Kas olete mures selle pärast, kuidas andmeid pilves hoitakse? Krüpteerimine on ülioluline, kuid sellel on endiselt probleeme. Siin tulebki BYOK sisse.
Pilve krüptimine on üks tõhusamaid tehnoloogiaid andmete kaitsmiseks rikkumiste eest. Kuid organisatsioonid, kes migreerivad oma andmeid pilve, seisavad silmitsi pilveteenusena krüpteerimise dilemmaga pakkujad (CSP-d) säilitavad vaikimisi juurdepääsu oma klientide krüpteerimisvõtmetele ja laiemalt ka nende andmeid.
Andmete haldamise usaldamine kolmanda osapoole CSP-le tekitab andmeturbes potentsiaalseid nõrkusi. Õnneks võib BYOK-i – st Bring Your Own Key – juurutamine aidata kaitsta pilve salvestatud andmete krüptimiseks kasutatavaid krüptovõtmeid.
Mis on BYOK?
Bring Your Own Key (BYOK) või Bring Your Own Encryption (BYOE) on andmekaitsemudel, mis võimaldab pilve teenuse kliendid saavad kasutada oma krüpteerimisvõtme haldamise tarkvara ja kontrollida oma krüptimist täielikult võtmed.
BYOK võimaldab klientidel kasutada oma võtmehaldustarkvara, et salvestada võtmeid väljaspool pilve, pakkudes suuremat kontrolli krüpteerimisvõtmehalduse üle.
Kuidas BYOK töötab?
BYOK-i põhiidee on eraldada lukk, st CSP-ga pakutav krüpteering, võtmest (kohalikult salvestatud krüpteerimisvõtmed). See saavutatakse, kasutades kolmandat osapoolt võtmete, mida nimetatakse võtme krüpteerimisvõtmeteks (KEK-id), tootmiseks, mida seejärel kasutatakse CSP-ga loodud andmete krüpteerimisvõtmete (DEK) krüptimiseks.
Ülaltoodud protsessi nimetatakse võtmete pakkimiseks; see hõlmab DEK-i "pakkimist" KEK-i abil tagamaks, et ainult pilveteenuse klient saab DEK-i dekrüpteerida ja juurdepääsu CSP-s salvestatud andmetele.
Kui valite KEK-i genereerimiseks ja võtmete pakkimiseks kolmanda osapoole, saate valida kohapealse riistvara turvamoodul (HSM) või tarkvarapõhine võtmehaldussüsteem (KMS).
Miks on BYOK oluline?
Andmed on kõigi jaoks tohutu väärtusega, mis rõhutab BYOKi rakendamise tähtsust nende kaitsmiseks. Siin on BYOKi rakendamise peamised põhjused.
Parandab andmeturvet
BYOK pakub tundlikele andmetele täiendavat kaitsekihti, eraldades krüptitud teabe seotud võtmest. BYOK-iga saavad organisatsioonid krüpteeritud võtmeid oma krüpteerimisvõtmehaldustarkvara abil väljaspool pilve salvestada. See tagab, et ainult neil on juurdepääs oma andmetele, mis suurendab andmete turvalisust.
Parandab vastavust
Erinevate sektorite ettevõtted peavad järgima krüpteerimisvõtme haldamise valdkonnas spetsiifilisi eeskirju.
Näiteks rangelt reguleeritud tööstusharud, sealhulgas tervishoid ja rahandus, nõuavad rangete andmeturbestandardite järgimist. BYOK võimaldab organisatsioonidel neid nõudeid täita, haldades oma krüpteerimisvõtmeid sisemiselt.
Kui kellelgi teisel on juurdepääs nende krüpteerimisvõtmetele, ei ole lihtne tagada klientide andmete privaatsust. Andmete turvamine tagab vastavuse regulatiivsetele nõuetele ja tööstusstandarditele ning kaitseb seega organisatsiooni mainet.
BYOK annab ülevaate andmetele juurdepääsu ja andmete kustutamise kohta. Sel viisil mängib see olulist rolli selliste eeskirjade järgimisel nagu GDPR (üldine andmekaitsemäärus), eriti mis puudutab õigust isikuandmete kustutamisele.
Suurendab paindlikkust ja andmete kontrolli
BYOK võimaldab organisatsioonidel salvestada ja hallata krüpteerimisvõtmeid kohapeal või pilves vastavalt individuaalsetele vajadustele.
Lisaks võimaldab see neil kasutada oma andmeid nii, nagu nad õigeks peavad, olgu selleks siis sisemine jagamine, pilvandmeanalüüs või nende jagamine väljaspool organisatsiooni, säilitades samal ajal tugeva turvalisuse. Ajalooliselt krüpteeriti pilves talletatud andmed CSP-dele kuuluvate võtmetega, jättes ettevõtetele oma andmete üle väiksema kontrolli.
BYOK-krüptimine pakub ka suuremat võtmehalduse kontrolli, võimaldades teil vajaduse korral oma lõppkasutajate või CSP juurdepääsu tühistada.
