Güvenlik Sorunlarını Çözmek için Kendi Anahtarınızı (BYOK) Getirin

Bulut bilişimin birçok avantajı olmasına rağmen, veriler bulut hizmet sağlayıcısında (CSP) kaldığı ve bu bilgilerin sahibinin doğrudan kontrolü altında olmadığı için güvenlik bir dezavantaj olmuştur. Bu, bu veri koruma yöntemini seçen kuruluşlar için şifreleme anahtarı güvenliğinin son derece önemli olduğu anlamına gelir.

BYOK'u Tanımlamak: Kendi Anahtarını Getir Neyle İlgili?

Kendi Anahtarınızı Getirin (BYOK), özünde, işletmelerin kontrol ve yönetimi korurken verilerini şifrelemesine olanak tanıyan bir yönetim sistemidir. Ancak bazı BYOK programları şifreleme anahtarlarını CSP sunucularına yükler. Bu durumlarda şirket bir kez daha anahtarlarının velayetini kaybeder.

Bu "kendi anahtarınızı getirin" sorununa yönelik en iyi uygulama çözümü, kuruluşun son derece güvenli bir donanım güvenlik modülü (HSM) aracılığıyla daha sağlam anahtarlar üretmesi ve anahtarlarının güvenli bir şekilde buluta aktarılmasını yönetmesidir; bu da anahtar yönetimini geliştirir süreçler.

Paketi Açma Kendi Anahtarınızı Getirin (BYOK): Nasıl Çalışır?

Kendi Anahtarınızı Getirin (BYOK), işletmelerin, verilerini depolamak için kullandıkları bulut sağlayıcılarından bağımsız olarak kendi verileri için şifreleme kimlik bilgilerinin kontrolünü elinde tutmasına olanak tanır. Bunu başarmak için aşağıdaki adımların atılması gerekir:

• Bulut sağlayıcısı, bulut platformunun güvenlik modülündeki anahtar yöneticisini kullanarak kendi veri şifreleme anahtarlarını (DEK'ler) oluşturur.
• Kuruluş, bu DEK'lerin şifreleme anahtarlarını oluşturmak için üçüncü bir taraf kullanıyor. Bir CSP'nin DEK'sini üçüncü bir tarafın neden olduğu şifrelemek için kullanılan anahtara anahtar şifreleme anahtarı (KEK) adı verilir.
• KEK, yalnızca KEK'in sahipliğini ve kontrolünü elinde bulunduran kuruluş üyelerinin DEK'in kilidini açabilmesini ve CSP içindeki verilere erişebilmesini sağlamak için DEK'i 'sarar'. Bazen bu işleme 'anahtar çevreleme' adı verilir.
• KEK üretebilecek ve anahtar ambalaj sunabilecek üçüncü bir tarafa bakıldığında kuruluşun genellikle iki alternatifi vardır:
  • Donanım güvenlik modülleri (HSM'ler) : Bunlar, bulutla iletişim kurmak için ek araç ve teknolojiler gerektirebilecek pahalı, son derece güvenli ve özel donanım bileşenleridir.
  • Yazılım tabanlı anahtar yönetim sistemi (KMS) : Bu uygulamalar standart sunucularda bulunur. Yazılım tabanlı bir KMS kullanmanın avantajları daha fazla uyarlanabilirlik, daha kolay yönetim ve genel olarak azalan giderlerdir.
• DEK, şifreleme ve şifre çözme sırasında kullanıcılara açıktır, ancak anahtarlar kullanımdan sonra önbellekten silinir. Anahtarların hiçbir zaman uzun süreli depolamaya bırakılmadığını unutmayın. Bunun yerine DEK veya EDEK şifrelenir ve şifrelenmiş verilerle birlikte saklanır.

Özetle BYOK, genel bulut hizmeti kullanıcılarının kendi ekosistemleri içerisinde kriptografik anahtarlar üretmelerine ve seçtikleri bir bulut sunucusunda kolay erişilebilirlik ile bu anahtarların kontrolünü sürdürmelerine yardımcı olur.

BYOK Güvenlik Sorunlarını Nasıl Çözüyor?

Güvenlik yöneticilerinin ve BT karar vericilerinin BYOK'u önemsemesinin ve hatta bulut yatırımları yaparken bunu aramasının pek çok nedeni vardır.

1. Veri gizliliği yasalarına uyun

2017 ve 2018'de 50 ülke gizlilikle ilgili yeni yasalar çıkardı. AB'nin Genel Veri Koruma Düzenlemeleri (GDPR), işletmelerin tüketicilerinin kişisel bilgilerini (PII) güvenli ve gizli tutmasını beklemektedir. PII'yi SaaS sağlayıcıları gibi dış satıcılara iletirken bu kuruluşlar aynı zamanda güvenliklerinden de sorumludur. BYOK, veri erişimine ilişkin görünürlük ve bunu iptal etme kapasitesi sunar.

2. Genişletilmiş kontrol sayesinde buluta kültürel geçişi kolaylaştırın

Şirketler bulutta veri depolamaya başladığında güvenlik birincil endişe kaynağıdır. BYOK, işletmelerin gizli bilgilerinin kontrolünü geri almalarına olanak tanır. Kilit ve anahtar sisteminin ikiye bölünmesine olanak tanıyarak şirketin kendi şifreleme anahtarı programlarını kullanmasına ve bağımsız yetkiye sahip olmasına olanak tanır.

Bu, kuruluşlara aradıkları gönül rahatlığı sağlar (hassas verilere yalnızca yetkili personelin erişebilmesi). Bu, özellikle şirketler bulutu ilk kez uyguladığında önemlidir. Ayrıca, şifreleme anahtarlarına, erişimi olmamalıdır.

