Nerimaujate, kaip duomenys saugomi debesyje? Šifravimas yra gyvybiškai svarbus, tačiau vis dar turi problemų. Štai čia ateina BYOK.
Debesų šifravimas yra viena iš efektyviausių technologijų duomenų apsaugai nuo pažeidimų. Tačiau organizacijos, kurios perkelia savo duomenis į debesį, susiduria su šifravimo dilema kaip debesies paslauga paslaugų teikėjai (CPT) pagal numatytuosius nustatymus išlaiko prieigą prie savo klientų šifravimo raktų ir, atitinkamai, jų duomenis.
Duomenų valdymo patikėjimas trečiosios šalies CSP sukuria galimus duomenų saugumo trūkumus. Laimei, BYOK įdiegimas, ty Bring Your Own Key, gali padėti apsaugoti kriptografinius raktus, naudojamus debesyje saugomiems duomenims užšifruoti.
Kas yra BYOK?
Bring Your Own Key (BYOK) arba Bring Your Own Encryption (BYOE) yra duomenų apsaugos modelis, leidžiantis debesyje paslaugų klientams naudoti savo šifravimo raktų valdymo programinę įrangą ir visiškai kontroliuoti savo šifravimą raktai.
BYOK leidžia klientams naudoti savo raktų valdymo programinę įrangą, kad galėtų saugoti raktus už debesies ribų, taip suteikiant daugiau galimybių valdyti šifravimo raktų valdymą.
Kaip veikia BYOK?
Pagrindinė BYOK idėja yra atskirti užraktą, t. y. CSP teikiamą šifravimą, nuo rakto (vietoje saugomų šifravimo raktų). Tai pasiekiama naudojant trečiąją šalį, kuri gamina raktus, vadinamus raktų šifravimo raktais (KEK), kurie vėliau naudojami CSP sugeneruotiems duomenų šifravimo raktams (DEK) užšifruoti.
Pirmiau minėtas procesas yra žinomas kaip raktų įvyniojimas; tai apima DEK „apvyniojimą“ naudojant KEK, siekiant užtikrinti, kad tik debesijos paslaugų klientas galėtų iššifruoti DEK ir pasiekti CSP saugomus duomenis.
Renkantis trečiąją šalį KEK generavimui ir raktų įvyniojimui, galite pasirinkti vietinį aparatinės įrangos saugos modulis (HSM) arba programine įranga pagrįsta raktų valdymo sistema (KMS).
Kodėl BYOK yra svarbus?
Duomenys turi didžiulę vertę kiekvienam, pabrėžiant BYOK diegimo svarbą siekiant juos apsaugoti. Štai pagrindinės priežastys, kodėl verta įdiegti BYOK.
Pagerina duomenų saugumą
BYOK suteikia papildomą jautrių duomenų apsaugos sluoksnį, atskirdama užšifruotą informaciją nuo susieto rakto. Naudodamos BYOK, organizacijos gali saugoti užšifruotus raktus už debesies ribų, naudodamos savo šifravimo raktų valdymo programinę įrangą. Taip užtikrinama, kad tik jie gali pasiekti savo duomenis, o tai padidina duomenų saugumą.
Pagerina atitikimą
Įvairių sektorių įmonės turi laikytis konkrečiai pramonės šakai taikomų šifravimo raktų valdymo taisyklių.
Pavyzdžiui, griežtai reguliuojamose pramonės šakose, įskaitant sveikatos priežiūrą ir finansus, reikia laikytis griežtų duomenų saugumo standartų. BYOK leidžia organizacijoms įvykdyti šiuos reikalavimus, valdant savo šifravimo raktus viduje.
Nelengva užtikrinti klientų duomenų privatumą, kai kas nors kitas turi prieigą prie jų šifravimo raktų. Duomenų apsauga užtikrina norminių reikalavimų ir pramonės standartų laikymąsi ir taip apsaugo organizacijos reputaciją.
BYOK suteikia galimybę matyti, kaip pasiekiami ir ištrinami duomenys. Tokiu būdu jis atlieka lemiamą vaidmenį laikantis tokių taisyklių kaip BDAR (bendrasis duomenų apsaugos reglamentas), ypač dėl teisės reikalauti ištrinti asmens duomenis.
Padidina lankstumą ir duomenų valdymą
BYOK leidžia organizacijoms pagal individualius poreikius saugoti ir valdyti šifravimo raktus vietoje arba debesyje.
Be to, jie gali naudoti savo duomenis taip, kaip jiems atrodo tinkama, nesvarbu, ar tai būtų vidinis bendrinimas, debesies duomenų analizė, ar bendrinimas jais už organizacijos ribų, išlaikant tvirtą saugumą. Istoriškai debesyje saugomi duomenys buvo šifruojami CSP priklausančiais raktais, todėl įmonės galėjo mažiau kontroliuoti savo duomenis.
BYOK šifravimas taip pat suteikia didesnę raktų valdymo kontrolę, leidžiančią prireikus atšaukti prieigą prie galutinių vartotojų arba CSP.
