Vai uztraucaties par to, kā dati tiek glabāti mākonī? Šifrēšana ir ļoti svarīga, taču tai joprojām ir problēmas. Šeit parādās BYOK.
Mākoņu šifrēšana ir viena no efektīvākajām tehnoloģijām datu aizsardzībai pret pārkāpumiem. Tomēr organizācijas, kas migrē savus datus uz mākoni, saskaras ar šifrēšanas dilemmu kā mākoņpakalpojumu pakalpojumu sniedzēji (CSP) pēc noklusējuma saglabā piekļuvi savu klientu šifrēšanas atslēgām un attiecīgi arī viņu datus.
Datu kontroles uzticēšana trešās puses CSP rada potenciālus datu drošības trūkumus. Par laimi, BYOK ieviešana, tas ir, Bring Your Own Key, var palīdzēt aizsargāt kriptogrāfiskās atslēgas, kas tiek izmantotas mākonī saglabāto datu šifrēšanai.
Kas ir BYOK?
Bring Your Own Key (BYOK) vai Bring Your Own Encryption (BYOE) ir datu aizsardzības modelis, kas nodrošina mākoņa izmantošanu. pakalpojumu klientiem izmantot savu šifrēšanas atslēgu pārvaldības programmatūru un pilnībā kontrolēt savu šifrēšanu atslēgas.
BYOK ļauj klientiem izmantot savu atslēgu pārvaldības programmatūru, lai saglabātu atslēgas ārpus mākoņa, nodrošinot lielāku kontroli pār šifrēšanas atslēgu pārvaldību.
Kā darbojas BYOK?
BYOK pamatideja ir atdalīt slēdzeni, t.i., CSP nodrošināto šifrēšanu, no atslēgas (lokāli saglabātajām šifrēšanas atslēgām). Tas tiek panākts, izmantojot trešo pusi, lai izveidotu atslēgas, kas pazīstamas kā atslēgu šifrēšanas atslēgas (KEK), kuras pēc tam izmanto, lai šifrētu CSP ģenerētās datu šifrēšanas atslēgas (DEK).
Iepriekš minētais process ir pazīstams kā atslēgu iesaiņošana; tas ietver DEK “iesaiņošanu”, izmantojot KEK, lai nodrošinātu, ka tikai mākoņpakalpojuma klients var atšifrēt DEK un piekļūt CSP saglabātajiem datiem.
Izvēloties trešo pusi KEK ģenerēšanai un atslēgu iesaiņošanai, varat izvēlēties lokālu aparatūras drošības modulis (HSM) vai uz programmatūru balstīta atslēgu pārvaldības sistēma (KMS).
Kāpēc BYOK ir svarīgs?
Datiem ir milzīga vērtība ikvienam, un tas uzsver, cik svarīgi ir ieviest BYOK, lai tos aizsargātu. Šeit ir norādīti galvenie iemesli BYOK ieviešanai.
Uzlabo datu drošību
BYOK nodrošina papildu aizsardzības līmeni sensitīviem datiem, atdalot šifrēto informāciju no saistītās atslēgas. Izmantojot BYOK, organizācijas var glabāt šifrētās atslēgas ārpus mākoņa, izmantojot savu šifrēšanas atslēgu pārvaldības programmatūru. Tas nodrošina, ka tikai viņi var piekļūt saviem datiem, tādējādi uzlabojot datu drošību.
Uzlabo atbilstību
Uzņēmumiem dažādās nozarēs ir jāievēro nozares specifiskie noteikumi par šifrēšanas atslēgu pārvaldību.
Piemēram, stingri regulētās nozarēs, tostarp veselības aprūpē un finansēs, ir jāievēro stingri datu drošības standarti. BYOK ļauj organizācijām izpildīt šīs prasības, pārvaldot savas šifrēšanas atslēgas iekšēji.
Nav viegli garantēt klientu datu privātumu, ja kādam citam ir piekļuve viņu šifrēšanas atslēgām. Datu aizsardzība nodrošina atbilstību normatīvajām prasībām un nozares standartiem un tādējādi aizsargā organizācijas reputāciju.
BYOK nodrošina pārskatāmību par to, kā dati tiek piekļūti un dzēsti. Tādā veidā tai ir izšķiroša loma tādu noteikumu ievērošanā kā GDPR (Vispārīgā datu aizsardzības regula), jo īpaši attiecībā uz tiesībām uz personas datu dzēšanu.
Palielina elastību un datu kontroli
BYOK ļauj organizācijām uzglabāt un pārvaldīt šifrēšanas atslēgas uz vietas vai mākonī, pamatojoties uz individuālajām vajadzībām.
Turklāt tas ļauj viņiem izmantot savus datus pēc saviem ieskatiem, neatkarīgi no tā, vai tā ir iekšējā koplietošana, mākoņdatu analīze vai kopīgošana ārpus organizācijas, vienlaikus saglabājot stabilu drošību. Vēsturiski mākonī glabātie dati tika šifrēti ar atslēgām, kas piederēja CSP, atstājot uzņēmumiem mazāku kontroli pār saviem datiem.
BYOK šifrēšana nodrošina arī palielinātu atslēgu pārvaldības kontroli, ļaujot jums atsaukt piekļuvi jūsu galalietotājiem vai CSP, kad vien nepieciešams.
