Притеснявате се как се съхраняват данните в облака? Шифроването е жизненоважно, но все още има своите проблеми. Тук се намесва BYOK.
Облачното криптиране е една от най-ефективните технологии за защита на данните срещу пробиви. Въпреки това организациите, които мигрират своите данни към облака, са изправени пред дилема за криптиране като облачна услуга доставчиците (CSP) по подразбиране запазват достъпа до ключовете за криптиране на своите клиенти и, като разширение, техните данни.
Поверяването на контрол на данните на CSP на трета страна създава потенциални слабости в сигурността на данните. За щастие внедряването на BYOK – т.е. Bring Your Own Key – може да помогне за защитата на криптографските ключове, използвани за криптиране на съхранени в облак данни.
Какво е BYOK?
Bring Your Own Key (BYOK) или Bring Your Own Encryption (BYOE) е модел за защита на данните, който позволява на облака обслужват клиентите да използват свой собствен софтуер за управление на ключове за криптиране и да контролират напълно тяхното криптиране ключове.
BYOK позволява на клиентите да използват собствен софтуер за управление на ключове, за да съхраняват ключове извън облака, осигурявайки по-голям контрол върху управлението на ключове за криптиране.
Как работи BYOK?
Основната идея зад BYOK е да се отдели ключалката, т.е. предоставеното от CSP криптиране, от ключа (локално съхранените ключове за криптиране). Това се постига чрез използване на трета страна за създаване на ключове, известни като ключове за шифроване на ключове (KEK), които след това се използват за шифроване на генерираните от CSP ключове за шифроване на данни (DEK).
Горният процес е известен като обвиване на ключове; това включва „опаковане“ на DEK с помощта на KEK, за да се гарантира, че само клиентът на облачната услуга може да дешифрира DEK и да има достъп до данните, съхранявани в CSP.
Когато избирате трета страна за генериране на KEK и опаковане на ключове, можете да изберете локално хардуерен модул за сигурност (HSM) или софтуерно базирана система за управление на ключове (KMS).
Защо BYOK е важен?
Данните имат огромна стойност за всички, което подчертава важността на прилагането на BYOK за тяхната защита. Ето основните причини да внедрите BYOK.
Подобрява сигурността на данните
BYOK осигурява допълнителен слой на защита за чувствителни данни, като отделя криптираната информация от свързания ключ. С BYOK организациите могат да съхраняват криптирани ключове извън облака, като използват своя софтуер за управление на ключове за криптиране. Това гарантира, че само те имат достъп до техните данни, повишавайки сигурността на данните.
Подобрява съответствието
Бизнесите в различни сектори трябва да спазват специфичните за индустрията разпоредби за управление на ключове за криптиране.
Например силно регулираните индустрии, включително здравеопазването и финансите, изискват спазване на строги стандарти за сигурност на данните. BYOK позволява на организациите да изпълнят тези изисквания, като управляват вътрешно своите ключове за криптиране.
Не е лесно да се гарантира поверителността на данните на клиентите, когато някой друг има достъп до техните ключове за криптиране. Защитата на данните гарантира спазването на регулаторните изисквания и индустриалните стандарти и по този начин защитава репутацията на организацията.
BYOK осигурява видимост за това как данните се осъществяват и изтриват. По този начин той играе решаваща роля за спазването на разпоредби като GDPR (Общ регламент за защита на данните), особено по отношение на правото на изтриване на лични данни.
Увеличава гъвкавостта и контрола на данните
BYOK позволява на организациите да съхраняват и управляват ключове за криптиране на място или в облака въз основа на индивидуалните нужди.
В допълнение, това им позволява да използват своите данни, както намерят за добре, било то вътрешно споделяне, анализ на данни в облака или споделянето им извън организацията, като същевременно поддържа стабилна сигурност. Исторически погледнато, съхраняваните в облака данни са криптирани с ключове, притежавани от CSP, което оставя компаниите с намален контрол върху техните данни.
BYOK криптирането също така осигурява повишен контрол на управлението на ключовете, което ви позволява да отмените достъпа за вашите крайни потребители или CSP, когато е необходимо.
