Используйте свой ключ (BYOK) для решения проблем безопасности

Хотя облачные вычисления имеют множество преимуществ, безопасность является недостатком, поскольку данные остаются у поставщика облачных услуг (CSP) и не находятся под прямым контролем владельца этой информации. Это означает, что безопасность ключа шифрования имеет первостепенное значение для организаций, выбирающих этот метод защиты данных.

Определение BYOK: что такое «принести свой ключ»?

«Принеси свой собственный ключ» (BYOK), по сути, представляет собой систему администрирования, которая позволяет предприятиям шифровать свои данные, сохраняя при этом контроль и управление. Однако некоторые программы BYOK загружают ключи шифрования на серверы CSP. В таких случаях компания снова теряет свои ключи.

Передовое решение проблемы «принеси свой собственный ключ» заключается в том, чтобы организация создавала более надежные ключи с помощью высокозащищенного аппаратного модуля безопасности (HSM) и управляла безопасным экспортом своих ключей в облако, что улучшает управление ключами. процессы.

Распаковка «Принеси свой ключ» (BYOK): как это работает?

«Принесите свой собственный ключ» (BYOK) позволяет компаниям сохранять контроль над учетными данными шифрования своих собственных данных независимо от того, какого облачного провайдера они используют для хранения своих данных. Для этого необходимо предпринять следующие шаги:

• Поставщик облачных услуг генерирует собственные ключи шифрования данных (DEK) с помощью диспетчера ключей в модуле безопасности облачной платформы.
• Организация нанимает третью сторону для создания ключей шифрования для этих DEK. Ключ, используемый для шифрования DEK CSP, созданного третьей стороной, называется ключом шифрования ключа (KEK).
• KEK «обертывает» DEK, чтобы гарантировать, что только члены организации, которая сохраняет владение и контроль над KEK, могут разблокировать DEK и получить доступ к данным, содержащимся в CSP. Иногда этот процесс называют «обведением ключа».
• При выборе третьей стороны, которая может производить KEK и предлагать упаковку ключей, у организации обычно есть две альтернативы:
  • Модули аппаратной безопасности (HSM) : это дорогие, высокозащищенные и специализированные аппаратные компоненты, которым могут потребоваться дополнительные инструменты и технологии для связи с облаком.
  • Программная система управления ключами (KMS) . Эти приложения находятся на стандартных серверах. Преимущества использования программной KMS — большая адаптируемость, простота администрирования и, как правило, снижение затрат.
• DEK доступен пользователям во время шифрования и дешифрования, но после использования ключи стираются из кэша. Имейте в виду, что ключи никогда не хранятся в долгосрочном хранилище. Вместо этого DEK или EDEK шифруются и сохраняются вместе с зашифрованными данными.

Короче говоря, BYOK помогает пользователям общедоступных облачных сервисов создавать криптографические ключи в их собственной экосистеме и поддерживать контроль над этими ключами с легким доступом на облачном сервере по их выбору.

Как BYOK решает проблемы безопасности?

У менеджеров по безопасности и лиц, принимающих решения в сфере ИТ, есть немало причин заботиться о BYOK и даже искать его при инвестировании в облако.

1. Соблюдайте законы о конфиденциальности данных.

В 2017 и 2018 годах 50 стран приняли новые законы о конфиденциальности. Общие правила защиты данных ЕС (GDPR) ожидают, что предприятия будут обеспечивать безопасность и конфиденциальность личной информации своих потребителей (PII). При пересылке PII сторонним поставщикам, например поставщикам SaaS, эти организации также несут ответственность за свою безопасность. BYOK обеспечивает прозрачность доступа к данным и возможность его отзыва.

2. Упростите переход к облаку благодаря расширенному контролю.

Безопасность становится первоочередной задачей, когда компании начинают хранить данные в облаке. BYOK позволяет предприятиям вернуть контроль над своей конфиденциальной информацией. Это позволяет разделить систему замков и ключей на две половины, что позволяет компании использовать собственные программы ключей шифрования и сохранять независимость.

Это дает организациям душевное спокойствие, которого они искали (что только авторизованный персонал имеет доступ к их конфиденциальным данным). Это особенно важно, когда компании впервые внедряют облако. Это также позволяет им конфисковывать ключи шифрования у отдельных лиц или систем, которые не должно быть доступа.

