Preoccupato per come i dati vengono conservati nel cloud? La crittografia è vitale, ma ha ancora i suoi problemi. È qui che entra in gioco BYOK.
La crittografia del cloud è una delle tecnologie più efficaci per proteggere i dati dalle violazioni. Tuttavia, le organizzazioni che migrano i propri dati nel cloud devono affrontare un dilemma di crittografia come servizio cloud provider (CSP), per impostazione predefinita, mantengono l'accesso alle chiavi di crittografia dei loro clienti e, per estensione, ai loro dati.
Affidare a un CSP di terze parti il controllo dei dati crea potenziali punti deboli nella sicurezza dei dati. Fortunatamente, l'implementazione di BYOK, ovvero Bring Your Own Key, può aiutare a proteggere le chiavi crittografiche utilizzate per crittografare i dati archiviati nel cloud.
Cos'è BYOK?
Bring Your Own Key (BYOK), o Bring Your Own Encryption (BYOE), è un modello di protezione dei dati che consente al cloud clienti del servizio di utilizzare il proprio software di gestione delle chiavi di crittografia e controllare completamente la crittografia chiavi.
BYOK consente ai clienti di utilizzare il proprio software di gestione delle chiavi per archiviare le chiavi al di fuori del cloud, fornendo un maggiore controllo sulla gestione delle chiavi di crittografia.
Come funziona BYOK?
L'idea fondamentale alla base di BYOK è quella di separare il blocco, ovvero la crittografia fornita dal CSP, dalla chiave (le chiavi di crittografia archiviate localmente). Ciò si ottiene utilizzando una terza parte per produrre chiavi note come chiavi di crittografia della chiave (KEK) che vengono quindi utilizzate per crittografare le chiavi di crittografia dei dati generate dal CSP (DEK).
Il processo di cui sopra è noto come key wrapping; comporta il "wrapping" della DEK utilizzando la KEK per garantire che solo il cliente del servizio cloud possa decrittografare la DEK e accedere ai dati archiviati nel CSP.
Quando scegli una terza parte per la generazione di KEK e il wrapping delle chiavi, puoi optare per un locale modulo di sicurezza hardware (HSM) o un sistema di gestione delle chiavi basato su software (KMS).
Perché BYOK è importante?
I dati hanno un valore immenso per tutti, sottolineando l'importanza di implementare BYOK per proteggerli. Ecco i motivi principali per implementare BYOK.
Migliora la sicurezza dei dati
BYOK fornisce un ulteriore livello di protezione per i dati sensibili separando le informazioni crittografate dalla chiave associata. Con BYOK, le organizzazioni possono archiviare le chiavi crittografate all'esterno del cloud utilizzando il loro software di gestione delle chiavi di crittografia. Ciò garantisce che solo loro possano accedere ai propri dati, migliorando la sicurezza dei dati.
Migliora la conformità
Le aziende in vari settori devono rispettare le normative specifiche del settore per la gestione delle chiavi di crittografia.
Ad esempio, i settori altamente regolamentati, tra cui sanità e finanza, richiedono il rispetto di rigorosi standard di sicurezza dei dati. BYOK consente alle organizzazioni di soddisfare questi requisiti gestendo internamente le proprie chiavi di crittografia.
Non è facile garantire la privacy dei dati dei clienti quando qualcun altro ha accesso alle loro chiavi di crittografia. La protezione dei dati garantisce la conformità ai requisiti normativi e agli standard del settore, proteggendo così la reputazione di un'organizzazione.
BYOK fornisce visibilità su come si accede e si eliminano i dati. In questo modo, svolge un ruolo cruciale nel rispetto di normative come il GDPR (regolamento generale sulla protezione dei dati), in particolare per quanto riguarda il diritto alla cancellazione dei dati personali.
Aumenta la flessibilità e il controllo dei dati
BYOK consente alle organizzazioni di archiviare e gestire le chiavi di crittografia on-premise o nel cloud in base alle esigenze individuali.
Inoltre, consente loro di utilizzare i propri dati come meglio credono, sia che si tratti di condivisione interna, analisi dei dati nel cloud o condivisione all'esterno dell'organizzazione, il tutto mantenendo una solida sicurezza. Storicamente, i dati archiviati nel cloud venivano crittografati con chiavi di proprietà dei CSP, lasciando alle aziende un controllo ridotto sui propri dati.
La crittografia BYOK fornisce anche un maggiore controllo sulla gestione delle chiavi, consentendoti di revocare l'accesso per i tuoi utenti finali o per il CSP quando necessario.
