثل للممارسات لمواجهة تحدي "إحضار مفتاحك الخاص" هو أن تقوم المؤسسة بإنتاج مفاتيح أكثر قوة من خلال وحدة أمان الأجهزة عالية الأمان (HSM) والتحكم في التصدير الآمن لمفاتيحها إلى السحابة - مما يحسن إدارتها الرئيسية العمليات.

تفريغ الحقيبة وإحضار مفتاحك الخاص (BYOK): كيف يعمل؟

يمكّن برنامج Bring Your Own Key (BYOK) الشركات من الاحتفاظ بالتحكم في بيانات اعتماد التشفير لبياناتها الخاصة، بغض النظر عن موفر (مقدمي) السحابة الذين يستخدمونهم لتخزين بياناتهم. ولتحقيق ذلك يجب اتخاذ الخطوات التالية:

• يقوم موفر السحابة بإنشاء مفاتيح تشفير البيانات (DEKs) الخاصة به باستخدام مدير المفاتيح في وحدة أمان النظام الأساسي السحابي.
• توظف المؤسسة طرفًا ثالثًا لإنشاء مفاتيح التشفير الخاصة بـ DEKs. يُسمى المفتاح المستخدم لتشفير DEK الخاص بـ CSP، والذي ينتج عن طرف ثالث، بمفتاح تشفير المفتاح (KEK).
• تقوم KEK "بتغليف" DEK للتأكد من أن أعضاء المؤسسة فقط، الذين يحتفظون بملكية KEK والتحكم فيها، يمكنهم فتح DEK والوصول إلى البيانات الموجودة داخل CSP. في بعض الأحيان، يُشار إلى هذه العملية باسم "تطويق المفتاح".
• عند النظر إلى طرف ثالث يمكنه إنتاج KEKs وتقديم التغليف الرئيسي، عادةً ما يكون لدى المنظمة بديلان:
  • وحدات أمان الأجهزة (HSMs) : هذه مكونات أجهزة باهظة الثمن وآمنة للغاية ومتخصصة وقد تتطلب أدوات وتقنيات إضافية للتواصل مع السحابة.
  • نظام إدارة المفاتيح القائم على البرامج (KMS) : توجد هذه التطبيقات على خوادم قياسية. تتمثل مزايا استخدام نظام إدارة المفاتيح (KMS) القائم على البرمجيات في القدرة على التكيف بشكل أكبر، والإدارة الأسهل، وانخفاض النفقات بشكل عام.
• يتوفر DEK للمستخدمين في وقت التشفير وفك التشفير، ولكن يتم مسح المفاتيح من ذاكرة التخزين المؤقت بعد الاستخدام. ضع في اعتبارك أنه لا يتم إيداع المفاتيح مطلقًا في مخزن طويل المدى. وبدلاً من ذلك، يتم تشفير DEK أو EDEK والاحتفاظ به مع البيانات المشفرة.

باختصار، يساعد BYOK مستخدمي الخدمة السحابية العامة على إنتاج مفاتيح التشفير ضمن النظام البيئي الخاص بهم والحفاظ على التحكم في هذه المفاتيح مع سهولة الوصول إليها على خادم سحابي من اختيارهم.

كيف يحل BYOK التحديات الأمنية؟

هناك عدة أسباب تجعل مديري الأمن وصناع القرار في مجال تكنولوجيا المعلومات يهتمون بـ BYOK، بل ويبحثون عنها عندما يقومون باستثمارات سحابية.

1. الالتزام بقوانين خصوصية البيانات

خلال عامي 2017 و2018، سنت 50 دولة قوانين جديدة بشأن الخصوصية. تتوقع اللوائح العامة لحماية البيانات (GDPR) الخاصة بالاتحاد الأوروبي من الشركات أن تحافظ على معلومات التعريف الشخصية لعملائها (PII) آمنة وسرية. عند إعادة توجيه معلومات تحديد الهوية الشخصية (PII) إلى موردين خارجيين، مثل موفري SaaS، تكون هذه المؤسسات مسؤولة أيضًا عن أمانها. يوفر BYOK إمكانية الوصول إلى البيانات والقدرة على إبطالها.

2. سهولة الانتقال الثقافي إلى السحابة، وذلك بفضل التحكم الممتد

يعد الأمان هو الاهتمام الرئيسي عندما تبدأ الشركات في تخزين البيانات على السحابة. يسمح BYOK للشركات باستعادة السيطرة على معلوماتها السرية. فهو يتيح فصل نظام القفل والمفتاح إلى نصفين - مما يمكّن الشركة من استخدام برامج مفاتيح التشفير الخاصة بها والاحتفاظ بسلطة مستقلة.

وهذا يمنح المؤسسات راحة البال التي كانت تبحث عنها (أن الموظفين المصرح لهم فقط هم من يمكنهم الوصول إلى بياناتهم الحساسة. وهذا مهم بشكل خاص عندما تقوم الشركات بتطبيق السحابة لأول مرة. كما يسمح لهم بمصادرة مفاتيح التشفير من الأفراد أو الأنظمة التي لا ينبغي أن يكون الوصول.

3. الاستعداد بشكل أفضل للبيئات السحابية غير المتجانسة

قد تكون إدارة العديد من مفاتيح التشفير عبر منصات متعددة (على سبيل المثال، مركز البيانات أو السحابة أو السحابة المتعددة) أمرًا صعبًا وتستغرق وقتًا طويلاً. يمكن للمؤسسات التعامل مع كافة بيانات اعتماد التشفير الخاصة بها من نظام أساسي واحد باستخدام نموذج تشفير BYOK.

