Orolig för hur data hålls i molnet? Kryptering är avgörande, men har fortfarande sina problem. Det är där BYOK kommer in.
Molnkryptering är en av de mest effektiva teknikerna för att skydda data mot intrång. Organisationer som migrerar sin data till molnet står dock inför ett krypteringsdilemma som molntjänst leverantörer (CSP) behåller som standard åtkomst till sina kunders krypteringsnycklar och, i förlängningen, deras data.
Att anförtro en tredje parts CSP med datakontroll skapar potentiella svagheter i datasäkerheten. Lyckligtvis kan implementering av BYOK – det vill säga Bring Your Own Key – hjälpa till att skydda de kryptografiska nycklar som används för att kryptera molnlagrad data.
Vad är BYOK?
Bring Your Own Key (BYOK), eller Bring Your Own Encryption (BYOE), är en dataskyddsmodell som tillåter moln betjäna kunderna att använda sin egen programvara för hantering av krypteringsnyckel och helt kontrollera sin kryptering nycklar.
BYOK tillåter kunder att använda sin egen nyckelhanteringsprogramvara för att lagra nycklar utanför molnet, vilket ger mer kontroll över krypteringsnyckelhanteringen.
Hur fungerar BYOK?
Den grundläggande idén bakom BYOK är att separera låset, det vill säga den CSP-tillhandahållna krypteringen, från nyckeln (de lokalt lagrade krypteringsnycklarna). Detta åstadkoms genom att använda en tredje part för att producera nycklar som kallas nyckelkrypteringsnycklar (KEK) som sedan används för att kryptera de CSP-genererade datakrypteringsnycklarna (DEK).
Ovanstående process är känd som nyckelomslag; det innebär att "omsluta" DEK: et med hjälp av KEK: n för att säkerställa att endast molntjänstkunden kan dekryptera DEK: n och komma åt data som lagras i CSP: n.
När du väljer en tredje part för KEK-generering och nyckelomslag kan du välja en lokal hårdvarusäkerhetsmodul (HSM) eller ett mjukvarubaserat nyckelhanteringssystem (KMS).
Varför är BYOK viktigt?
Data har ett enormt värde för alla, vilket understryker vikten av att implementera BYOK för att skydda dem. Här är de främsta anledningarna till att implementera BYOK.
Förbättrar datasäkerheten
BYOK ger ett extra skyddslager för känsliga data genom att separera den krypterade informationen från den associerade nyckeln. Med BYOK kan organisationer lagra krypterade nycklar utanför molnet med sin programvara för hantering av krypteringsnyckel. Detta säkerställer att endast de kan komma åt sina data, vilket förbättrar datasäkerheten.
Förbättrar efterlevnad
Företag inom olika sektorer måste följa branschspecifika regler för hantering av krypteringsnyckel.
Till exempel kräver starkt reglerade branscher, inklusive hälso- och sjukvård och finans, att de följer strikta datasäkerhetsstandarder. BYOK gör det möjligt för organisationer att uppfylla dessa krav genom att hantera sina krypteringsnycklar internt.
Det är inte lätt att garantera kundernas dataintegritet när någon annan har tillgång till deras krypteringsnycklar. Att säkra data säkerställer efterlevnad av regulatoriska krav och branschstandarder och skyddar på så sätt en organisations rykte.
BYOK ger insyn i hur data nås och raderas. På så sätt spelar den en avgörande roll för att följa föreskrifter som GDPR (General Data Protection Regulation), särskilt när det gäller rätten att få personuppgifter raderade.
Ökar flexibilitet och datakontroll
BYOK tillåter organisationer att lagra och hantera krypteringsnycklar på plats eller i molnet baserat på individuella behov.
Dessutom gör det det möjligt för dem att använda sin data som de tycker är lämpligt, vare sig det är intern delning, molndataanalys eller dela den utanför organisationen, allt med bibehållen robust säkerhet. Historiskt sett krypterades molnlagrad data med nycklar som ägdes av CSP: er, vilket lämnade företag med minskad kontroll över sin data.
BYOK-kryptering ger också ökad nyckelhanteringskontroll, vilket gör att du kan återkalla åtkomst för dina slutanvändare eller CSP närhelst det behövs.
