Vas skrbi, kako se podatki hranijo v oblaku? Šifriranje je bistvenega pomena, vendar ima še vedno težave. Tu nastopi BYOK.
Šifriranje v oblaku je ena najučinkovitejših tehnologij za zaščito podatkov pred vdori. Vendar pa se organizacije, ki svoje podatke selijo v oblak, soočajo z dilemo šifriranja kot storitev v oblaku Ponudniki (CSP) privzeto obdržijo dostop do šifrirnih ključev svojih strank in razširitev svojih podatke.
Zaupanje nadzora podatkov CSP-ju tretje osebe ustvarja morebitne slabosti v varnosti podatkov. Na srečo lahko implementacija BYOK – to je Bring Your Own Key – pomaga zaščititi kriptografske ključe, ki se uporabljajo za šifriranje podatkov, shranjenih v oblaku.
Kaj je BYOK?
Bring Your Own Key (BYOK) ali Bring Your Own Encryption (BYOE) je model zaščite podatkov, ki omogoča oblak strankam storitev za uporabo lastne programske opreme za upravljanje šifrirnih ključev in popoln nadzor nad njihovim šifriranjem ključi.
BYOK strankam omogoča uporabo lastne programske opreme za upravljanje ključev za shranjevanje ključev zunaj oblaka, kar zagotavlja večji nadzor nad upravljanjem šifrirnih ključev.
Kako deluje BYOK?
Temeljna ideja za BYOK je ločiti ključavnico, tj. šifriranje, ki ga zagotavlja CSP, od ključa (lokalno shranjenih šifrirnih ključev). To se doseže z uporabo tretje osebe za izdelavo ključev, znanih kot ključi za šifriranje ključev (KEK), ki se nato uporabljajo za šifriranje ključev za šifriranje podatkov (DEK), ki jih ustvari CSP.
Zgornji postopek je znan kot ovijanje ključev; vključuje "ovijanje" DEK z uporabo KEK, da se zagotovi, da lahko samo stranka storitve v oblaku dešifrira DEK in dostopa do podatkov, shranjenih v CSP.
Ko izberete tretjo osebo za generiranje KEK in zavijanje ključev, se lahko odločite za lokalno varnostni modul strojne opreme (HSM) ali sistem za upravljanje ključev (KMS), ki temelji na programski opremi.
Zakaj je BYOK pomemben?
Podatki imajo izjemno vrednost za vse, kar poudarja pomen izvajanja BYOK za njihovo zaščito. Tukaj so glavni razlogi za implementacijo BYOK.
Izboljša varnost podatkov
BYOK zagotavlja dodatno raven zaščite za občutljive podatke z ločevanjem šifriranih informacij od povezanega ključa. Z BYOK lahko organizacije shranjujejo šifrirane ključe zunaj oblaka s svojo programsko opremo za upravljanje šifrirnih ključev. To zagotavlja, da lahko samo oni dostopajo do svojih podatkov, kar povečuje varnost podatkov.
Izboljša skladnost
Podjetja v različnih sektorjih morajo upoštevati industrijske predpise za upravljanje šifrirnih ključev.
Strogo regulirane panoge, vključno z zdravstvom in financami, na primer zahtevajo spoštovanje strogih standardov varnosti podatkov. BYOK organizacijam omogoča izpolnitev teh zahtev z internim upravljanjem šifrirnih ključev.
Ni enostavno zagotoviti zasebnosti podatkov strank, če ima nekdo drug dostop do njihovih šifrirnih ključev. Zaščita podatkov zagotavlja skladnost z regulativnimi zahtevami in industrijskimi standardi ter tako ščiti ugled organizacije.
BYOK omogoča vpogled v dostop do podatkov in njihovo brisanje. Na ta način igra ključno vlogo pri izpolnjevanju predpisov, kot je GDPR (Splošna uredba o varstvu podatkov), predvsem glede pravice do izbrisa osebnih podatkov.
Poveča prilagodljivost in nadzor podatkov
BYOK organizacijam omogoča shranjevanje in upravljanje šifrirnih ključev na mestu uporabe ali v oblaku na podlagi individualnih potreb.
Poleg tega jim omogoča, da uporabljajo svoje podatke, kot se jim zdi primerno, pa naj gre za notranjo skupno rabo, analizo podatkov v oblaku ali njihovo skupno rabo zunaj organizacije, pri tem pa ohranja zanesljivo varnost. V preteklosti so bili podatki, shranjeni v oblaku, šifrirani s ključi, ki so bili v lasti CSP, zaradi česar so imela podjetja zmanjšan nadzor nad svojimi podatki.
Šifriranje BYOK zagotavlja tudi povečan nadzor upravljanja ključev, kar vam omogoča, da prekličete dostop za vaše končne uporabnike ali CSP, kadar koli je to potrebno.
