Bekymret for hvordan data oppbevares i skyen? Kryptering er viktig, men har fortsatt sine problemer. Det er der BYOK kommer inn.
Skykryptering er en av de mest effektive teknologiene for å beskytte data mot brudd. Organisasjoner som migrerer dataene sine til skyen står imidlertid overfor et krypteringsdilemma som skytjeneste leverandører (CSP-er) beholder som standard tilgang til kundenes krypteringsnøkler og, i forlengelse, deres data.
Å betro en tredjeparts CSP med datakontroll skaper potensielle svakheter i datasikkerheten. Heldigvis kan implementering av BYOK – det vil si Bring Your Own Key – bidra til å beskytte kryptografiske nøklene som brukes til å kryptere skylagrede data.
Hva er BYOK?
Bring Your Own Key (BYOK), eller Bring Your Own Encryption (BYOE), er en databeskyttelsesmodell som tillater sky betjene kunder til å bruke sin egen programvare for administrasjon av krypteringsnøkler og full kontroll over krypteringen nøkler.
BYOK lar kundene bruke sin egen nøkkelbehandlingsprogramvare for å lagre nøkler utenfor skyen, noe som gir mer kontroll over krypteringsnøkkelhåndtering.
Hvordan fungerer BYOK?
Den grunnleggende ideen bak BYOK er å skille låsen, det vil si den CSP-leverte krypteringen, fra nøkkelen (de lokalt lagrede krypteringsnøklene). Dette oppnås ved å bruke en tredjepart til å produsere nøkler kjent som nøkkelkrypteringsnøkler (KEK) som deretter brukes til å kryptere de CSP-genererte datakrypteringsnøklene (DEK).
Prosessen ovenfor er kjent som nøkkelinnpakning; det innebærer å "pakke inn" DEK ved å bruke KEK for å sikre at bare skytjenestekunden kan dekryptere DEK og få tilgang til dataene som er lagret i CSP.
Når du velger en tredjepart for KEK-generering og nøkkelinnpakning, kan du velge en lokal maskinvaresikkerhetsmodul (HSM) eller et programvarebasert nøkkelstyringssystem (KMS).
Hvorfor er BYOK viktig?
Data har enorm verdi for alle, og understreker viktigheten av å implementere BYOK for å beskytte dem. Her er de viktigste grunnene til å implementere BYOK.
Forbedrer datasikkerheten
BYOK gir et ekstra lag med beskyttelse for sensitive data ved å skille den krypterte informasjonen fra den tilknyttede nøkkelen. Med BYOK kan organisasjoner lagre krypterte nøkler utenfor skyen ved hjelp av deres programvare for håndtering av krypteringsnøkler. Dette sikrer at bare de har tilgang til dataene deres, noe som forbedrer datasikkerheten.
Forbedrer samsvar
Virksomheter i ulike sektorer må forholde seg til bransjespesifikke regler for håndtering av krypteringsnøkler.
For eksempel krever sterkt regulerte bransjer, inkludert helsetjenester og finans, overholdelse av strenge datasikkerhetsstandarder. BYOK gjør det mulig for organisasjoner å oppfylle disse kravene ved å administrere krypteringsnøklene internt.
Det er ikke lett å garantere kundenes personvern når noen andre har tilgang til krypteringsnøklene deres. Sikring av data sikrer overholdelse av regulatoriske krav og bransjestandarder og beskytter dermed en organisasjons omdømme.
BYOK gir innsyn i hvordan data får tilgang til og slettes. På denne måten spiller den en avgjørende rolle for å overholde forskrifter som GDPR (General Data Protection Regulation), spesielt når det gjelder retten til å få personopplysninger slettet.
Øker fleksibilitet og datakontroll
BYOK lar organisasjoner lagre og administrere krypteringsnøkler på stedet eller i skyen basert på individuelle behov.
I tillegg gjør det dem i stand til å bruke dataene sine slik de ønsker det, det være seg intern deling, skydataanalyse eller deling utenfor organisasjonen, alt mens de opprettholder robust sikkerhet. Historisk sett ble data lagret i skyen kryptert med nøkler eid av CSP-er, noe som gir selskaper redusert kontroll over dataene sine.
BYOK-kryptering gir også økt nøkkeladministrasjonskontroll, slik at du kan tilbakekalle tilgang for sluttbrukere eller CSP når det er nødvendig.
