Traiga su propia clave (BYOK) para resolver los desafíos de seguridad

Si bien la computación en la nube tiene muchas ventajas, la seguridad ha sido un inconveniente porque los datos permanecen en el proveedor de servicios en la nube (CSP) y no están bajo el control directo del propietario de esta información. Esto significa que la seguridad de la clave de cifrado es de suma importancia para las organizaciones que seleccionan este método de protección de datos.

Definición de BYOK: ¿De qué se trata Bring Your Own Key?

Bring Your Own Key (BYOK) es, en esencia, un sistema de administración que permite a las empresas cifrar sus datos manteniendo el control y la gestión. Sin embargo, algunos programas BYOK cargan claves de cifrado en los servidores CSP. En estos casos, la empresa vuelve a perder la custodia de sus claves.

Una solución de mejores prácticas para este desafío de "traiga su propia clave" es que la organización produzca claves más sólidas a través de un módulo de seguridad de hardware (HSM) altamente seguro y controle la exportación segura de sus claves a la nube, lo que mejora su gestión de claves. procesos.

Desembalaje Traiga su propia llave (BYOK): ¿Cómo funciona?

Bring Your Own Key (BYOK) permite a las empresas conservar el control de las credenciales de cifrado de sus propios datos, independientemente del proveedor de nube que empleen para almacenar sus datos. Para lograr esto, se deben seguir los siguientes pasos:

• El proveedor de la nube genera sus propias claves de cifrado de datos (DEK) utilizando el administrador de claves en el módulo de seguridad de la plataforma en la nube.
• La organización emplea a un tercero para generar las claves de cifrado para estos DEK. La clave utilizada para cifrar la DEK de un CSP, generada por un tercero, se denomina clave de cifrado de clave (KEK).
• La KEK "envuelve" la DEK para garantizar que solo los miembros de la organización, que mantiene la propiedad y el control de la KEK, puedan desbloquear la DEK y acceder a los datos contenidos en el CSP. En ocasiones, este proceso se denomina "cerco de claves".
• Cuando se busca un tercero que pueda producir KEK y ofrecer empaques clave, la organización generalmente tiene dos alternativas:
  • Módulos de seguridad de hardware (HSM) : son componentes de hardware costosos, altamente seguros y especializados que pueden requerir herramientas y tecnologías adicionales para comunicarse con la nube.
  • Sistema de administración de claves (KMS) basado en software : estas aplicaciones se encuentran en servidores estándar. Las ventajas de emplear un KMS basado en software son una mayor adaptabilidad, una administración más sencilla y, en general, menores gastos.
• La DEK está disponible para los usuarios en el momento del cifrado y descifrado, pero las claves se borran de la caché después de su uso. Tenga en cuenta que las llaves nunca se depositan en un almacenamiento a largo plazo. En cambio, el DEK o EDEK se cifra y se conserva junto con los datos cifrados.

En pocas palabras, BYOK ayuda a los usuarios de servicios de nube pública a producir claves criptográficas dentro de su propio ecosistema y a mantener el control de estas claves con fácil acceso en un servidor de nube de su elección.

¿Cómo resuelve BYOK los desafíos de seguridad?

Hay bastantes razones para que los gerentes de seguridad y los tomadores de decisiones de TI se preocupen por BYOK, e incluso lo busquen cuando hacen inversiones en la nube.

1. Cumplir con las leyes de privacidad de datos

Entre 2017 y 2018, 50 países promulgaron nuevas leyes sobre privacidad. El Reglamento General de Protección de Datos (GDPR) de la UE espera que las empresas mantengan segura y confidencial la información de identificación personal (PII) de sus consumidores. Al reenviar PII a proveedores externos, como proveedores de SaaS, estas organizaciones también son responsables de su seguridad. BYOK ofrece visibilidad del acceso a los datos y la capacidad de revocarlos.

2. Facilite la transición cultural a la nube gracias al control ampliado

La seguridad es una preocupación principal cuando las empresas comienzan a almacenar datos en la nube. BYOK permite a las empresas recuperar el control de su información confidencial. Permite separar un sistema de cerradura y llave en dos mitades, lo que permite a la empresa utilizar sus propios programas de claves de cifrado y conservar una autoridad independiente.

Esto brinda a las organizaciones la tranquilidad que estaban buscando (que solo el personal autorizado tiene acceso a sus datos confidenciales). Esto es particularmente importante cuando las empresas implementan la nube por primera vez. También les permite confiscar claves de cifrado de personas o sistemas que no debería tener acceso.

