Hvad er Bring Your Own Key, og hvorfor er det vigtigt?

Cloud-kryptering er en af ​​de mest effektive teknologier til at beskytte data mod brud. Organisationer, der migrerer deres data til skyen, står imidlertid over for et krypteringsdilemma som cloud-tjeneste udbydere (CSP'er) beholder som standard adgang til deres kunders krypteringsnøgler og i forlængelse heraf deres data.

At betro en tredjeparts CSP med datakontrol skaber potentielle svagheder i datasikkerheden. Heldigvis kan implementering af BYOK – det vil sige Bring Your Own Key – hjælpe med at beskytte de kryptografiske nøgler, der bruges til at kryptere cloud-lagrede data.

Hvad er BYOK?

Bring Your Own Key (BYOK) eller Bring Your Own Encryption (BYOE) er en databeskyttelsesmodel, der tillader skyen servicere kunder til at bruge deres egen krypteringsnøglestyringssoftware og fuldt ud kontrollere deres kryptering nøgler.

BYOK giver kunderne mulighed for at bruge deres egen nøglestyringssoftware til at gemme nøgler uden for skyen, hvilket giver mere kontrol over krypteringsnøglestyring.

Hvordan virker BYOK?

Den grundlæggende idé bag BYOK er at adskille låsen, dvs. den CSP-leverede kryptering, fra nøglen (de lokalt lagrede krypteringsnøgler). Dette opnås ved at bruge en tredjepart til at producere nøgler kendt som nøglekrypteringsnøgler (KEK'er), som derefter bruges til at kryptere de CSP-genererede datakrypteringsnøgler (DEK'er).

Ovenstående proces er kendt som nøgleindpakning; det involverer "indpakning" af DEK'et ved hjælp af KEK'et for at sikre, at kun skytjenestekunden kan dekryptere DEK'en og få adgang til dataene, der er gemt i CSP'en.

Når du vælger en tredjepart til KEK-generering og nøgleindpakning, kan du vælge en on-premises hardwaresikkerhedsmodul (HSM) eller et softwarebaseret nøglestyringssystem (KMS).

Hvorfor er BYOK vigtigt?

Data har enorm værdi for alle, hvilket understreger vigtigheden af ​​at implementere BYOK for at beskytte dem. Her er de vigtigste grunde til at implementere BYOK.

Forbedrer datasikkerheden

BYOK giver et ekstra lag af beskyttelse for følsomme data ved at adskille den krypterede information fra den tilknyttede nøgle. Med BYOK kan organisationer gemme krypterede nøgler uden for skyen ved hjælp af deres krypteringsnøglestyringssoftware. Dette sikrer, at kun de kan få adgang til deres data, hvilket forbedrer datasikkerheden.

Forbedrer overholdelse

Virksomheder i forskellige sektorer skal overholde branchespecifikke regler for håndtering af krypteringsnøgler.

For eksempel kræver stærkt regulerede industrier, herunder sundhedspleje og finans, overholdelse af strenge datasikkerhedsstandarder. BYOK gør det muligt for organisationer at opfylde disse krav ved at administrere deres krypteringsnøgler internt.

Det er ikke nemt at garantere kundernes databeskyttelse, når en anden har adgang til deres krypteringsnøgler. Sikring af data sikrer overholdelse af lovmæssige krav og industristandarder og beskytter dermed en organisations omdømme.

BYOK giver overblik over, hvordan data tilgås og slettes. På denne måde spiller det en afgørende rolle i at overholde regler som f.eks GDPR (General Data Protection Regulation), især vedrørende retten til at få slettet personoplysninger.

Øger fleksibilitet og datakontrol

BYOK giver organisationer mulighed for at gemme og administrere krypteringsnøgler on-premise eller i skyen baseret på individuelle behov.

Derudover gør det dem i stand til at bruge deres data, som de finder det passende, hvad enten det er intern deling, cloud-dataanalyse eller deling uden for organisationen, alt sammen med en robust sikkerhed. Historisk set blev cloud-lagrede data krypteret med nøgler ejet af CSP'er, hvilket efterlod virksomheder med reduceret kontrol over deres data.

BYOK-kryptering giver også øget nøglestyringskontrol, så du kan tilbagekalde adgang for dine slutbrugere eller CSP'en, når det er nødvendigt.