Centralizē atslēgu pārvaldību
Daudzu šifrēšanas atslēgu pārvaldība dažādās platformās, piemēram, datu centros, mākoņpakalpojumos un vairāku mākoņu iestatījumos, var būt biedējoša. BYOK šifrēšanas ieviešana racionalizē šo procesu, centralizējot atslēgu pārvaldību, izmantojot vienu platforma, nodrošinot efektivitāti galvenajās darbībās, tostarp atslēgu izveides, rotācijas un arhivēšana.
Potenciāli ietaupa naudu
BYOK nodrošina iespēju pārvaldīt šifrēšanas atslēgas uz vietas. Kontrolējot tos, organizācijas var izvairīties no maksājumu trešo pušu pārdevējiem par galvenajiem pārvaldības pakalpojumiem. Tas novērš potenciāli atkārtotas abonēšanas maksas un licencēšanas izmaksas.
Turklāt BYOK šifrēšanas mērķis ir padarīt datus nelasāmus ļaunprātīgiem dalībniekiem, tostarp hakeriem un tiem, kas uzdodas par mākoņa administratoriem. Tas var netieši ietaupīt izmaksas no potenciāliem sensitīvas informācijas izpaušana, kuras mērķis ir novērst atbilstības naudas sodu un zaudētu uzņēmējdarbību.
Kuri CSP atbalsta BYOK?
Galvenie CSP, piemēram, Google Cloud Platform (GCP), Amazon Web Services (AWS), Microsoft Azure un dažādi Programmatūra kā pakalpojums (SaaS) pārdevēji jau piedāvā BYOK atbalstu.
Neskatoties uz to, ka BYOK nodrošina uzlabotu kontroli, tas ievieš papildu galvenos pārvaldības uzdevumus, īpaši vairāku mākoņu iestatījumos. Katram CSP, tostarp GCP, AWS un Azure, ir sava unikālā šifrēšana un KMS, kas padara to par būtisku mākonī administratori, lai iepazītos ar katra piegādātāja, kurā viņi strādā, terminoloģiju un atšķirīgajām iezīmēm ar.
GCP, Azure un AWS droši dati miera stāvoklī un tranzītā, to šifrējot. CSP to panāk, izmantojot savus attiecīgos galveno pārvaldības pakalpojumus: Cloud KMS for GCP, Azure Key Vault for Azure un AWS KMS for AWS.
Galvenie apsvērumi BYOK ieviešanā
BYOK piedāvā lielāku kontroli pār datiem un atslēgām, taču prasa arī lielāku atbildību. BYOK ieviešana ir sarežģīta, jo kontrole, tostarp šifrēšanas atslēgu drošības uzturēšana, tiek nodota datu īpašniekam.
Lai gan BYOK samazina datu zaudēšanas risku, jo īpaši kustībā esošiem datiem, tā drošība ir atkarīga no organizācijas spējas aizsargāt atslēgas.
Šifrēšanas atslēgu zaudēšana var izraisīt neatgriezenisku datu zudumu. Lai mazinātu šo risku, apsveriet iespēju dublēt atslēgas pēc izveides un pagriešanas, nevajadzīgi neizdzēsiet atslēgas un izmantojiet visaptverošu atslēgu dzīves cikla pārvaldību.
Palīdzēs arī pārvaldības stratēģijas izveide, kas ietver galveno rotācijas politiku, glabāšanu, atsaukšanas procedūras un piekļuves kontroli. Cienījama pārdevēja pieredzes piesaistīšana var paātrināt šīs stratēģijas ieviešanu, uzsverot nepieciešamību novērtēt CSP atbalstu un prasmes BYOK ieviešanā.
Ir svarīgi ņemt vērā, ka ne visi BYOK risinājumi tiek nemanāmi integrēti ar CSP. Ieguldot laiku rūpīga izpēte agrīnā stadijā ir ļoti svarīga, lai nodrošinātu, ka pirms iesaistīšanās tiek atrasts ideāls risinājums pārdevēji.
Neaizmirstiet arī izmaksas, kas saistītas ar BYOK. Tie ietver galvenos pārvaldības un atbalsta izdevumus. BYOK ieviešana var nebūt vienkārša, tāpēc organizācijām, iespējams, būs jāiegulda papildu darbinieki un HSM, kā rezultātā rodas papildu izdevumi.
Daudzi uzņēmumi dod priekšroku vairāku mākoņu pieejai, lai optimizētu veiktspēju un samazinātu izmaksas. Kad vien iespējams, izvairieties no paļaušanās uz vienu mākoņpakalpojumu sniedzēju, lai novērstu pārdevēju bloķēšanu un pilnībā izmantotu mākoņa ieviešanas priekšrocības.
BYOK uzlabo mākoņdatu drošību
Datu glabāšana mākonī sniedz vairākas priekšrocības, taču daudzi pamatoti uztraucas par iespējamiem krātuves drošības riskiem. Kad dati ir mākonī, tie zaudē tiešu kontroli pār tiem.
BYOK mērķis ir novērst galvenās bažas, ka CSP vai SaaS pārdevēji var nenodrošināt vēlamo datu aizsardzības līmeni, tomēr viņi var atšifrēt jūsu datus pēc saviem ieskatiem. Tas ļauj organizācijām kontrolēt savas šifrēšanas atslēgas un mākoņdatus, nevis CSP, uzlabojot mākoņdatu drošību.
