Przynieś własny klucz (BYOK), aby rozwiązać problemy związane z bezpieczeństwem

Chociaż przetwarzanie w chmurze ma wiele zalet, bezpieczeństwo jest wadą, ponieważ dane pozostają u dostawcy usług w chmurze (CSP) i nie są pod bezpośrednią kontrolą właściciela tych informacji. Oznacza to, że bezpieczeństwo klucza szyfrującego ma ogromne znaczenie dla organizacji, które wybierają tę metodę ochrony danych.

Definicja BYOK: na czym polega przyniesienie własnego klucza?

Bring Your Own Key (BYOK) to w istocie system administracyjny, który umożliwia firmom szyfrowanie swoich danych przy jednoczesnym zachowaniu kontroli i zarządzania. Niektóre programy BYOK przesyłają jednak klucze szyfrujące do serwerów CSP. W takich przypadkach firma po raz kolejny traci kontrolę nad swoimi kluczami.

Najlepszym rozwiązaniem problemu „przynieś własny klucz” jest wytworzenie przez organizację solidniejszych kluczy za pomocą bardzo bezpiecznego sprzętowego modułu zabezpieczeń (HSM) i zarządzanie bezpiecznym eksportem kluczy do chmury, co usprawnia zarządzanie kluczami procesy.

Rozpakowywanie Przynieś własny klucz (BYOK): Jak to działa?

Bring Your Own Key (BYOK) umożliwia firmom zachowanie kontroli nad poświadczeniami szyfrowania ich własnych danych, niezależnie od dostawców usług w chmurze, których zatrudniają do przechowywania swoich danych. Aby to osiągnąć, należy podjąć następujące kroki:

• Dostawca usług w chmurze generuje własne klucze szyfrowania danych (DEK), korzystając z menedżera kluczy w module bezpieczeństwa platformy w chmurze.
• Organizacja zatrudnia stronę trzecią do generowania kluczy szyfrujących dla tych DEK. Klucz używany do szyfrowania DEK dostawcy CSP, spowodowany przez stronę trzecią, nazywany jest kluczem szyfrowania klucza (KEK).
• KEK „opakuje” DEK, aby zapewnić, że tylko członkowie organizacji, która zachowuje własność KEK i kontrolę nad nim, mogą odblokować DEK i uzyskać dostęp do danych zawartych w CSP. Czasami proces ten nazywany jest „otaczaniem klucza”.
• Patrząc na stronę trzecią, która może produkować KEK i oferować opakowania na klucze, organizacja ma zwykle dwie możliwości:
  • Sprzętowe moduły bezpieczeństwa (HSM) : są to drogie, wysoce bezpieczne i wyspecjalizowane komponenty sprzętowe, które mogą wymagać dodatkowych narzędzi i technologii do komunikacji z chmurą.
  • System zarządzania kluczami oparty na oprogramowaniu (KMS) : te aplikacje znajdują się na standardowych serwerach. Zaletami stosowania KMS opartego na oprogramowaniu są większe możliwości adaptacji, łatwiejsza administracja i ogólnie mniejsze koszty.
• DEK jest dostępny dla użytkowników w momencie szyfrowania i deszyfrowania, ale klucze są usuwane z pamięci podręcznej po użyciu. Należy pamiętać, że klucze nigdy nie są składowane długoterminowo. Zamiast tego DEK lub EDEK są szyfrowane i zachowywane wraz z zaszyfrowanymi danymi.

Krótko mówiąc, BYOK pomaga użytkownikom usług chmury publicznej tworzyć klucze kryptograficzne w ich własnym ekosystemie i utrzymywać kontrolę nad tymi kluczami dzięki łatwemu dostępowi na wybranym przez nich serwerze w chmurze.

W jaki sposób BYOK rozwiązuje wyzwania związane z bezpieczeństwem?

Istnieje wiele powodów, dla których menedżerowie ds. bezpieczeństwa i decydenci IT powinni zwracać uwagę na rozwiązanie BYOK, a nawet szukać go przy inwestycjach w chmurę.

1. Przestrzegaj przepisów dotyczących ochrony danych

W latach 2017 i 2018 50 krajów przyjęło nowe przepisy dotyczące prywatności. Ogólne rozporządzenie o ochronie danych UE (RODO) wymaga, aby firmy dbały o bezpieczeństwo i poufność danych osobowych swoich konsumentów. Przesyłając informacje umożliwiające identyfikację osobom zewnętrznym, takim jak dostawcy SaaS, organizacje te są również odpowiedzialne za swoje bezpieczeństwo. BYOK zapewnia wgląd w dostęp do danych i możliwość jego odwołania.

2. Ułatw kulturowe przejście do chmury dzięki rozszerzonej kontroli

Bezpieczeństwo jest główną troską, gdy firmy zaczynają przechowywać dane w chmurze. BYOK pozwala firmom odzyskać kontrolę nad ich poufnymi informacjami. Umożliwia rozdzielenie systemu zamka i klucza na dwie połowy – umożliwiając firmie korzystanie z własnych programów kluczy szyfrujących i zachowanie niezależnych uprawnień.

Daje to organizacjom spokój ducha, którego szukały (że tylko upoważniony personel ma dostęp do ich wrażliwych danych. Jest to szczególnie ważne, gdy firmy wdrażają chmurę po raz pierwszy. Pozwala im także konfiskować klucze szyfrujące od osób lub systemów, które nie powinien mieć dostępu.