Centraliserer nøglestyring

Det kan være skræmmende at administrere adskillige krypteringsnøgler på tværs af forskellige platforme som datacentre, cloud-udbydere og multi-cloud-opsætninger. Implementering af BYOK-kryptering strømliner denne proces ved at centralisere nøgleadministration gennem en enkelt platform, der sikrer effektivitet i nøglerelaterede aktiviteter, herunder nøgleskabelse, rotation og arkivering.

Potentielt sparer penge

BYOK giver mulighed for at administrere krypteringsnøgler internt. Ved at kontrollere dem kan organisationer undgå at betale tredjepartsleverandører for nøgleadministrationstjenester. Dette eliminerer potentielt tilbagevendende abonnementsgebyrer og licensomkostninger.

Desuden sigter BYOK-kryptering på at gøre data ulæselige for ondsindede aktører, herunder hackere og dem, der efterligner cloud-administratorer. Dette kan indirekte spare omkostninger fra potentielt videregivelse af følsomme oplysninger, med det formål at forhindre overholdelsesbøder og tabt forretning.

Hvilke CSP'er understøtter BYOK?

Store CSP'er som Google Cloud Platform (GCP), Amazon Web Services (AWS), Microsoft Azure og forskellige Software as a Service (SaaS) leverandører tilbyder allerede BYOK-support.

På trods af at BYOK giver forbedret kontrol, introducerer den yderligere nøgleadministrationsopgaver, især i multi-cloud-opsætninger. Hver CSP, inklusive GCP, AWS og Azure, har sin unikke kryptering og KMS, hvilket gør det vigtigt for skyen administratorer til at sætte sig ind i terminologierne og de karakteristiske træk ved hver leverandør, de arbejder med.

GCP, Azure og AWS sikre data i hvile og i transit ved at kryptere den. CSP'erne opnår dette ved hjælp af deres respektive nøgleadministrationstjenester: Cloud KMS til GCP, Azure Key Vault til Azure og AWS KMS til AWS.

Nøgleovervejelser for BYOK-implementering

BYOK giver større kontrol over data og nøgler, men kræver også øget ansvar. Implementering af BYOK er udfordrende, da kontrol, herunder opretholdelse af sikkerheden for krypteringsnøgler, overgår til dataejeren.

Mens BYOK reducerer risikoen for tab af data, især for data i bevægelse, afhænger dets sikkerhed af organisationens evne til at beskytte nøgler.

At miste krypteringsnøgler kan føre til irreversibelt datatab. For at mindske denne risiko skal du overveje at sikkerhedskopiere nøgler efter oprettelse og rotation, ikke slette nøgler unødigt og have omfattende nøglelivscyklusstyring.

Etablering af en ledelsesstrategi, der inkluderer nøglerotationspolitikker, opbevaring, tilbagekaldelsesprocedurer og adgangskontroller, vil også hjælpe. At inddrage ekspertisen fra en velrenommeret leverandør kan fremskynde implementeringen af ​​denne strategi, hvilket understreger behovet for at vurdere CSP'ens støtte og færdigheder i BYOK-implementering.

Det er vigtigt at bemærke, at ikke alle BYOK-løsninger kan integreres problemfrit med CSP'er. At investere tid i Grundig forskning i de tidlige stadier er afgørende for at sikre, at du finder den ideelle løsning, før du går i dialog med leverandører.

Overse heller ikke omkostningerne forbundet med BYOK. Disse omfatter udgifter til nøglestyring og support. BYOK-implementering er muligvis ikke ligetil, så organisationer skal muligvis investere i ekstra personale og HSM'er, hvilket resulterer i yderligere udgifter.

Mange virksomheder foretrækker en multi-cloud-tilgang for at optimere ydeevnen og reducere omkostningerne. Når det er muligt, undgå at stole på en enkelt cloud-udbyder for at forhindre leverandørlåsning og udnytte fordelene ved cloud-adoption fuldt ud.

BYOK Forbedrer Cloud Data Security

Lagring af data i skyen giver flere fordele, men mange bekymrer sig med rette om potentielle lagringssikkerhedsrisici. Når først data er i skyen, mister de direkte kontrol over dem.

BYOK sigter mod at løse den grundlæggende bekymring om, at CSP'er eller SaaS-leverandører muligvis ikke leverer det ønskede niveau af databeskyttelse, men alligevel kan de dekryptere dine data efter eget skøn. Det gør det muligt for organisationer at kontrollere deres egne krypteringsnøgler og cloud-data i stedet for CSP'er, hvilket forbedrer cloud-datasikkerheden.