3. Heterojen bulut ortamlarına daha iyi hazırlanın

Birçok şifreleme anahtarının birden çok platformda (örneğin, veri merkezi, bulut veya çoklu bulut) yönetilmesi zorlayıcı ve zaman alıcı olabilir. Kuruluşlar, BYOK şifreleme modelini kullanarak tüm şifreleme kimlik bilgilerini tek bir platformdan yönetebilir.

Şifreleme anahtarlarının oluşturulması, döndürülmesi ve korunması için tek bir arayüz sunarak anahtar yönetimini merkezileştirir. Kuruluşun birden fazla bulutta (çoklu bulut) yer alan verileri varsa, çeşitli bulutların yönetimini tek bir yönetici altında bir araya getirebilir.

4. Başka bir güvenlik katmanı ekleyin

Bu, kendi anahtarınıza sahip olmanın en açık avantajıdır. BYOK, şifrelenmiş verileri ilgili anahtardan yalıtarak gizli bilgiler için ek bir güvenlik katmanı oluşturur. BYOK ile kuruluşlar, şifrelenmiş anahtarları depolamak ve yalnızca kendilerinin erişime sahip olmasını sağlamak için şifreleme anahtarı yönetimi araçlarını kullanabilir, böylece veri güvenliğini artırabilir.

5. Teknik uzmanlığa sahip olmanız koşuluyla paradan tasarruf edin

BYOK, şifreleme kimlik bilgilerinin şirket içi yönetimine olanak tanır. Kuruluşlar bunları denetleyerek üçüncü taraf sağlayıcıların anahtar yönetimi hizmetleri için ödeme yapmayı bırakabilir. Ancak bu, yinelenen abonelik ve lisans ücretleri olasılığını ortadan kaldırır.

Ayrıca BYOK şifrelemesi, verileri bilgisayar korsanları ve bulut yöneticileri gibi davranan kötü niyetli aktörler için anlaşılmaz hale getirmek üzere tasarlanmıştır. Bu, potansiyel olarak hassas bilgilerin ifşa edilmesiyle ilişkili maliyetleri dolaylı olarak azaltabilir. Bu da, ciddi uyum cezalarının ve gelir kaybının önüne geçiyor.

Üst Düzey BYOK Örnekleri: Zoom ve Salesforce

BYOK, farklılaştırıcı olmaktan ziyade hızla sektör normu haline geliyor. Tüm büyük bulut sağlayıcılarının yanı sıra SaaS şirketleri de bu kervana katılıyor. Aslında çoğu kuruluş, şifreleme için CSP'lerine güvenmeyi seçseler bile, kendi anahtarlarını getirme seçeneğini takdir ediyor.

Zoom, AWS Key Management Service (AWS KMS) müşterilerine özel, müşteri tarafından yönetilen bir anahtar teklifini tanıttı.

Bankacılık, finans ve sağlık sektörlerinin düzenleyici ihtiyaçlarını karşılamayı amaçlamaktadır. Sağlık hizmeti sağlayıcıları HIPAA spesifikasyonlarına uymalı ve finansal hizmetler NY DFS, Gramm-Leach-Bliley Yasası ve diğer düzenlemelere uymalıdır.

Salesforce ayrıca, yerel olarak entegre güvenlik hizmetleri paketi olan Salesforce Shield'in bir parçası olarak bir BYOK özelliği sağlar. Kullanıcıların Salesforce'tan bağımsız olarak kendi şifreleme anahtarlarını oluşturmalarına olanak tanır ve bu da platformu önemli ölçüde daha güvenli ve gizli hale getirir.

Kuruluşlar OpenSSL gibi açık kaynaklı şifreleme kitaplıklarını, mevcut HSM altyapılarını veya AWS KMS gibi üçüncü taraf çözümlerini kullanabilir.

Son Düşünceler: BYOK Su Geçirmez mi?

BYOK, özellikle aktarım halindeki veriler için veri kaybı riskini azaltırken güvenliği, şirketin anahtarlarını koruma kapasitesine bağlıdır.

Şifreleme anahtarlarının kaybı kalıcı veri kaybına neden olabilir. Bu riski azaltmak için anahtarları oluşturulduktan ve değiştirildikten sonra yedeklemeyi deneyin, tetikleyiciler olmadan anahtarları silmekten vazgeçin ve kapsamlı anahtar yaşam döngüsü yönetimi oluşturun. Ayrıca anahtar rotasyon kurallarını, koruma, iptal adımlarını ve erişim politikalarını kapsayan bir yönetim planına sahip olmak faydalı olacaktır.

Son olarak, yönetim ve destek maliyetleri de göz önüne alındığında, BYOK ile ilgili maliyetler göz ardı edilemez. BYOK'un benimsenmesi kolay değildir; bu nedenle kuruluşlar ek ekiplere ve HSM'lere yatırım yapmak zorunda kalabilir ve bu da daha yüksek masraflara yol açabilir.

Kısacası BYOK sihirli bir çözüm değil, kapsamlı güvenlik stratejinizin gerekli bir bileşenidir. API'ler veya dosya aktarımları gibi tüm veri çıkışı ve giriş yollarını çeşitli ayrıcalıklı erişim kriterleriyle birlikte inceleyin. Bu aynı zamanda kimlik doğrulama ve sıfır güven gibi sektör çapındaki en iyi uygulamalar için de geçerlidir.

Daha sonra, güvenlik stratejinizi oluşturmak için Verilerinizi Uçtan Uca Koruma hakkındaki teknik incelemeyi okuyun.