Forstå Bring Your Own Encryption and Keys (BYOE)

Hovedargumentet mot cloud computing fremsatt av motstanderne er sikkerhet. BYOE sikrer sikkerheten til alle skytjenestene dine. La oss se hvordan.

I cloud computing har ikke eieren av dataene direkte kontroll over dem og er tvunget til å stole på at skytjenesteleverandøren holder dem trygge mot uautorisert tilgang. Den mest aksepterte løsningen for å beskytte informasjon som ligger i skyer, er å kryptere den.

Problemet med datakryptering er at det ikke bare forhindrer uautoriserte brukere fra å få tilgang til dataene, men også legger til komplikasjoner ved bruk av dataene for legitimt autoriserte brukere.

Anta at et selskap er vert for sine data i kryptert form på en skytjenesteleverandørs (CSP) infrastruktur. I så fall trenger den en eller annen effektiv form for dekryptering som ikke gjør det vanskelig for brukerne å bruke dataene og applikasjonene, eller påvirker brukeropplevelsen deres negativt.

Mange skyleverandører tilbyr kundene sine muligheten til å holde dataene kryptert, og gir dem verktøy for å gjøre dekryptering transparent og ubemerket av autoriserte brukere.

Ethvert robust krypteringsskjema krever imidlertid krypteringsnøkler. Og når datakrypteringen utføres av samme CSP som holder dataene, holdes krypteringsnøklene også av den CSP.

Så som kunde hos en CSP kan du ikke ha full kontroll over dataene dine, siden du ikke kan stole på at CSP-en din holder krypteringsnøklene helt trygge. Enhver lekkasje av disse nøklene kan gjøre dataene dine fullstendig utsatt for uautorisert tilgang.

Hvorfor du trenger BYOE

BYOE (ta med din egen kryptering) kan også bli referert til som BYOK (ta med dine egne nøkler), selv om dette er ganske nye konsepter, kan forskjellige selskaper gi hvert akronym en annen betydning.

BYOE er en sikkerhetsmodell spesielt skreddersydd for cloud computing, som lar skytjenestekunder bruke sine egne krypteringsverktøy og administrere sine egne krypteringsnøkler.

  13 plattformer for å få ikoner for nettstedet ditt [Free and Paid]

I BYOE-modellen distribuerer kunder av en CSP en virtualisert forekomst av sin egen krypteringsprogramvare, sammen med applikasjonen de er vert for i skyen.

Applikasjonen er konfigurert på en slik måte at all informasjon behandles av krypteringsprogramvare. Denne programvaren krypterer dataene og lagrer dem i form av chiffertekst i skytjenesteleverandørens fysiske datalager.

En viktig fordel med BYOE er at den lar bedrifter bruke skytjenester for å være vert for dataene og applikasjonene deres samtidig som de overholder datavernkriterier pålagt av regulatorer i visse bransjer. Selv i multi-tenant, tredjepartsmiljøer.

Denne tilnærmingen lar bedrifter bruke krypteringsteknologien som best dekker deres behov, uavhengig av skytjenesteleverandørens IT-infrastruktur.

Fordeler med BYOE

De viktigste fordelene du kan få ved å bruke BYOE er:

  • Økt sikkerhet for data som er vert på tredjeparts infrastruktur.
  • Full kontroll over datakryptering, inkludert algoritme og nøkler.
  • Overvåking og tilgangskontroll som en merverdi.
  • Transparent kryptering og dekryptering for ikke å påvirke databruksopplevelsen.
  • Mulighet for å styrke sikkerheten med maskinvaresikkerhetsmoduler.

Det er en vanlig oppfatning at det er nok at informasjon er kryptert for å være trygg mot risiko, men dette er ikke tilfelle. Sikkerhetsnivået til krypterte data er bare så høyt som sikkerheten til nøklene som brukes til å dekryptere dem. Hvis nøklene er eksponert, vil dataene bli eksponert, selv om de er kryptert.

BYOE er en måte å forhindre at sikkerheten til krypteringsnøklene blir overlatt til tilfeldighetene og sikkerheten implementert av en tredjepart, dvs. din CSP.

