Traga sua própria chave (BYOK) para resolver desafios de segurança

Embora a computação em nuvem tenha muitas vantagens, a segurança tem sido uma desvantagem porque os dados permanecem com o provedor de serviços em nuvem (CSP) e não estão sob o controle direto do proprietário dessas informações. Isto significa que a segurança da chave de criptografia é de extrema importância para as organizações que selecionam este método de proteção de dados.

Definindo BYOK: O que significa trazer sua própria chave?

Bring Your Own Key (BYOK) é, em sua essência, um sistema de administração que permite às empresas criptografar seus dados enquanto mantêm o controle e o gerenciamento. Alguns programas BYOK, entretanto, carregam chaves de criptografia para os servidores CSP. Nesses casos, a empresa perde mais uma vez a custódia de suas chaves.

Uma solução de melhores práticas para esse desafio de “traga sua própria chave” é a organização produzir chaves mais robustas por meio de um módulo de segurança de hardware (HSM) altamente seguro e controlar a exportação segura de suas chaves para a nuvem – o que melhora seu gerenciamento de chaves. processos.

Desempacotando Traga sua própria chave (BYOK): Como funciona?

Traga sua própria chave (BYOK) permite que as empresas mantenham o controle das credenciais de criptografia de seus próprios dados, independentemente do(s) provedor(es) de nuvem que empregam para armazenar seus dados. Para conseguir isso, as seguintes etapas devem ser executadas:

• O provedor de nuvem gera suas próprias chaves de criptografia de dados (DEKs) usando o gerenciador de chaves no módulo de segurança da plataforma de nuvem.
• A organização emprega terceiros para gerar as chaves de criptografia para esses DEKs. A chave usada para criptografar a DEK de um CSP, causada por terceiros, é chamada de chave de criptografia de chave (KEK).
• A KEK “envolve” a DEK para garantir que apenas os membros da organização, que mantém a propriedade e o controle da KEK, possam desbloquear a DEK e acessar os dados contidos no CSP. Ocasionalmente, esse processo é chamado de “cercamento de chave”.
• Ao procurar um terceiro que possa produzir KEKs e oferecer embalagens essenciais, a organização geralmente tem duas alternativas:
  • Módulos de segurança de hardware (HSMs) : são componentes de hardware caros, altamente seguros e especializados que podem exigir ferramentas e tecnologias adicionais para se comunicar com a nuvem.
  • Sistema de gerenciamento de chaves baseado em software (KMS) : esses aplicativos estão em servidores padrão. As vantagens de empregar um KMS baseado em software são maior adaptabilidade, administração mais fácil e redução geral de despesas.
• A DEK está disponível para os usuários no momento da criptografia e descriptografia, mas as chaves são apagadas do cache após o uso. Tenha em mente que as chaves nunca são depositadas em armazenamento de longo prazo. Em vez disso, o DEK ou EDEK é criptografado e retido junto com os dados criptografados.

Resumindo, o BYOK ajuda os usuários de serviços de nuvem pública a produzir chaves criptográficas dentro de seu próprio ecossistema e a manter o controle dessas chaves com fácil acessibilidade em um servidor de nuvem de sua escolha.

Como o BYOK resolve os desafios de segurança?

Existem algumas razões para os gestores de segurança e decisores de TI se preocuparem com o BYOK, e até mesmo o procurarem quando fazem investimentos na nuvem.

1. Cumpra as leis de privacidade de dados

Em 2017 e 2018, 50 nações promulgaram novas leis sobre privacidade. O Regulamento Geral de Proteção de Dados (GDPR) da UE espera que as empresas mantenham as informações de identificação pessoal (PII) de seus consumidores seguras e confidenciais. Ao encaminhar PII para fornecedores externos, como provedores de SaaS, essas organizações também são responsáveis ​​por sua segurança. BYOK oferece visibilidade do acesso aos dados e a capacidade de revogá-los.

2. Facilite a transição cultural para a nuvem, graças ao controle estendido

A segurança é a principal preocupação quando as empresas começam a armazenar dados na nuvem. BYOK permite que as empresas retomem o controle de suas informações confidenciais. Ele permite a separação de um sistema de fechadura e chave em duas metades – permitindo que a empresa use seus próprios programas de chave de criptografia e mantenha autoridade independente.

Isto dá às organizações a tranquilidade que procuravam (que apenas pessoal autorizado tem acesso aos seus dados sensíveis). Isto é particularmente importante quando as empresas implementam a nuvem pela primeira vez. Também lhes permite confiscar chaves de criptografia de indivíduos ou sistemas que não deveria ter acesso.