Tsentraliseerib võtmehalduse
Arvukate krüpteerimisvõtmete haldamine erinevatel platvormidel, nagu andmekeskused, pilveteenuse pakkujad ja mitme pilve seadistused, võib olla hirmutav. BYOK-krüptimise rakendamine muudab selle protsessi sujuvamaks, tsentraliseerides võtmehalduse üheainsa kaudu platvorm, tagades võtmetähtsusega seotud tegevuste tõhususe, sealhulgas võtme loomise, rotatsiooni ja arhiveerimine.
Säästab potentsiaalselt raha
BYOK pakub võimalust hallata krüpteerimisvõtmeid majasiseselt. Neid kontrollides saavad organisatsioonid vältida võtmehaldusteenuste eest tasumist kolmandatest osapooltest tarnijatele. See välistab potentsiaalselt korduvad liitumistasud ja litsentsikulud.
Lisaks on BYOK-krüptimise eesmärk muuta andmed pahatahtlikele osalejatele, sealhulgas häkkeritele ja pilveadministraatoriteks kehastavatele isikutele loetamatuks. See võib kaudselt säästa potentsiaalseid kulusid tundliku teabe avaldamine, mille eesmärk on vältida nõuete täitmise trahve ja äritegevuse kaotamist.
Millised CSP-d toetavad BYOK-i?
Peamised CSP-d, nagu Google Cloud Platform (GCP), Amazon Web Services (AWS), Microsoft Azure ja mitmesugused Tarkvara teenusena (SaaS) müüjad pakuvad juba BYOK-i tuge.
Vaatamata sellele, et BYOK pakub täiustatud juhtimist, lisab see täiendavaid võtmehaldusülesandeid, eriti mitme pilve seadistustes. Igal CSP-l, sealhulgas GCP-l, AWS-il ja Azure'il, on ainulaadne krüptimine ja KMS, mis muudab selle pilveteenuste jaoks hädavajalikuks administraatoritele, et nad saaksid end kurssi viia iga müüja terminoloogia ja eripäradega, kellega nad töötavad koos.
GCP, Azure ja AWS turvalised andmed puhkeolekus ja selle krüpteerimise teel. CSP-d saavutavad selle oma vastavate võtmehaldusteenuste abil: Cloud KMS for GCP, Azure Key Vault for Azure ja AWS KMS for AWS.
Peamised kaalutlused BYOKi rakendamisel
BYOK pakub suuremat kontrolli andmete ja võtmete üle, kuid nõuab ka suuremat vastutust. BYOK-i rakendamine on keeruline, kuna kontroll, sealhulgas krüpteerimisvõtmete turvalisuse säilitamine, läheb üle andmete omanikule.
Kuigi BYOK vähendab andmete kadumise riski, eriti liikuvate andmete puhul, sõltub selle ohutus organisatsiooni võtmete kaitsmise võimest.
Krüpteerimisvõtmete kaotamine võib põhjustada pöördumatut andmete kadumist. Selle riski maandamiseks kaaluge võtmete varundamist pärast loomist ja pööramist, ärge kustutage võtmeid asjatult ja kasutage kõikehõlmavat võtme elutsükli haldamist.
Abiks on ka juhtimisstrateegia loomine, mis hõlmab võtmete vaheldumise poliitikat, salvestust, tühistamise protseduure ja juurdepääsu kontrolle. Maineka müüja asjatundlikkuse kaasamine võib kiirendada selle strateegia rakendamist, rõhutades vajadust hinnata CSP-i tuge ja oskusi BYOK-i rakendamisel.
Oluline on märkida, et mitte kõik BYOK-i lahendused ei integreeru CSP-dega sujuvalt. Aja investeerimine põhjalik uurimine varases staadiumis on ülioluline tagamaks, et leiate enne alustamist ideaalse lahenduse müüjad.
Ärge jätke tähelepanuta ka BYOKiga seotud kulusid. Nende hulka kuuluvad võtmehaldus- ja tugikulud. BYOKi juurutamine ei pruugi olla lihtne, nii et organisatsioonidel võib tekkida vajadus investeerida lisapersonalisse ja HSM-idesse, mis toob kaasa lisakulutusi.
Paljud ettevõtted eelistavad jõudluse optimeerimiseks ja kulude vähendamiseks mitme pilvepõhist lähenemist. Võimaluse korral vältige lootmist ühelegi pilveteenuse pakkujale, et vältida tarnija lukustamist ja täielikult ära kasutada pilve kasutuselevõtu eeliseid.
BYOK suurendab pilvandmete turvalisust
Andmete pilves salvestamine pakub mitmeid eeliseid, kuid paljud muretsevad õigustatult võimalike salvestamise turvariskide pärast. Kui andmed on pilves, kaotavad nad otsese kontrolli nende üle.
BYOKi eesmärk on lahendada põhiprobleem, et CSP-d või SaaS-i tarnijad ei pruugi pakkuda soovitud andmekaitse taset, kuid nad võivad teie andmed oma äranägemise järgi dekrüpteerida. See võimaldab organisatsioonidel kontrollida oma krüpteerimisvõtmeid ja pilvandmeid CSP-de asemel, suurendades pilvandmete turvalisust.