Centraliserar nyckelhantering
Det kan vara skrämmande att hantera många krypteringsnycklar på olika plattformar som datacenter, molnleverantörer och multimoln. Implementering av BYOK-kryptering effektiviserar denna process genom att centralisera nyckelhanteringen genom en enda plattform, vilket säkerställer effektivitet i nyckelrelaterade aktiviteter, inklusive nyckelskapande, rotation och arkivering.
Sparar potentiellt pengar
BYOK ger möjlighet att hantera krypteringsnycklar internt. Genom att kontrollera dem kan organisationer undvika att betala tredjepartsleverantörer för nyckelhanteringstjänster. Detta eliminerar potentiellt återkommande prenumerationsavgifter och licenskostnader.
Dessutom syftar BYOK-kryptering till att göra data oläsbar för illvilliga aktörer, inklusive hackare och de som utger sig för att vara molnadministratörer. Detta kan indirekt spara kostnader från potentiellt utlämnande av känslig information, som syftar till att förhindra efterlevnadsböter och förlorade affärer.
Vilka CSP: er stöder BYOK?
Stora CSP: er som Google Cloud Platform (GCP), Amazon Web Services (AWS), Microsoft Azure och olika Software as a Service (SaaS) leverantörer erbjuder redan BYOK-support.
Trots att BYOK ger förbättrad kontroll, introducerar den ytterligare nyckelhanteringsuppgifter, särskilt i multimolninställningar. Varje CSP, inklusive GCP, AWS och Azure, har sin unika kryptering och KMS, vilket gör det viktigt för molnet administratörer för att bekanta sig med terminologierna och särdragen för varje leverantör de arbetar med.
GCP, Azure och AWS säker data i vila och under transport genom att kryptera den. CSP: erna uppnår detta med sina respektive nyckelhanteringstjänster: Cloud KMS för GCP, Azure Key Vault för Azure och AWS KMS för AWS.
Viktiga överväganden för BYOK-implementering
BYOK erbjuder större kontroll över data och nycklar men kräver också ökat ansvar. Att implementera BYOK är utmanande, eftersom kontroll, inklusive att upprätthålla säkerheten för krypteringsnycklar, övergår till dataägaren.
Medan BYOK minskar risken för dataförlust, särskilt för data i rörelse, är dess säkerhet beroende av organisationens förmåga att skydda nycklar.
Att förlora krypteringsnycklar kan leda till oåterkallelig dataförlust. För att minska denna risk, överväg att säkerhetskopiera nycklar efter skapande och rotation, ta inte bort nycklar i onödan och ha omfattande nyckellivscykelhantering.
Att upprätta en hanteringsstrategi som inkluderar nyckelrotationspolicyer, lagring, återkallelseprocedurer och åtkomstkontroller kommer också att hjälpa. Att anlita expertis från en ansedd leverantör kan påskynda implementeringen av denna strategi, vilket understryker behovet av att utvärdera CSP: s stöd och kompetens i BYOK-implementering.
Det är viktigt att notera att inte alla BYOK-lösningar integreras sömlöst med CSP: er. Att investera tid i noggrann forskning under de tidiga stadierna är avgörande för att säkerställa att du hittar den perfekta lösningen innan du engagerar dig försäljare.
Glöm inte heller kostnaderna för BYOK. Dessa inkluderar kostnader för nyckelhantering och support. BYOK-implementeringen kanske inte är okomplicerad, så organisationer kan behöva investera i extra personal och HSM, vilket leder till extra kostnader.
Många företag föredrar ett tillvägagångssätt med flera moln för att optimera prestanda och minska kostnaderna. När det är möjligt, undvik att lita på en enskild molnleverantör för att förhindra leverantörslåsning och dra full nytta av fördelarna med molninförande.
BYOK Förbättrar datasäkerhet i molnet
Att lagra data i molnet erbjuder flera fördelar, men många oroar sig med rätta för potentiella lagringssäkerhetsrisker. När data väl finns i molnet förlorar de direkt kontroll över det.
BYOK syftar till att ta itu med det grundläggande problemet att CSP: er eller SaaS-leverantörer kanske inte tillhandahåller den önskade nivån av dataskydd, men ändå kan de dekryptera dina data efter eget gottfinnande. Det gör det möjligt för organisationer att kontrollera sina egna krypteringsnycklar och molndata istället för CSP: er, vilket förbättrar molndatasäkerheten.