3. Lepiej przygotuj się na heterogeniczne środowiska chmurowe

Administrowanie wieloma kluczami szyfrowania na wielu platformach (np. centrum danych, chmura lub wiele chmur) może być trudne i czasochłonne. Organizacje mogą obsługiwać wszystkie swoje dane uwierzytelniające z poziomu jednej platformy, korzystając z modelu szyfrowania BYOK.

Centralizuje administrację kluczami, oferując jeden interfejs do tworzenia, rotacji i przechowywania kluczy szyfrujących. Jeśli organizacja posiada dane zlokalizowane w wielu chmurach (multi-cloud), może połączyć zarządzanie różnymi chmurami w ramach jednego administratora.

4. Dodaj kolejną warstwę zabezpieczeń

To jest najoczywistsza zaleta posiadania własnego klucza. Izolując zaszyfrowane dane od powiązanego z nimi klucza, BYOK tworzy dodatkową warstwę bezpieczeństwa poufnych informacji. Dzięki BYOK organizacje mogą używać narzędzi do zarządzania kluczami szyfrowania do przechowywania zaszyfrowanych kluczy i zapewniać, że tylko one mają do nich dostęp, zwiększając w ten sposób bezpieczeństwo danych.

5. Oszczędzaj pieniądze, pod warunkiem, że masz wiedzę techniczną

BYOK umożliwia wewnętrzne administrowanie poświadczeniami szyfrowania. Nadzorując je, organizacje mogą przestać płacić za kluczowe usługi zarządzania oferowane przez zewnętrznych dostawców. Wyklucza to jednak możliwość powtarzających się opłat abonamentowych i licencyjnych.

Ponadto szyfrowanie BYOK ma na celu uniemożliwienie zrozumienia danych złośliwym podmiotom, takim jak hakerzy i osoby udające administratorów chmury. Może to pośrednio obniżyć koszty związane z ujawnieniem potencjalnie wrażliwych informacji. To z kolei pozwala uniknąć wysokich kar za nieprzestrzeganie przepisów i utraty przychodów.

Przykłady BYOK najwyższej klasy: Zoom i Salesforce

BYOK szybko staje się normą branżową, a nie wyróżnikiem. Oprócz wszystkich głównych dostawców usług w chmurze, firmy SaaS również podążają za modą. Rzeczywiście większość organizacji docenia możliwość przyniesienia własnych kluczy, nawet jeśli zdecydują się polegać na swoich dostawcach CSP w zakresie szyfrowania.

Zoom wprowadził ofertę kluczy zarządzanych przez klienta, zarezerwowaną dla klientów usługi zarządzania kluczami AWS (AWS KMS).

Ma służyć zaspokojeniu potrzeb regulacyjnych sektora bankowości, finansów i opieki zdrowotnej. Świadczeniodawcy muszą przestrzegać specyfikacji HIPAA, a usługi finansowe muszą być zgodne z przepisami NY DFS, ustawą Gramm-Leach-Bliley Act i innymi przepisami.

Salesforce udostępnia także funkcję BYOK w ramach Salesforce Shield – pakietu natywnie zintegrowanych usług bezpieczeństwa. Umożliwia użytkownikom wygenerowanie własnego klucza szyfrującego niezależnie od Salesforce, co czyni platformę znacznie bezpieczniejszą i poufną.

Organizacje mogą korzystać z bibliotek kryptograficznych typu open source, takich jak OpenSSL, swojej obecnej infrastruktury HSM lub rozwiązań innych firm, takich jak AWS KMS.

Końcowe przemyślenia: Czy BYOK jest wodoszczelny?

Chociaż BYOK zmniejsza ryzyko utraty danych, szczególnie w przypadku danych przesyłanych, jego bezpieczeństwo zależy od zdolności firmy do ochrony swoich kluczy.

Utrata kluczy szyfrujących może zakończyć się trwałą utratą danych. Aby zmniejszyć to ryzyko, spróbuj wykonać kopię zapasową kluczy po ich wygenerowaniu i rotacji, zaprzestań usuwania kluczy bez wyzwalaczy i zapewnij kompleksowe zarządzanie cyklem życia kluczy. Ponadto korzystne będzie posiadanie planu administracyjnego obejmującego zasady rotacji kluczy, zachowywania, etapów unieważniania i zasad dostępu.

Wreszcie nie można pominąć kosztów związanych z BYOK – mając na uwadze koszty zarządzania i wsparcia. Wdrożenie BYOK nie jest łatwe; dlatego organizacje mogą być zmuszone do inwestowania w dodatkowe zespoły i HSM, co wiąże się z większymi wydatkami.

Krótko mówiąc, BYOK nie jest lekarstwem, ale niezbędnym elementem nadrzędnej strategii bezpieczeństwa. Sprawdź wszystkie ścieżki wychodzące i przychodzące danych, takie jak interfejsy API lub transfery plików, wraz z różnymi kryteriami uprzywilejowanego dostępu. Dotyczy to również uwierzytelniania i najlepszych praktyk branżowych, takich jak zero zaufania.

W następnej kolejności przeczytaj oficjalny dokument na temat kompleksowej ochrony danych, aby opracować strategię bezpieczeństwa.