فهو يعمل على مركزية الإدارة الرئيسية من خلال تقديم واجهة واحدة لإنشاء مفاتيح التشفير وتدويرها والحفاظ عليها. إذا كانت المؤسسة لديها بيانات موجودة في سحب متعددة (سحابة متعددة)، فقد تجمع إدارة السحابات المختلفة معًا تحت مسؤول واحد.

4. أضف طبقة أخرى من الأمان

هذه هي أوضح ميزة لامتلاك مفتاحك الخاص. ومن خلال عزل البيانات المشفرة عن المفتاح المرتبط بها، يقوم BYOK بإنشاء طبقة إضافية من الأمان للمعلومات السرية. باستخدام BYOK، يمكن للمؤسسات استخدام أدوات إدارة مفاتيح التشفير الخاصة بها لتخزين المفاتيح المشفرة والتأكد من أن بإمكانهم فقط الوصول إليها، وبالتالي زيادة أمان البيانات.

5. توفير المال، بشرط أن يكون لديك الخبرة الفنية

يتيح BYOK الإدارة الداخلية لبيانات اعتماد التشفير. ومن خلال الإشراف عليها، قد تتوقف المؤسسات عن الدفع مقابل خدمات الإدارة الرئيسية من موردين خارجيين. لكن هذا يحول دون إمكانية تكرار رسوم الاشتراك والترخيص.

كما تم تصميم تشفير BYOK لجعل البيانات غير مفهومة للجهات الفاعلة الخبيثة، مثل المتسللين وأولئك الذين يتظاهرون بأنهم مسؤولي السحابة. وهذا يمكن أن يقلل بشكل غير مباشر من التكاليف المرتبطة بالكشف عن معلومات قد تكون حساسة. وهذا بدوره يؤدي إلى تجنب عقوبات الامتثال الشديدة وخسارة الإيرادات.

أمثلة على BYOK من المستوى الأعلى: Zoom وSalesforce

لقد أصبح BYOK سريعًا هو معيار الصناعة وليس أداة تمييز. بالإضافة إلى جميع موفري الخدمات السحابية الرئيسيين، تنضم شركات SaaS أيضًا إلى العربة. في الواقع، تقدر معظم المؤسسات خيار إحضار مفاتيحها الخاصة، حتى لو اختارت الاعتماد على مزودي خدمة التشفير الخاصين بها للتشفير.

قدمت Zoom عرضًا رئيسيًا يديره العميل ومخصصًا لعملاء AWS Key Management Service (AWS KMS).

ويهدف إلى تلبية الاحتياجات التنظيمية للقطاعات المصرفية والمالية والرعاية الصحية. يجب أن يلتزم مقدمو الرعاية الصحية بمواصفات HIPAA، ويجب أن تمتثل الخدمات المالية لـ NY DFS وقانون Gramm-Leach-Bliley واللوائح الأخرى.

توفر Salesforce أيضًا ميزة BYOK كجزء من Salesforce Shield، وهي مجموعة من خدمات الأمان المدمجة أصلاً. فهو يمكّن المستخدمين من إنتاج مفتاح التشفير الخاص بهم بشكل مستقل عن Salesforce، مما يجعل النظام الأساسي أكثر أمانًا وسرية إلى حد كبير.

يمكن للمؤسسات استخدام مكتبات التشفير مفتوحة المصدر مثل OpenSSL، أو البنية التحتية الحالية لـ HSM، أو حل تابع لجهة خارجية مثل AWS KMS.

الأفكار الختامية: هل BYOK مقاوم للماء؟

في حين أن BYOK يقلل من مخاطر فقدان البيانات، خاصة بالنسبة للبيانات أثناء النقل، فإن أمانها يعتمد على قدرة الشركة على حماية مفاتيحها.

قد يؤدي فقدان مفاتيح التشفير إلى فقدان البيانات بشكل دائم. لتقليل هذه المخاطر، حاول إجراء نسخ احتياطي للمفاتيح بعد إنشائها وتدويرها، والامتناع عن حذف المفاتيح دون تشغيلها، وإنشاء إدارة شاملة لدورة حياة المفاتيح. بالإضافة إلى ذلك، سيكون من المفيد وجود خطة إدارية تشمل قواعد التناوب الرئيسية وخطوات الحفظ والإلغاء وسياسات الوصول.

وأخيرًا، لا يمكن تجاهل التكاليف المتعلقة بـ BYOK، مع التركيز على تكاليف الإدارة والدعم. اعتماد BYOK ليس بالأمر السهل؛ لذلك، قد يتعين على المؤسسات الاستثمار في فرق إضافية ووحدات HSM، مما يؤدي إلى تكبد نفقات أعلى.

باختصار، BYOK ليس حلاً سحريًا ولكنه عنصر ضروري لاستراتيجية الأمان الشاملة لديك. افحص جميع مسارات خروج البيانات وإدخالها، مثل واجهات برمجة التطبيقات (API) أو عمليات نقل الملفات، إلى جانب مجموعة متنوعة من معايير الوصول المميزة. وينطبق هذا أيضًا على المصادقة وأفضل الممارسات على مستوى الصناعة مثل انعدام الثقة.

بعد ذلك، اقرأ المستند التقني حول حماية بياناتك من البداية إلى النهاية لبناء استراتيجية الأمان الخاصة بك.