Aggasztja, hogyan tárolják az adatokat a felhőben? A titkosítás létfontosságú, de még mindig vannak problémái. Itt jön be a BYOK.
A felhőalapú titkosítás az egyik leghatékonyabb technológia az adatok védelmére a jogsértések ellen. Az adataikat a felhőbe migráló szervezetek azonban felhőszolgáltatásként titkosítási dilemmával szembesülnek a szolgáltatók (CSP-k) alapértelmezés szerint megőrzik hozzáférésüket ügyfeleik titkosítási kulcsaihoz, és kiterjesztve adat.
Ha harmadik fél CSP-re bízza az adatkezelést, az adatbiztonsági hiányosságokhoz vezethet. Szerencsére a BYOK – azaz a Bring Your Own Key – megvalósítása segíthet a felhőben tárolt adatok titkosításához használt kriptográfiai kulcsok védelmében.
Mi az a BYOK?
Bring Your Own Key (BYOK) vagy Bring Your Own Encryption (BYOE) egy olyan adatvédelmi modell, amely lehetővé teszi a felhőt. szolgáltatás ügyfeleit, hogy saját titkosítási kulcs-kezelő szoftverüket használják, és teljes mértékben ellenőrizzék titkosításukat kulcsok.
A BYOK lehetővé teszi az ügyfelek számára, hogy saját kulcskezelő szoftvereiket használják a kulcsok felhőn kívüli tárolására, így nagyobb ellenőrzést biztosítanak a titkosítási kulcsok kezelése felett.
Hogyan működik a BYOK?
A BYOK mögött meghúzódó alapötlet az, hogy elválassza a zárat, azaz a CSP által biztosított titkosítást a kulcstól (a helyileg tárolt titkosítási kulcsoktól). Ezt úgy érik el, hogy egy harmadik felet használnak kulcsok titkosítási kulcsként (KEK-ként) ismert kulcsok előállítására, amelyeket aztán a CSP által generált adattitkosítási kulcsok (DEK-ek) titkosítására használnak.
A fenti folyamat kulcscsomagolásként ismert; ez magában foglalja a DEK „csomagolását” a KEK használatával, hogy csak a felhőszolgáltatás ügyfele tudja visszafejteni a DEK-et, és hozzáférjen a CSP-ben tárolt adatokhoz.
Ha harmadik felet választ a KEK generálásához és a kulcscsomagoláshoz, választhat egy helyszíni megoldást hardveres biztonsági modul (HSM) vagy szoftver alapú kulcskezelő rendszer (KMS).
Miért fontos a BYOK?
Az adatok mindenki számára óriási értéket képviselnek, ami aláhúzza a BYOK bevezetésének fontosságát a védelme érdekében. Íme a BYOK bevezetésének legfontosabb okai.
Javítja az adatbiztonságot
A BYOK további védelmet biztosít az érzékeny adatok számára azáltal, hogy elválasztja a titkosított információkat a kapcsolódó kulcstól. A BYOK segítségével a szervezetek titkosított kulcsokat a felhőn kívül tárolhatnak titkosítási kulcskezelő szoftverük segítségével. Ez biztosítja, hogy csak ők férhessenek hozzá adataikhoz, ami növeli az adatbiztonságot.
Javítja a megfelelőséget
A különböző ágazatokban működő vállalkozásoknak meg kell felelniük a titkosítási kulcsok kezelésére vonatkozó iparág-specifikus előírásoknak.
Például a szigorúan szabályozott iparágak, köztük az egészségügy és a pénzügy, szigorú adatbiztonsági szabványok betartását követelik meg. A BYOK lehetővé teszi a szervezetek számára, hogy megfeleljenek ezeknek a követelményeknek a titkosítási kulcsaik belső kezelésével.
Nem könnyű garantálni az ügyfelek adatvédelmét, ha valaki más hozzáfér a titkosítási kulcsaikhoz. Az adatok védelme biztosítja a szabályozási követelményeknek és az iparági szabványoknak való megfelelést, és így védi a szervezet hírnevét.
A BYOK rálátást biztosít az adatok elérésére és törlésére. Így döntő szerepet játszik az előírások betartásában, mint pl a GDPR (General Data Protection Regulation), különös tekintettel a személyes adatok törléséhez való jogra.
Növeli a rugalmasságot és az adatkezelést
A BYOK lehetővé teszi a szervezetek számára, hogy az egyéni igények alapján a helyszínen vagy a felhőben tárolják és kezeljék a titkosítási kulcsokat.
Ezenkívül lehetővé teszi számukra, hogy saját belátásuk szerint használják fel adataikat, legyen szó belső megosztásról, felhőalapú adatelemzésről vagy a szervezeten kívüli megosztásról, mindezt a robusztus biztonság fenntartása mellett. Korábban a felhőben tárolt adatokat a CSP-k tulajdonában lévő kulcsokkal titkosították, így a vállalatok csökkentett kontrollal rendelkeztek adataik felett.
A BYOK titkosítás fokozott kulcskezelési vezérlést is biztosít, lehetővé téve a végfelhasználók vagy a CSP hozzáférésének visszavonását, amikor csak szükséges.
