Bringen Sie Ihren eigenen Schlüssel (BYOK) mit, um Sicherheitsherausforderungen zu lösen

Obwohl Cloud Computing viele Vorteile bietet, stellt die Sicherheit einen Nachteil dar, da die Daten beim Cloud-Dienstanbieter (CSP) verbleiben und nicht der direkten Kontrolle des Eigentümers dieser Informationen unterliegen. Das bedeutet, dass die Sicherheit des Verschlüsselungsschlüssels für Unternehmen, die diese Datenschutzmethode wählen, von größter Bedeutung ist.

Definition von BYOK: Worum geht es bei „Bring Your Own Key“?

Bring Your Own Key (BYOK) ist im Wesentlichen ein Verwaltungssystem, das es Unternehmen ermöglicht, ihre Daten zu verschlüsseln und gleichzeitig die Kontrolle und Verwaltung zu behalten. Einige BYOK-Programme laden jedoch Verschlüsselungsschlüssel auf die CSP-Server hoch. In diesen Fällen verliert das Unternehmen erneut das Sorgerecht für seine Schlüssel.

Eine Best-Practice-Lösung für diese „Bringen Sie Ihren eigenen Schlüssel“-Herausforderung besteht darin, dass das Unternehmen mithilfe eines hochsicheren Hardware-Sicherheitsmoduls (HSM) robustere Schlüssel erstellt und den sicheren Export seiner Schlüssel in die Cloud regelt – was die Schlüsselverwaltung verbessert Prozesse.

Auspacken von Bring Your Own Key (BYOK): Wie funktioniert es?

Bring Your Own Key (BYOK) ermöglicht es Unternehmen, die Kontrolle über die Verschlüsselungsdaten ihrer eigenen Daten zu behalten, unabhängig davon, welchen Cloud-Anbieter sie zum Speichern ihrer Daten nutzen. Um dies zu erreichen, müssen folgende Schritte unternommen werden:

• Der Cloud-Anbieter generiert seine eigenen Datenverschlüsselungsschlüssel (DEKs) mithilfe des Schlüsselmanagers im Sicherheitsmodul der Cloud-Plattform.
• Die Organisation beauftragt einen Dritten mit der Generierung der Verschlüsselungsschlüssel für diese DEKs. Der von einem Dritten erstellte Schlüssel zum Verschlüsseln des DEK eines CSP wird als Key Encryption Key (KEK) bezeichnet.
• Der KEK „umhüllt“ den DEK, um sicherzustellen, dass nur Mitglieder der Organisation, die das Eigentum und die Kontrolle über den KEK behält, den DEK entsperren und auf die im CSP enthaltenen Daten zugreifen können. Gelegentlich wird dieser Vorgang auch als „Schlüsselumrundung“ bezeichnet.
• Bei der Suche nach einem Drittanbieter, der KEKs herstellen und Schlüsselverpackungen anbieten kann, hat die Organisation normalerweise zwei Alternativen:
  • Hardware-Sicherheitsmodule (HSMs) : Dies sind teure, hochsichere und spezialisierte Hardwarekomponenten, die möglicherweise zusätzliche Tools und Technologien für die Kommunikation mit der Cloud erfordern.
  • Softwarebasiertes Schlüsselverwaltungssystem (KMS) : Diese Apps befinden sich auf Standardservern. Die Vorteile des Einsatzes eines softwarebasierten KMS sind eine größere Anpassungsfähigkeit, eine einfachere Verwaltung und allgemein geringere Kosten.
• Der DEK steht Benutzern zum Zeitpunkt der Ver- und Entschlüsselung zur Verfügung, die Schlüssel werden jedoch nach der Verwendung aus dem Cache gelöscht. Bedenken Sie, dass Schlüssel niemals langfristig aufbewahrt werden. Stattdessen wird der DEK oder EDEK verschlüsselt und zusammen mit den verschlüsselten Daten aufbewahrt.