Sentraliserer nøkkelstyring
Det kan være skremmende å administrere en rekke krypteringsnøkler på tvers av forskjellige plattformer som datasentre, skyleverandører og multisky-oppsett. Implementering av BYOK-kryptering effektiviserer denne prosessen ved å sentralisere nøkkeladministrasjon gjennom en enkelt plattform, som sikrer effektivitet i nøkkelrelaterte aktiviteter, inkludert nøkkelskaping, rotasjon og arkivering.
Potensielt sparer penger
BYOK gir muligheten til å administrere krypteringsnøkler internt. Ved å kontrollere dem kan organisasjoner unngå å betale tredjepartsleverandører for nøkkeladministrasjonstjenester. Dette eliminerer potensielt tilbakevendende abonnementsavgifter og lisenskostnader.
Dessuten har BYOK-kryptering som mål å gjøre data uleselig for ondsinnede aktører, inkludert hackere og de som utgir seg for å utgi seg for skyadministratorer. Dette kan indirekte spare kostnader fra potensielt utlevering av sensitiv informasjon, med sikte på å forhindre overholdelsesbøter og tapt virksomhet.
Hvilke CSP-er støtter BYOK?
Store CSP-er som Google Cloud Platform (GCP), Amazon Web Services (AWS), Microsoft Azure og diverse Programvare som en tjeneste (SaaS) leverandører tilbyr allerede BYOK-støtte.
Til tross for at BYOK gir forbedret kontroll, introduserer den ekstra nøkkeladministrasjonsoppgaver, spesielt i multi-sky-oppsett. Hver CSP, inkludert GCP, AWS og Azure, har sin unike kryptering og KMS, noe som gjør det viktig for skyen administratorer for å gjøre seg kjent med terminologiene og de særegne egenskapene til hver leverandør de jobber med med.
GCP, Azure og AWS sikre data i hvile og under transport ved å kryptere den. CSP-ene oppnår dette ved å bruke deres respektive nøkkeladministrasjonstjenester: Cloud KMS for GCP, Azure Key Vault for Azure og AWS KMS for AWS.
Viktige hensyn for BYOK-implementering
BYOK gir større kontroll over data og nøkler, men krever også økt ansvar. Implementering av BYOK er utfordrende, ettersom kontroll, inkludert opprettholdelse av sikkerheten til krypteringsnøkler, overgår til dataeieren.
Mens BYOK reduserer risikoen for tap av data, spesielt for data i bevegelse, er sikkerheten avhengig av organisasjonens evne til å beskytte nøkler.
Å miste krypteringsnøkler kan føre til irreversibelt tap av data. For å redusere denne risikoen bør du vurdere å sikkerhetskopiere nøkler etter opprettelse og rotasjon, ikke slette nøkler unødvendig, og ha omfattende nøkkellivssyklusadministrasjon.
Etablering av en administrasjonsstrategi som inkluderer nøkkelrotasjonspolicyer, lagring, tilbakekallingsprosedyrer og tilgangskontroller vil også hjelpe. Å verve ekspertisen til en anerkjent leverandør kan akselerere implementeringen av denne strategien, noe som understreker behovet for å vurdere CSPs støtte og ferdigheter i BYOK-implementering.
Det er viktig å merke seg at ikke alle BYOK-løsninger integreres sømløst med CSP-er. Å investere tid i grundig forskning i de tidlige stadiene er avgjørende for å sikre at du finner den ideelle løsningen før du engasjerer deg leverandører.
Ikke overse kostnadene forbundet med BYOK heller. Disse inkluderer utgifter til nøkkeladministrasjon og støtte. BYOK-implementering er kanskje ikke enkel, så organisasjoner må kanskje investere i ekstra ansatte og HSM-er, noe som resulterer i ekstra utgifter.
Mange selskaper foretrekker en multi-sky-tilnærming for å optimalisere ytelsen og redusere kostnadene. Når det er mulig, unngå å stole på en enkelt skyleverandør for å forhindre leverandørlåsing og dra full nytte av fordelene med skyadopsjon.
BYOK Forbedrer Cloud Data Security
Lagring av data i skyen gir flere fordeler, men mange bekymrer seg med rette for potensielle sikkerhetsrisikoer for lagring. Når data er i skyen, mister de direkte kontroll over dem.
BYOK tar sikte på å adressere den grunnleggende bekymringen om at CSP-er eller SaaS-leverandører kanskje ikke gir ønsket nivå av databeskyttelse, men de kan dekryptere dataene dine etter eget skjønn. Det gjør det mulig for organisasjoner å kontrollere sine egne krypteringsnøkler og skydata i stedet for CSP-er, noe som forbedrer skydatasikkerheten.