Centralizuoja raktų valdymą
Daugelio šifravimo raktų valdymas įvairiose platformose, pvz., duomenų centruose, debesų paslaugų teikėjuose ir kelių debesų sąrankose, gali būti bauginantis. BYOK šifravimo įdiegimas supaprastina šį procesą centralizuodamas raktų valdymą per vieną platforma, užtikrinanti efektyvumą atliekant su pagrindine veikla susijusią veiklą, įskaitant raktų kūrimą, rotaciją ir archyvavimas.
Potencialiai taupo pinigus
BYOK suteikia galimybę valdyti šifravimo raktus viduje. Kontroliuodamos jas, organizacijos gali nemokėti trečiųjų šalių pardavėjams už pagrindines valdymo paslaugas. Tai pašalina galimai pasikartojančius abonentinius mokesčius ir licencijavimo išlaidas.
Be to, BYOK šifravimu siekiama, kad duomenys būtų neįskaitomi piktybiniams veikėjams, įskaitant įsilaužėlius ir debesų administratorius. Tai gali netiesiogiai sumažinti išlaidas jautrios informacijos atskleidimas, kuriuo siekiama išvengti baudų ir prarastų verslo.
Kurie CSP palaiko BYOK?
Pagrindiniai CSP, pvz., „Google Cloud Platform“ (GCP), „Amazon Web Services“ (AWS), „Microsoft Azure“ ir įvairios Programinė įranga kaip paslauga (SaaS) pardavėjai jau siūlo BYOK palaikymą.
Nepaisant to, kad BYOK suteikia patobulintą valdymą, jame pateikiamos papildomos pagrindinės valdymo užduotys, ypač kelių debesų sąrankose. Kiekvienas CSP, įskaitant GCP, AWS ir Azure, turi savo unikalų šifravimą ir KMS, todėl jis yra būtinas debesyje administratorius, kad susipažintų su kiekvieno pardavėjo, kurio dirba, terminija ir išskirtinėmis savybėmis su.
GCP, Azure ir AWS saugius duomenis ramybės būsenoje ir gabenant jį šifruojant. CSP tai pasiekia naudodami atitinkamas pagrindines valdymo paslaugas: „Cloud KMS“, skirta GCP, „Azure Key Vault“, skirta „Azure“, ir AWS KMS, skirta AWS.
Pagrindiniai BYOK diegimo aspektai
BYOK siūlo didesnę duomenų ir raktų kontrolę, tačiau taip pat reikalauja didesnės atsakomybės. BYOK diegimas yra sudėtingas, nes kontrolė, įskaitant šifravimo raktų saugumo palaikymą, pereina duomenų savininkui.
Nors BYOK sumažina duomenų praradimo riziką, ypač judančių duomenų, jo saugumas priklauso nuo organizacijos gebėjimo apsaugoti raktus.
Praradus šifravimo raktus, duomenys gali būti negrįžtamai prarasti. Norėdami sumažinti šią riziką, apsvarstykite galimybę sukurti atsargines raktų kopijas po sukūrimo ir pasukimo, be reikalo neištrinkite raktų ir turėkite visapusišką raktų gyvavimo ciklo valdymą.
Taip pat padės sukurti valdymo strategiją, apimančią pagrindinių rotacijos politiką, saugojimą, atšaukimo procedūras ir prieigos kontrolę. Gerbiamo pardavėjo patirties panaudojimas gali paspartinti šios strategijos įgyvendinimą, pabrėžiant būtinybę įvertinti CSP palaikymą ir BYOK diegimo įgūdžius.
Svarbu pažymėti, kad ne visi BYOK sprendimai sklandžiai integruojami su CSP. Investuoti laiką į kruopštus tyrimas ankstyvosiose stadijose yra gyvybiškai svarbus siekiant užtikrinti, kad prieš pradėdami dirbti rastumėte idealų sprendimą pardavėjai.
Nepamirškite ir išlaidų, susijusių su BYOK. Tai apima pagrindines valdymo ir paramos išlaidas. BYOK diegimas gali būti nelengvas, todėl organizacijoms gali tekti investuoti į papildomus darbuotojus ir HSM, o tai gali sukelti papildomų išlaidų.
Daugelis įmonių renkasi kelių debesų metodą, kad optimizuotų našumą ir sumažintų išlaidas. Kai tik įmanoma, venkite pasikliauti vienu debesies paslaugų teikėju, kad išvengtumėte pardavėjo blokavimo ir visiškai išnaudotumėte debesies naudojimo privalumus.
BYOK pagerina debesų duomenų saugumą
Duomenų saugojimas debesyje suteikia daug privalumų, tačiau daugelis pagrįstai nerimauja dėl galimos saugojimo saugos rizikos. Kai duomenys yra debesyje, jie praranda tiesioginę jų kontrolę.
BYOK siekia išspręsti esminį susirūpinimą, kad CSP arba SaaS pardavėjai gali nesuteikti norimo duomenų apsaugos lygio, tačiau jie gali iššifruoti jūsų duomenis savo nuožiūra. Tai leidžia organizacijoms valdyti savo šifravimo raktus ir debesies duomenis, o ne CSP, taip padidinant debesies duomenų saugumą.