3. Prepárese mejor para entornos de nube heterogéneos

Administrar muchas claves de cifrado en múltiples plataformas (p. ej., centro de datos, nube o múltiples nubes) puede resultar desafiante y llevar mucho tiempo. Las organizaciones pueden manejar todas sus credenciales de cifrado desde una única plataforma mediante el uso de un modelo de cifrado BYOK.

Centraliza la administración de claves al ofrecer una interfaz para la creación, rotación y conservación de claves de cifrado. Si la organización tiene datos ubicados en múltiples nubes (multi-cloud), podrá agrupar la gestión de las distintas nubes bajo un único administrador.

4. Añade otra capa de seguridad

Ésta es la ventaja más clara de tener tu propia clave. Al aislar los datos cifrados de su clave asociada, BYOK crea una capa adicional de seguridad para la información confidencial. Con BYOK, las organizaciones pueden utilizar sus herramientas de administración de claves de cifrado para almacenar claves cifradas y garantizar que solo ellas tengan acceso, aumentando así la seguridad de los datos.

5. Ahorre dinero, siempre que tenga la experiencia técnica

BYOK permite la administración interna de credenciales de cifrado. Al supervisarlos, las organizaciones pueden dejar de pagar por servicios de gestión clave de proveedores externos. Sin embargo, esto excluye la posibilidad de que se repitan cuotas de suscripción y licencia.

Además, el cifrado BYOK está diseñado para hacer que los datos sean ininteligibles para actores malintencionados, como piratas informáticos y quienes se hacen pasar por administradores de la nube. Esto puede reducir indirectamente los costos asociados con la divulgación de información potencialmente confidencial. A su vez, esto evita fuertes sanciones por cumplimiento y pérdida de ingresos.

Ejemplos de BYOK de primer nivel: Zoom y Salesforce

BYOK se está convirtiendo rápidamente en la norma de la industria en lugar de un diferenciador. Además de los principales proveedores de nube, también se están subiendo al tren las empresas SaaS. De hecho, la mayoría de las organizaciones aprecian la opción de traer sus propias claves, incluso si optan por confiar en sus CSP para el cifrado.

Zoom ha introducido una oferta de claves administradas por el cliente reservada para los clientes de AWS Key Management Service (AWS KMS).

Su objetivo es satisfacer las necesidades regulatorias de los sectores bancario, financiero y sanitario. Los proveedores de atención médica deben cumplir con las especificaciones de HIPAA y los servicios financieros deben cumplir con NY DFS, la Ley Gramm-Leach-Bliley y otras regulaciones.

Salesforce también proporciona una función BYOK como parte de Salesforce Shield, un conjunto de servicios de seguridad integrados de forma nativa. Permite a los usuarios producir su propia clave de cifrado independientemente de Salesforce, lo que hace que la plataforma sea considerablemente más segura y confidencial.

Las organizaciones pueden utilizar bibliotecas criptográficas de código abierto como OpenSSL, sus infraestructuras HSM actuales o una solución de terceros como AWS KMS.

Pensamientos finales: ¿BYOK es hermético?

Si bien BYOK reduce el riesgo de pérdida de datos, especialmente los datos en tránsito, su seguridad depende de la capacidad de la empresa para proteger sus claves.

La pérdida de claves de cifrado puede culminar en una pérdida permanente de datos. Para reducir este riesgo, intente hacer una copia de seguridad de las claves después de su generación y rotación, desista de eliminar claves sin desencadenantes y establezca una gestión exhaustiva del ciclo de vida de las claves. Además, será beneficioso contar con un plan de administración que abarque reglas de rotación de claves, preservación, pasos de revocación y políticas de acceso.

Por último, no se pueden ignorar los costes relacionados con BYOK, teniendo en cuenta los costes de gestión y soporte. La adopción de BYOK no es fácil; por lo tanto, es posible que las organizaciones tengan que invertir en equipos y HSM adicionales, lo que incurrirá en mayores gastos.

En resumen, BYOK no es una solución mágica, sino un componente necesario de su estrategia general de seguridad. Examine todas las vías de entrada y salida de datos, como API o transferencias de archivos, junto con una variedad de criterios de acceso privilegiado. Esto también se aplica a la autenticación y a las mejores prácticas de toda la industria, como la confianza cero.

A continuación, lea el documento técnico sobre Protección de sus datos de un extremo a otro para desarrollar su estrategia de seguridad.