Központosítja a kulcskezelést
Számos titkosítási kulcs kezelése különböző platformokon, például adatközpontokban, felhőszolgáltatóknál és többfelhős beállításoknál ijesztő lehet. A BYOK titkosítás megvalósítása leegyszerűsíti ezt a folyamatot azáltal, hogy a kulcskezelést egyetlen egységen keresztül központosítja platform, biztosítva a hatékonyságot a kulcsfontosságú kapcsolódó tevékenységekben, beleértve a kulcsok létrehozását, rotációját és archiválás.
Pénzt takaríthat meg
A BYOK lehetőséget biztosít a titkosítási kulcsok házon belüli kezelésére. Ellenőrzésükkel a szervezetek elkerülhetik, hogy harmadik fél szállítóknak fizessenek a kulcskezelési szolgáltatásokért. Ez kiküszöböli az esetlegesen ismétlődő előfizetési díjakat és licencköltségeket.
Ezenkívül a BYOK titkosítás célja, hogy az adatokat olvashatatlanná tegye a rosszindulatú szereplők számára, beleértve a hackereket és a felhőrendszergazdákat megszemélyesítőket. Ez közvetve költségmegtakarítást jelenthet érzékeny információk nyilvánosságra hozatala, amelynek célja a megfelelési bírságok és az elveszett üzlet elkerülése.
Mely CSP-k támogatják a BYOK-ot?
A főbb CSP-k, mint a Google Cloud Platform (GCP), az Amazon Web Services (AWS), a Microsoft Azure és különféle Szoftver mint szolgáltatás (SaaS) a szállítók már kínálnak BYOK támogatást.
Annak ellenére, hogy a BYOK továbbfejlesztett vezérlést biztosít, további kulcskezelési feladatokat vezet be, különösen a többfelhős beállításoknál. Minden CSP, beleértve a GCP-t, az AWS-t és az Azure-t is, egyedi titkosítással és KMS-sel rendelkezik, így elengedhetetlen a felhőhöz az adminisztrátoroknak, hogy megismerkedjenek az általuk dolgozó összes szállító terminológiájával és sajátosságaival val vel.
GCP, Azure és AWS biztonságos adatok nyugalmi állapotban és továbbítás közben annak titkosításával. A CSP-k ezt a megfelelő kulcskezelési szolgáltatásaikkal érik el: Cloud KMS for GCP, Azure Key Vault for Azure és AWS KMS for AWS.
Főbb szempontok a BYOK megvalósításához
A BYOK nagyobb ellenőrzést kínál az adatok és a kulcsok felett, de nagyobb felelősséget is igényel. A BYOK megvalósítása kihívást jelent, mivel az ellenőrzés, beleértve a titkosítási kulcsok biztonságának fenntartását is, az adattulajdonosra hárul.
Míg a BYOK csökkenti az adatvesztés kockázatát, különösen a mozgásban lévő adatok esetében, biztonsága a szervezet kulcsok védelmére való képességén múlik.
A titkosítási kulcsok elvesztése visszafordíthatatlan adatvesztéshez vezethet. Ennek a kockázatnak a csökkentése érdekében fontolja meg a kulcsok biztonsági mentését a létrehozás és elforgatás után, ne törölje a kulcsokat szükségtelenül, és rendelkezzen átfogó kulcséletciklus-kezeléssel.
A kulcsrotációs házirendeket, a tárolást, a visszavonási eljárásokat és a hozzáférés-szabályozást is magában foglaló kezelési stratégia kialakítása szintén segít. Egy jó hírű szállító szakértelmének igénybevétele felgyorsíthatja e stratégia megvalósítását, hangsúlyozva annak szükségességét, hogy felmérjük a CSP támogatását és jártasságát a BYOK megvalósításában.
Fontos megjegyezni, hogy nem minden BYOK-megoldás integrálható zökkenőmentesen a CSP-kkel. Befektetni az időt alapos kutatás a korai szakaszban létfontosságú annak biztosításához, hogy megtalálja az ideális megoldást, mielőtt kapcsolatba lép vele árusok.
Ne hagyja figyelmen kívül a BYOK-hoz kapcsolódó költségeket sem. Ide tartoznak a kulcskezelési és támogatási költségek. Előfordulhat, hogy a BYOK megvalósítása nem egyszerű, ezért a szervezeteknek többletszemélyzetbe és HSM-be kell fektetniük, ami további költségeket eredményez.
Sok vállalat előnyben részesíti a többfelhős megközelítést a teljesítmény optimalizálása és a költségek csökkentése érdekében. Amikor csak lehetséges, ne hagyatkozzon egyetlen felhőszolgáltatóra is, hogy megelőzze a szállítói zárolást, és teljes mértékben kihasználja a felhőalapú bevezetés előnyeit.
A BYOK fokozza a felhőalapú adatbiztonságot
Az adatok felhőben való tárolása számos előnnyel jár, de sokan joggal aggódnak a tárolás lehetséges biztonsági kockázatai miatt. Miután az adatok a felhőben vannak, elveszítik a közvetlen irányítást felette.
A BYOK célja annak az alapvető aggálynak a megoldása, hogy a CSP-k vagy SaaS-szolgáltatók esetleg nem biztosítják a kívánt szintű adatvédelmet, mégis saját belátásuk szerint visszafejthetik az Ön adatait. Lehetővé teszi a szervezetek számára, hogy saját titkosítási kulcsaikat és felhőadataikat vezéreljék a CSP-k helyett, javítva a felhőalapú adatbiztonságot.