Centralizza la gestione delle chiavi
La gestione di numerose chiavi di crittografia su piattaforme diverse come data center, fornitori di servizi cloud e configurazioni multi-cloud può essere scoraggiante. L'implementazione della crittografia BYOK semplifica questo processo centralizzando la gestione delle chiavi tramite un unico piattaforma, garantendo l'efficienza nelle attività relative alle chiavi, tra cui creazione, rotazione e archiviazione.
Potenzialmente consente di risparmiare denaro
BYOK offre la possibilità di gestire internamente le chiavi di crittografia. Controllandoli, le organizzazioni possono evitare di pagare fornitori di terze parti per i servizi di gestione delle chiavi. Ciò elimina i costi di abbonamento e di licenza potenzialmente ricorrenti.
Inoltre, la crittografia BYOK mira a rendere i dati illeggibili agli attori malintenzionati, inclusi gli hacker e coloro che impersonano gli amministratori del cloud. Questo può indirettamente salvare i costi da potenzialmente divulgazione di informazioni sensibili, con l'obiettivo di prevenire multe per conformità e affari persi.
Quali CSP supportano BYOK?
Principali CSP come Google Cloud Platform (GCP), Amazon Web Services (AWS), Microsoft Azure e vari Software come servizio (SaaS) i fornitori offrono già il supporto BYOK.
Nonostante BYOK fornisca un controllo avanzato, introduce ulteriori attività di gestione delle chiavi, specialmente nelle configurazioni multi-cloud. Ogni CSP, inclusi GCP, AWS e Azure, ha la sua crittografia e KMS univoci, che lo rendono essenziale per il cloud amministratori di familiarizzare con le terminologie e le caratteristiche distintive di ogni fornitore con cui lavorano con.
GCP, Azure e AWS proteggere i dati a riposo e in transito crittografandolo. I CSP ottengono questo risultato utilizzando i rispettivi servizi di gestione delle chiavi: Cloud KMS per GCP, Azure Key Vault per Azure e AWS KMS per AWS.
Considerazioni chiave per l'implementazione BYOK
BYOK offre un maggiore controllo su dati e chiavi, ma richiede anche una maggiore responsabilità. L'implementazione di BYOK è impegnativa, poiché il controllo, incluso il mantenimento della sicurezza delle chiavi di crittografia, passa al proprietario dei dati.
Mentre BYOK riduce il rischio di perdita di dati, in particolare per i dati in movimento, la sua sicurezza si basa sulla capacità dell'organizzazione di proteggere le chiavi.
La perdita delle chiavi di crittografia può portare alla perdita irreversibile dei dati. Per mitigare questo rischio, prendere in considerazione il backup delle chiavi dopo la creazione e la rotazione, non eliminare le chiavi inutilmente e disporre di una gestione completa del ciclo di vita delle chiavi.
Sarà utile anche definire una strategia di gestione che includa criteri di rotazione delle chiavi, archiviazione, procedure di revoca e controlli degli accessi. L'arruolamento dell'esperienza di un fornitore affidabile può accelerare l'implementazione di questa strategia, sottolineando la necessità di valutare il supporto e la competenza del CSP nell'implementazione BYOK.
È importante notare che non tutte le soluzioni BYOK si integrano perfettamente con i CSP. Investire tempo in una ricerca approfondita durante le prime fasi è fondamentale per assicurarti di trovare la soluzione ideale prima di impegnarti venditori.
Non trascurare nemmeno i costi associati a BYOK. Questi includono la gestione delle chiavi e le spese di supporto. L'implementazione BYOK potrebbe non essere semplice, quindi le organizzazioni potrebbero dover investire in personale e HSM extra, con conseguenti spese aggiuntive.
Molte aziende preferiscono un approccio multi-cloud per ottimizzare le prestazioni e ridurre i costi. Quando possibile, evita di fare affidamento su un singolo fornitore di servizi cloud per impedire il blocco dei fornitori e sfruttare appieno i vantaggi dell'adozione del cloud.
BYOK migliora la sicurezza dei dati nel cloud
L'archiviazione dei dati nel cloud offre molteplici vantaggi, ma molti giustamente si preoccupano dei potenziali rischi per la sicurezza dello storage. Una volta che i dati sono nel cloud, ne perdono il controllo diretto.
BYOK mira ad affrontare la preoccupazione fondamentale che i fornitori CSP o SaaS potrebbero non fornire il livello desiderato di protezione dei dati, ma possono decrittografare i dati a loro discrezione. Consente alle organizzazioni di controllare le proprie chiavi di crittografia e i dati cloud anziché i CSP, migliorando la sicurezza dei dati cloud.
