Bawa Kunci Anda Sendiri (BYOK) untuk Mengatasi Tantangan Keamanan

Meskipun komputasi awan memiliki banyak keuntungan, keamanan menjadi kelemahan karena data tetap berada di penyedia layanan awan (CSP) dan tidak berada di bawah kendali langsung pemilik informasi tersebut. Ini berarti keamanan kunci enkripsi adalah hal yang paling penting bagi organisasi yang memilih metode perlindungan data ini.

Mendefinisikan BYOK: Tentang Apa Membawa Kunci Anda Sendiri?

Bring Your Own Key (BYOK) pada dasarnya adalah sistem administrasi yang memungkinkan bisnis mengenkripsi data mereka sambil tetap mempertahankan kendali dan manajemen. Namun, beberapa program BYOK mengunggah kunci enkripsi ke server CSP. Dalam kasus ini, perusahaan sekali lagi kehilangan hak asuh atas kuncinya.

Solusi praktik terbaik untuk tantangan “bawa kunci Anda sendiri” ini adalah agar organisasi dapat menghasilkan kunci yang lebih kuat melalui modul keamanan perangkat keras (HSM) yang sangat aman dan mengatur ekspor kunci yang aman ke cloud – sehingga meningkatkan manajemen kuncinya. proses.

Membongkar Bawa Kunci Anda Sendiri (BYOK): Bagaimana Cara Kerjanya?

Bawa Kunci Anda Sendiri (BYOK) memungkinkan bisnis untuk mempertahankan kendali atas kredensial enkripsi untuk data mereka sendiri, terlepas dari penyedia cloud yang mereka gunakan untuk menyimpan data mereka. Untuk mencapai hal ini, langkah-langkah berikut harus diambil:

• Penyedia cloud menghasilkan kunci enkripsi data (DEK) sendiri menggunakan manajer kunci dalam modul keamanan platform cloud.
• Organisasi ini mempekerjakan pihak ketiga untuk menghasilkan kunci enkripsi untuk DEK ini. Kunci yang digunakan untuk mengenkripsi DEK CSP yang disebabkan oleh pihak ketiga disebut kunci enkripsi kunci (KEK).
• KEK 'membungkus' DEK untuk memastikan hanya anggota organisasi, yang mempertahankan kepemilikan dan kendali KEK, yang dapat membuka DEK dan mengakses data yang terdapat dalam CSP. Kadang-kadang, proses ini disebut sebagai 'pengelilingan kunci'.
• Saat mencari pihak ketiga yang dapat memproduksi KEK dan menawarkan kemasan kunci, organisasi tersebut biasanya memiliki dua alternatif:
  • Modul keamanan perangkat keras (HSM) : Ini adalah komponen perangkat keras khusus yang mahal, sangat aman, dan mungkin memerlukan alat dan teknologi tambahan untuk berkomunikasi dengan cloud.
  • Sistem manajemen kunci berbasis perangkat lunak (KMS) : Aplikasi ini ada di server standar. Keuntungan menggunakan KMS berbasis perangkat lunak adalah kemampuan beradaptasi yang lebih baik, administrasi yang lebih mudah, dan biaya yang umumnya lebih rendah.
• DEK tersedia untuk pengguna pada saat enkripsi dan dekripsi, tetapi kuncinya dihapus dari cache setelah digunakan. Ingatlah bahwa kunci tidak pernah disimpan dalam penyimpanan jangka panjang. Sebaliknya, DEK atau EDEK dienkripsi dan disimpan bersama dengan data terenkripsi.

Singkatnya, BYOK membantu pengguna layanan cloud publik menghasilkan kunci kriptografi dalam ekosistem mereka sendiri dan mempertahankan kendali atas kunci tersebut dengan aksesibilitas yang mudah di server cloud pilihan mereka.

Bagaimana BYOK Mengatasi Tantangan Keamanan?

Ada beberapa alasan bagi manajer keamanan dan pengambil keputusan TI untuk peduli terhadap BYOK, dan bahkan mencarinya ketika mereka melakukan investasi cloud.

1. Mematuhi undang-undang privasi data

Sepanjang tahun 2017 dan 2018, 50 negara memberlakukan undang-undang privasi baru. Peraturan Perlindungan Data Umum (GDPR) Uni Eropa mengharapkan perusahaan menjaga informasi identitas pribadi (PII) konsumennya tetap aman dan rahasia. Saat meneruskan PII ke vendor luar, seperti penyedia SaaS, organisasi ini juga bertanggung jawab atas keamanan mereka. BYOK menawarkan visibilitas terhadap akses data dan kapasitas untuk mencabutnya.

2. Mempermudah transisi budaya ke cloud, berkat kontrol yang lebih luas

Keamanan adalah perhatian utama ketika perusahaan mulai menyimpan data di cloud. BYOK memungkinkan bisnis untuk mengambil kembali kendali atas informasi rahasia mereka. Hal ini memungkinkan pemisahan sistem gembok dan kunci menjadi dua bagian – memungkinkan perusahaan untuk menggunakan program kunci enkripsinya sendiri dan mempertahankan otoritas independen.