Kurz gesagt: BYOK hilft Benutzern öffentlicher Cloud-Dienste dabei, kryptografische Schlüssel innerhalb ihres eigenen Ökosystems zu erstellen und die Kontrolle über diese Schlüssel zu behalten, indem sie auf einem Cloud-Server ihrer Wahl leicht zugänglich sind.

Wie löst BYOK Sicherheitsherausforderungen?

Es gibt eine ganze Reihe von Gründen für Sicherheitsmanager und IT-Entscheidungsträger, sich für BYOK zu interessieren und es sogar bei Cloud-Investitionen in Betracht zu ziehen.

1. Halten Sie die Datenschutzgesetze ein

In den Jahren 2017 und 2018 haben 50 Länder neue Gesetze zum Datenschutz erlassen. Die Datenschutz-Grundverordnung (DSGVO) der EU verlangt von Unternehmen, dass sie die personenbezogenen Daten (PII) ihrer Verbraucher sicher und vertraulich behandeln. Bei der Weiterleitung personenbezogener Daten an externe Anbieter, beispielsweise SaaS-Anbieter, sind diese Organisationen ebenfalls für ihre Sicherheit verantwortlich. BYOK bietet Einblick in den Datenzugriff und die Möglichkeit, ihn zu widerrufen.

2. Erleichtern Sie den kulturellen Übergang zur Cloud dank erweiterter Kontrolle

Sicherheit ist ein Hauptanliegen, wenn Unternehmen beginnen, Daten in der Cloud zu speichern. BYOK ermöglicht es Unternehmen, die Kontrolle über ihre vertraulichen Informationen zurückzugewinnen. Es ermöglicht die Trennung eines Schloss- und Schlüsselsystems in zwei Hälften – so kann das Unternehmen seine eigenen Verschlüsselungsschlüsselprogramme verwenden und unabhängige Autorität behalten.

Dies gibt Unternehmen die Sicherheit, nach der sie gesucht haben (dass nur autorisiertes Personal Zugriff auf ihre sensiblen Daten hat). Dies ist besonders wichtig, wenn Unternehmen die Cloud zum ersten Mal implementieren. Außerdem können sie Verschlüsselungsschlüssel von Personen oder Systemen beschlagnahmen, die sie benötigen sollte keinen Zugriff haben.

3. Bereiten Sie sich besser auf heterogene Cloud-Umgebungen vor

Die Verwaltung vieler Verschlüsselungsschlüssel über mehrere Plattformen hinweg (z. B. Rechenzentrum, Cloud oder Multi-Cloud) kann schwierig und zeitaufwändig sein. Mithilfe eines BYOK-Verschlüsselungsmodells können Organisationen alle ihre Verschlüsselungsanmeldeinformationen von einer einzigen Plattform aus verwalten.

Es zentralisiert die Schlüsselverwaltung, indem es eine Schnittstelle für die Erstellung, Rotation und Aufbewahrung von Verschlüsselungsschlüsseln bietet. Wenn die Organisation über Daten verfügt, die sich in mehreren Clouds befinden (Multi-Cloud), kann die Verwaltung der verschiedenen Clouds unter einem einzigen Administrator zusammengefasst werden.

4. Fügen Sie eine weitere Sicherheitsebene hinzu

Das ist der klarste Vorteil eines eigenen Schlüssels. Durch die Isolierung der verschlüsselten Daten vom zugehörigen Schlüssel schafft BYOK eine zusätzliche Sicherheitsebene für vertrauliche Informationen. Mit BYOK können Unternehmen ihre Tools zur Verwaltung von Verschlüsselungsschlüsseln verwenden, um verschlüsselte Schlüssel zu speichern und sicherzustellen, dass nur sie Zugriff haben, wodurch die Datensicherheit erhöht wird.

5. Sparen Sie Geld, vorausgesetzt, Sie verfügen über das technische Know-how

BYOK ermöglicht die interne Verwaltung von Verschlüsselungszugangsdaten. Durch die Überwachung können Unternehmen möglicherweise aufhören, für wichtige Verwaltungsdienste von Drittanbietern zu bezahlen. Dies schließt jedoch die Möglichkeit wiederkehrender Abonnement- und Lizenzgebühren aus.