Централизира управлението на ключове
Управлението на многобройни ключове за криптиране в различни платформи като центрове за данни, доставчици на облаци и мулти-облачни настройки може да бъде обезсърчително. Внедряването на BYOK криптиране рационализира този процес чрез централизиране на управлението на ключове чрез един платформа, осигуряваща ефективност в дейности, свързани с ключове, включително създаване на ключове, ротация и архивиране.
Потенциално спестява пари
BYOK предоставя възможност за вътрешно управление на ключовете за криптиране. Като ги контролират, организациите могат да избегнат плащането на доставчици на трети страни за услуги за управление на ключове. Това елиминира потенциално повтарящи се абонаментни такси и разходи за лицензиране.
Освен това BYOK криптирането има за цел да направи данните нечетими за злонамерени участници, включително хакери и онези, които се представят за облачни администратори. Това може индиректно да спести разходи от потенциално разкриване на чувствителна информация, с цел предотвратяване на глоби за съответствие и загуба на бизнес.
Кои CSP поддържат BYOK?
Основни CSP като Google Cloud Platform (GCP), Amazon Web Services (AWS), Microsoft Azure и различни Софтуер като услуга (SaaS) доставчиците вече предлагат поддръжка на BYOK.
Въпреки че BYOK предоставя подобрен контрол, той въвежда допълнителни задачи за управление на ключове, особено при настройки с множество облаци. Всеки CSP, включително GCP, AWS и Azure, има свое уникално криптиране и KMS, което го прави от съществено значение за облака администратори, за да се запознаят с терминологията и отличителните характеристики на всеки доставчик, с който работят с.
GCP, Azure и AWS защитени данни в покой и при транзит, като го криптирате. CSP постигат това, като използват съответните си услуги за управление на ключове: Cloud KMS за GCP, Azure Key Vault за Azure и AWS KMS за AWS.
Основни съображения за внедряване на BYOK
BYOK предлага по-голям контрол върху данните и ключовете, но също така изисква повишена отговорност. Внедряването на BYOK е предизвикателство, тъй като контролът, включително поддържането на сигурността на ключовете за криптиране, се прехвърля към собственика на данните.
Докато BYOK намалява риска от загуба на данни, особено за данни в движение, неговата безопасност зависи от способността на организацията да защитава ключовете.
Загубата на ключове за криптиране може да доведе до необратима загуба на данни. За да намалите този риск, помислете за архивиране на ключове след създаване и ротация, не изтривайте ключове ненужно и имайте цялостно управление на жизнения цикъл на ключовете.
Създаването на стратегия за управление, която включва политики за ротация на ключове, съхранение, процедури за отмяна и контрол на достъпа, също ще помогне. Привличането на експертния опит на уважаван доставчик може да ускори прилагането на тази стратегия, като подчертава необходимостта от оценка на поддръжката и уменията на CSP в прилагането на BYOK.
Важно е да се отбележи, че не всички решения на BYOK се интегрират безпроблемно с CSP. Инвестиране на време в задълбочено проучване по време на ранните етапи е жизненоважно, за да сте сигурни, че ще намерите идеалното решение, преди да се ангажирате с доставчици.
Не пренебрегвайте и разходите, свързани с BYOK. Те включват ключови разходи за управление и поддръжка. Внедряването на BYOK може да не е лесно, така че организациите може да се наложи да инвестират в допълнителен персонал и HSM, което води до допълнителни разходи.
Много компании предпочитат мулти-облачен подход за оптимизиране на производителността и намаляване на разходите. Винаги, когато е възможно, избягвайте да разчитате на който и да е отделен доставчик на облак, за да предотвратите блокиране на доставчика и да се възползвате напълно от предимствата на приемането на облак.
BYOK подобрява сигурността на облачните данни
Съхраняването на данни в облака предлага множество предимства, но мнозина с право се тревожат за потенциални рискове за сигурността на съхранението. След като данните са в облака, те губят директен контрол върху тях.
BYOK има за цел да отговори на фундаменталното безпокойство, че CSP или SaaS доставчиците може да не предоставят желаното ниво на защита на данните, но въпреки това могат да декриптират вашите данни по свое усмотрение. Той позволява на организациите да контролират своите собствени ключове за криптиране и облачни данни вместо CSP, подобрявайки сигурността на облачните данни.