3. Prepare-se melhor para ambientes de nuvem heterogêneos

Administrar muitas chaves de criptografia em diversas plataformas (por exemplo, data center, nuvem ou multinuvem) pode ser desafiador e demorado. As organizações podem gerenciar todas as suas credenciais de criptografia em uma única plataforma usando um modelo de criptografia BYOK.

Ele centraliza a administração de chaves, oferecendo uma interface para criação, rotação e preservação de chaves de criptografia. Caso a organização possua dados localizados em múltiplas nuvens (multi-cloud), poderá reunir a gestão das diversas nuvens sob um único administrador.

4. Adicione outra camada de segurança

Esta é a vantagem mais clara de ter sua própria chave. Ao isolar os dados criptografados da chave associada, o BYOK cria uma camada adicional de segurança para informações confidenciais. Com o BYOK, as organizações podem usar suas ferramentas de gerenciamento de chaves criptografadas para armazenar chaves criptografadas e garantir que somente elas tenham acesso, aumentando assim a segurança dos dados.

5. Economize dinheiro, desde que você tenha conhecimento técnico

BYOK permite a administração interna de credenciais de criptografia. Ao supervisioná-los, as organizações podem parar de pagar por serviços de gerenciamento de chaves de fornecedores terceirizados. Isto, no entanto, exclui a possibilidade de taxas recorrentes de assinatura e licenciamento.

Além disso, a criptografia BYOK foi projetada para tornar os dados ininteligíveis para atores mal-intencionados, como hackers e aqueles que se passam por administradores de nuvem. Isto pode reduzir indiretamente os custos associados à divulgação de informações potencialmente sensíveis. Por sua vez, isso evita penalidades severas de conformidade e perda de receitas.

Exemplos de BYOK de nível superior: Zoom e Salesforce

O BYOK está rapidamente se tornando a norma do setor, e não um diferencial. Além de todos os principais provedores de nuvem, as empresas de SaaS também estão aderindo ao movimento. Na verdade, a maioria das organizações aprecia a opção de trazer as suas próprias chaves, mesmo que optem por confiar nos seus CSPs para encriptação.

A Zoom introduziu uma oferta de chaves gerenciadas pelo cliente reservada para clientes do AWS Key Management Service (AWS KMS).

Destina-se a satisfazer as necessidades regulatórias dos setores bancário, financeiro e de saúde. Os prestadores de cuidados de saúde devem aderir às especificações HIPAA e os serviços financeiros devem cumprir o NY DFS, a Lei Gramm-Leach-Bliley e outros regulamentos.

A Salesforce também oferece um recurso BYOK como parte do Salesforce Shield, um conjunto de serviços de segurança integrados nativamente. Ele permite que os usuários produzam sua própria chave de criptografia independentemente do Salesforce, o que torna a plataforma consideravelmente mais segura e confidencial.

As organizações podem usar bibliotecas criptográficas de código aberto, como OpenSSL, suas infraestruturas HSM atuais ou uma solução de terceiros, como AWS KMS.

Considerações finais: O BYOK é estanque?

Embora o BYOK reduza o risco de perda de dados, especialmente de dados em trânsito, a sua segurança depende da capacidade da empresa em proteger as suas chaves.

A perda de chaves de criptografia pode culminar na perda permanente de dados. Para reduzir esse risco, tente fazer backup das chaves após sua geração e rotação, desista de excluir chaves sem acionadores e estabeleça um gerenciamento exaustivo do ciclo de vida das chaves. Além disso, será benéfico ter um plano de administração que inclua regras de rotação de chaves, preservação, etapas de revogação e políticas de acesso.

Por fim, os custos relacionados com o BYOK não podem ser desconsiderados – tendo em vista os custos de gestão e de suporte. A adoção do BYOK não é fácil; portanto, as organizações poderão ter de investir em equipas e HSMs adicionais, incorrendo em despesas mais elevadas.

Resumindo, BYOK não é uma solução mágica, mas um componente necessário da sua estratégia de segurança abrangente. Examine todos os caminhos de saída e entrada de dados, como APIs ou transferências de arquivos, juntamente com uma variedade de critérios de acesso privilegiado. Isso também se aplica à autenticação e às práticas recomendadas em todo o setor, como confiança zero.

A seguir, leia o white paper Protegendo seus dados de ponta a ponta para desenvolver sua estratégia de segurança.