Darüber hinaus soll die BYOK-Verschlüsselung Daten für böswillige Akteure wie Hacker und solche, die sich als Cloud-Administratoren ausgeben, unleserlich machen. Dadurch können indirekt die mit der Offenlegung potenziell sensibler Informationen verbundenen Kosten gesenkt werden. Dies wiederum verhindert hohe Compliance-Strafen und Umsatzeinbußen.

Top-Tier-BYOK-Beispiele: Zoom und Salesforce

BYOK entwickelt sich schnell zur Branchennorm und nicht mehr zum Alleinstellungsmerkmal. Neben allen großen Cloud-Anbietern springen auch SaaS-Unternehmen auf den Zug auf. Tatsächlich schätzen die meisten Organisationen die Möglichkeit, ihre eigenen Schlüssel mitzubringen, auch wenn sie sich bei der Verschlüsselung lieber auf ihre CSPs verlassen.

Zoom hat ein kundenverwaltetes Schlüsselangebot eingeführt, das für Kunden des AWS Key Management Service (AWS KMS) reserviert ist.

Es soll den regulatorischen Anforderungen des Banken-, Finanz- und Gesundheitssektors gerecht werden. Gesundheitsdienstleister müssen die HIPAA-Spezifikationen einhalten und Finanzdienstleistungen müssen dem NY DFS, dem Gramm-Leach-Bliley Act und anderen Vorschriften entsprechen.

Salesforce bietet außerdem eine BYOK-Funktion als Teil von Salesforce Shield, einer Suite nativ integrierter Sicherheitsdienste. Es ermöglicht Benutzern, unabhängig von Salesforce ihren eigenen Verschlüsselungsschlüssel zu erstellen, was die Plattform deutlich sicherer und vertraulicher macht.

Unternehmen können Open-Source-Kryptografiebibliotheken wie OpenSSL, ihre aktuellen HSM-Infrastrukturen oder eine Drittanbieterlösung wie AWS KMS verwenden.

Abschließende Gedanken: Ist BYOK wasserdicht?

Während BYOK das Risiko eines Datenverlusts verringert, insbesondere bei Daten während der Übertragung, hängt seine Sicherheit von der Fähigkeit des Unternehmens ab, seine Schlüssel zu schützen.

Der Verlust von Verschlüsselungsschlüsseln kann zu einem dauerhaften Datenverlust führen. Um dieses Risiko zu verringern, versuchen Sie, Schlüssel nach ihrer Generierung und Rotation zu sichern, löschen Sie keine Schlüssel ohne Auslöser und richten Sie ein umfassendes Schlüssellebenszyklusmanagement ein. Darüber hinaus ist es von Vorteil, über einen Verwaltungsplan zu verfügen, der wichtige Rotationsregeln, Aufbewahrung, Widerrufsschritte und Zugriffsrichtlinien umfasst.

Schließlich dürfen die mit BYOK verbundenen Kosten nicht außer Acht gelassen werden – mit Blick auf die Verwaltungs- und Supportkosten. Die Einführung von BYOK ist nicht einfach; Daher müssen Unternehmen möglicherweise in zusätzliche Teams und HSMs investieren, was zu höheren Kosten führt.

Kurz gesagt, BYOK ist kein Allheilmittel, sondern ein notwendiger Bestandteil Ihrer übergreifenden Sicherheitsstrategie. Untersuchen Sie alle Datenausgangs- und -eingangspfade, wie APIs oder Dateiübertragungen, zusammen mit einer Vielzahl privilegierter Zugriffskriterien. Dies gilt auch für die Authentifizierung und branchenweite Best Practices wie Zero Trust.

Lesen Sie als Nächstes das Whitepaper „End-to-End-Schutz Ihrer Daten“, um Ihre Sicherheitsstrategie zu entwickeln.