Hal ini memberikan ketenangan pikiran bagi organisasi yang mereka cari (bahwa hanya personel yang berwenang yang memiliki akses ke data sensitif mereka. Hal ini sangat penting ketika perusahaan menerapkan cloud untuk pertama kalinya. Hal ini juga memungkinkan mereka untuk menyita kunci enkripsi dari individu atau sistem yang seharusnya tidak memiliki akses.

3. Mempersiapkan diri dengan lebih baik untuk lingkungan cloud yang heterogen

Mengelola banyak kunci enkripsi di berbagai platform (misalnya pusat data, cloud, atau multi-cloud) dapat menjadi tantangan dan memakan waktu. Organisasi dapat menangani semua kredensial enkripsi mereka dari satu platform dengan menggunakan model enkripsi BYOK.

Ini memusatkan administrasi kunci dengan menawarkan satu antarmuka untuk pembuatan, rotasi, dan pelestarian kunci enkripsi. Jika organisasi memiliki data yang terletak di beberapa cloud (multi-cloud), organisasi tersebut dapat menyatukan pengelolaan berbagai cloud di bawah satu administrator.

4. Tambahkan lapisan keamanan lainnya

Ini adalah keuntungan paling jelas dari memiliki kunci Anda sendiri. Dengan mengisolasi data terenkripsi dari kunci terkait, BYOK menciptakan lapisan keamanan tambahan untuk informasi rahasia. Dengan BYOK, organisasi dapat menggunakan alat manajemen kunci enkripsi mereka untuk menyimpan kunci terenkripsi dan memastikan bahwa hanya mereka yang memiliki akses, sehingga meningkatkan keamanan data.

5. Menghemat uang, asalkan Anda memiliki keahlian teknis

BYOK memungkinkan administrasi kredensial enkripsi internal. Dengan mengawasinya, organisasi dapat berhenti membayar layanan manajemen kunci dari vendor pihak ketiga. Namun, hal ini menghalangi kemungkinan biaya berlangganan dan lisensi berulang.

Selain itu, enkripsi BYOK dirancang untuk membuat data tidak dapat dipahami oleh pelaku jahat, seperti peretas dan mereka yang menyamar sebagai administrator cloud. Hal ini secara tidak langsung dapat mengurangi biaya yang terkait dengan pengungkapan informasi yang berpotensi sensitif. Pada gilirannya, hal ini menghindari denda kepatuhan yang besar dan hilangnya pendapatan.

Contoh BYOK Tingkat Atas: Zoom dan Salesforce

BYOK dengan cepat menjadi norma industri dan bukan menjadi pembeda. Selain semua penyedia cloud besar, perusahaan SaaS juga ikut-ikutan. Memang benar, sebagian besar organisasi menghargai opsi untuk membawa kunci mereka sendiri, meskipun mereka memilih untuk mengandalkan CSP mereka untuk enkripsi.

Zoom telah memperkenalkan penawaran kunci yang dikelola pelanggan yang disediakan untuk pelanggan AWS Key Management Service (AWS KMS).

Hal ini dimaksudkan untuk memenuhi kebutuhan regulasi di sektor perbankan, keuangan, dan layanan kesehatan. Penyedia layanan kesehatan harus mematuhi spesifikasi HIPAA, dan layanan keuangan harus mematuhi NY DFS, Gramm-Leach-Bliley Act, dan peraturan lainnya.

Salesforce juga menyediakan fitur BYOK sebagai bagian dari Salesforce Shield, serangkaian layanan keamanan yang terintegrasi secara asli. Hal ini memungkinkan pengguna untuk menghasilkan kunci enkripsi mereka sendiri secara independen dari Salesforce, yang menjadikan platform ini jauh lebih aman dan rahasia.

Organisasi dapat menggunakan perpustakaan kriptografi sumber terbuka seperti OpenSSL, infrastruktur HSM mereka saat ini, atau solusi pihak ketiga seperti AWS KMS.

Penutup Pikiran: Apakah BYOK Kedap Air?

Meskipun BYOK mengurangi risiko kehilangan data, terutama untuk data saat transit, keamanannya bergantung pada kapasitas perusahaan untuk melindungi kuncinya.

Hilangnya kunci enkripsi dapat mengakibatkan hilangnya data secara permanen. Untuk mengurangi risiko ini, cobalah mencadangkan kunci setelah pembuatan dan rotasinya, berhenti menghapus kunci tanpa pemicu, dan terapkan manajemen siklus hidup kunci yang menyeluruh. Selain itu, memiliki rencana administrasi yang mencakup aturan rotasi utama, pelestarian, langkah-langkah pencabutan, dan kebijakan akses akan bermanfaat.

Yang terakhir, biaya yang terkait dengan BYOK tidak dapat diabaikan – dengan memperhatikan biaya manajemen dan dukungan. Adopsi BYOK tidaklah mudah; oleh karena itu, organisasi mungkin harus berinvestasi dalam tim dan HSM tambahan, sehingga menimbulkan biaya yang lebih tinggi.

Singkatnya, BYOK bukanlah obat mujarab, melainkan komponen penting dalam strategi keamanan Anda secara menyeluruh. Periksa semua jalur keluar dan masuk data, seperti API atau transfer file, beserta berbagai kriteria akses istimewa. Hal ini juga berlaku untuk autentikasi dan praktik terbaik industri seperti zero trust.

Selanjutnya, baca whitepaper tentang Melindungi Data Anda Secara End-to-End untuk membangun strategi keamanan Anda.