3. Лучшая подготовка к гетерогенным облачным средам

Администрирование большого количества ключей шифрования на нескольких платформах (например, в центре обработки данных, облаке или мультиоблачной среде) может быть сложной задачей и отнимать много времени. Организации могут обрабатывать все свои учетные данные шифрования на единой платформе, используя модель шифрования BYOK.

Он централизует администрирование ключей, предлагая один интерфейс для создания, ротации и сохранения ключей шифрования. Если у организации есть данные, расположенные в нескольких облаках (мультиоблаке), она может объединить управление различными облаками под управлением одного администратора.

4. Добавьте еще один уровень безопасности

Это самое явное преимущество наличия собственного ключа. Изолируя зашифрованные данные от связанного с ними ключа, BYOK создает дополнительный уровень безопасности конфиденциальной информации. С помощью BYOK организации могут использовать свои инструменты управления ключами шифрования для хранения зашифрованных ключей и обеспечения доступа только к ним, тем самым повышая безопасность данных.

5. Экономьте деньги при условии, что у вас есть технические знания.

BYOK обеспечивает внутреннее администрирование учетных данных шифрования. Контролируя их, организации могут перестать платить за услуги управления ключами от сторонних поставщиков. Однако это исключает возможность повторяющихся абонентских и лицензионных сборов.

Кроме того, шифрование BYOK предназначено для того, чтобы сделать данные непонятными для злоумышленников, таких как хакеры и те, кто выдает себя за администраторов облака. Это может косвенно снизить затраты, связанные с раскрытием потенциально конфиденциальной информации. В свою очередь, это позволяет избежать высоких штрафов за нарушение требований и потери доходов.

Примеры BYOK высшего уровня: Zoom и Salesforce

BYOK быстро становится отраслевой нормой, а не отличительным признаком. В дополнение ко всем основным поставщикам облачных услуг, SaaS-компании также присоединяются к этой инициативе. Действительно, большинство организаций ценят возможность использовать свои собственные ключи, даже если они предпочитают полагаться на своих CSP для шифрования.

Zoom представила предложение ключей, управляемых клиентами, предназначенное для клиентов AWS Key Management Service (AWS KMS).

Он предназначен для удовлетворения нормативных потребностей банковского, финансового и медицинского секторов. Поставщики медицинских услуг должны соблюдать спецификации HIPAA, а финансовые услуги должны соответствовать требованиям NY DFS, Закону Грэмма-Лича-Блайли и другим правилам.

Salesforce также предоставляет функцию BYOK как часть Salesforce Shield — набора встроенных служб безопасности. Оно позволяет пользователям создавать собственные ключи шифрования независимо от Salesforce, что делает платформу значительно более безопасной и конфиденциальной.

Организации могут использовать криптографические библиотеки с открытым исходным кодом, такие как OpenSSL, свои текущие инфраструктуры HSM или стороннее решение, такое как AWS KMS.

Заключительные мысли: водонепроницаем ли BYOK?

Хотя BYOK снижает риск потери данных, особенно данных при передаче, его безопасность зависит от способности компании защитить свои ключи.

Потеря ключей шифрования может привести к безвозвратной потере данных. Чтобы снизить этот риск, попробуйте выполнить резервное копирование ключей после их создания и ротации, воздержитесь от удаления ключей без триггеров и установите исчерпывающее управление жизненным циклом ключей. Кроме того, будет полезно иметь план администрирования, включающий правила ротации ключей, этапы сохранения, отзыва и политики доступа.

Наконец, нельзя игнорировать расходы, связанные с BYOK – с учетом затрат на управление и поддержку. Внедрение BYOK непросто; поэтому организациям, возможно, придется инвестировать в дополнительные команды и HSM, что повлечет за собой более высокие расходы.

Короче говоря, BYOK — это не панацея, а необходимый компонент вашей всеобъемлющей стратегии безопасности. Изучите все пути входа и выхода данных, такие как API или передачу файлов, а также различные критерии привилегированного доступа. Это также относится к аутентификации и лучшим отраслевым практикам, таким как нулевое доверие.

Далее прочитайте технический документ «Комплексная защита ваших данных», чтобы разработать стратегию безопасности.