Centralizira upravljanje ključev
Upravljanje številnih šifrirnih ključev na različnih platformah, kot so podatkovni centri, ponudniki oblakov in nastavitve v več oblakih, je lahko zastrašujoče. Izvedba šifriranja BYOK poenostavi ta proces s centralizacijo upravljanja ključev prek enega samega ključa platformo, ki zagotavlja učinkovitost pri dejavnostih, povezanih s ključi, vključno z ustvarjanjem ključev, rotacijo in arhiviranje.
Potencialno prihrani denar
BYOK ponuja možnost lastnega upravljanja šifrirnih ključev. Z nadzorom nad njimi se lahko organizacije izognejo plačevanju storitev upravljanja ključev tretjim ponudnikom. To odpravlja morebitne ponavljajoče se naročnine in stroške licenciranja.
Poleg tega je namen šifriranja BYOK narediti podatke neberljive za zlonamerne akterje, vključno s hekerji in tistimi, ki se lažno predstavljajo kot skrbniki v oblaku. To lahko posredno prihrani stroške iz morebitnih razkritje občutljivih informacij, s ciljem preprečiti globe zaradi neskladnosti in izgubljene posle.
Kateri CSP podpirajo BYOK?
Večji CSP-ji, kot so Google Cloud Platform (GCP), Amazon Web Services (AWS), Microsoft Azure in različni Programska oprema kot storitev (SaaS) prodajalci že ponujajo podporo BYOK.
Kljub temu, da BYOK zagotavlja izboljšan nadzor, uvaja dodatne ključne naloge upravljanja, zlasti v nastavitvah z več oblaki. Vsak CSP, vključno z GCP, AWS in Azure, ima svoje edinstveno šifriranje in KMS, zaradi česar je bistven za oblak skrbniki, da se seznanijo s terminologijo in posebnostmi vsakega prodajalca, s katerim delajo z.
GCP, Azure in AWS varni podatki v mirovanju in med prenosom tako, da ga šifrirate. CSP to dosežejo s svojimi ustreznimi storitvami za upravljanje ključev: Cloud KMS za GCP, Azure Key Vault za Azure in AWS KMS za AWS.
Ključni premisleki za implementacijo BYOK
BYOK ponuja večji nadzor nad podatki in ključi, vendar zahteva tudi večjo odgovornost. Implementacija BYOK je zahtevna, saj se nadzor, vključno z vzdrževanjem varnosti šifrirnih ključev, prenese na lastnika podatkov.
Medtem ko BYOK zmanjšuje tveganje izgube podatkov, zlasti za podatke v gibanju, je njegova varnost odvisna od sposobnosti organizacije, da zaščiti ključe.
Izguba šifrirnih ključev lahko povzroči nepopravljivo izgubo podatkov. Da bi zmanjšali to tveganje, razmislite o varnostnem kopiranju ključev po ustvarjanju in rotaciji, ne izbrišite ključev po nepotrebnem in zagotovite celovito upravljanje življenjskega cikla ključev.
Pomagala bo tudi vzpostavitev strategije upravljanja, ki vključuje politike rotacije ključev, shranjevanje, postopke preklica in nadzor dostopa. Pridobivanje strokovnega znanja in izkušenj uglednega prodajalca lahko pospeši izvajanje te strategije, kar poudarja potrebo po oceni podpore in strokovnosti CSP pri izvajanju BYOK.
Pomembno je omeniti, da se vse rešitve BYOK ne integrirajo brez težav s CSP-ji. Vlaganje časa v temeljita raziskava v zgodnjih fazah je ključnega pomena, da zagotovite, da boste našli idealno rešitev, preden se lotite prodajalci.
Ne spreglejte tudi stroškov, povezanih z BYOK. Ti vključujejo stroške upravljanja in podpore. Implementacija BYOK morda ni enostavna, zato bodo organizacije morda morale vlagati v dodatno osebje in HSM, kar bo povzročilo dodatne stroške.
Mnoga podjetja imajo raje pristop z več oblaki za optimizacijo delovanja in zmanjšanje stroškov. Kadarkoli je to mogoče, se izogibajte zanašanju na enega samega ponudnika oblaka, da preprečite zaklepanje ponudnika in v celoti izkoristite prednosti sprejemanja oblaka.
BYOK izboljša varnost podatkov v oblaku
Shranjevanje podatkov v oblak ponuja številne prednosti, vendar mnoge upravičeno skrbi morebitna varnostna tveganja pri shranjevanju. Ko so podatki v oblaku, izgubijo neposreden nadzor nad njimi.
Cilj BYOK je obravnavati temeljno skrb, da ponudniki CSP ali SaaS morda ne zagotavljajo želene ravni zaščite podatkov, kljub temu pa lahko dešifrirajo vaše podatke po lastni presoji. Organizacijam omogoča nadzor lastnih šifrirnih ključev in podatkov v oblaku namesto CSP-jev, kar izboljšuje varnost podatkov v oblaku.