BYOE er den siste låsen på en databeskyttelsesordning som ellers ville ha et farlig brudd. Med BYOE, selv om CSP-ens krypteringsnøkler er kompromittert, vil ikke dataene dine være det.

Hvordan BYOE fungerer

BYOE-sikkerhetsordningen krever at CSP tilbyr sine kunder muligheten til å bruke sine egne krypteringsalgoritmer og krypteringsnøkler.

For å bruke denne mekanismen uten å påvirke brukeropplevelsen, må du distribuere en virtualisert forekomst av krypteringsprogramvaren sammen med applikasjonene du er vert for på CSP-en din.

  Hvordan aktiverer jeg TruConnect SIM-kortet

Enterprise-applikasjoner i BYOE-skjemaet må konfigureres slik at alle dataene de håndterer går gjennom krypteringsapplikasjonen.

Denne applikasjonen sitter som en proxy mellom for- og bakenden av forretningsapplikasjonene dine, slik at data ikke på noe tidspunkt flyttes eller lagres ukryptert.

Du må sørge for at bakenden av forretningsapplikasjonene dine lagrer en chiffertekstversjon av dataene dine i det fysiske datalageret til CSP-en din.

BYOE Versus Native Encryption

Arkitekturer som implementerer BYOE gir større tillit til beskyttelsen av dataene dine enn native krypteringsløsninger levert av CSPer. Dette er gjort mulig ved å bruke en arkitektur som beskytter strukturerte databaser samt ustrukturerte filer og store datamiljøer.

Ved å bruke utvidelser lar BYOEs best-of-breed-løsninger deg bruke dataene selv under kryptering og omnøkkeloperasjoner. På den annen side er bruk av BYOE-løsningen for å overvåke og logge datatilgang en måte å forutse trusseldeteksjon og avskjæring.

Det finnes også BYOE-løsninger som tilbyr høyytelses AES-kryptering som en merverdi, forbedret av maskinvareakselerasjon og granulære tilgangskontrollpolicyer.

På denne måten kan de fastslå hvem som har tilgang til data, til hvilke tider og gjennom hvilke prosesser, uten å måtte ty til spesifikke overvåkingsverktøy.

Nøkkelledelse

I tillegg til å bruke din egen krypteringsmodul, trenger du programvare for krypteringsnøkkeladministrasjon (EKM) for å administrere krypteringsnøklene.

Denne programvaren lar IT- og sikkerhetsadministratorer administrere tilgang til krypteringsnøkler, noe som gjør det enklere for selskaper å lagre sine egne nøkler og holde dem utenfor hendene på tredjeparter.

Det finnes ulike typer krypteringsnøkler avhengig av typen data som skal krypteres. For å være virkelig effektiv må EKM-programvaren du velger være i stand til å håndtere alle typer nøkkel.

Fleksibel og effektiv krypteringsnøkkeladministrasjon er avgjørende når bedrifter kombinerer skysystemer med lokale og virtuelle systemer.

Herding av BYOE med en HSM

En maskinvaresikkerhetsmodul, eller HSM, er en fysisk sikkerhetsenhet som brukes til å utføre kryptografiske operasjoner raskt og med maksimal sikkerhet. Slike kryptografiske operasjoner inkluderer kryptering, nøkkelhåndtering, dekryptering og autentisering.

  Få tekst for å utvide/skjule ved klikk i MS Word 2013

HSM-er er designet for maksimal tillit og robusthet og er ideelle for å beskytte klassifiserte data. De kan distribueres som PCI Express-kort, frittstående enheter med Ethernet-nettverksgrensesnitt, eller ganske enkelt eksterne USB-enheter.

De har sine egne operativsystemer, spesialdesignet for å maksimere sikkerheten, og tilgangen til nettverket er beskyttet av en brannmur.

Når du bruker en HSM i kombinasjon med BYOE, tar HSM rollen som en proxy mellom forretningsapplikasjonene dine og CSPens lagringssystemer, og tar seg av all nødvendig kryptografisk behandling.

Ved å bruke HSM for krypteringsoppgaver, sikrer du at disse oppgavene ikke påfører irriterende forsinkelser på normal drift av applikasjonene dine. I tillegg minimerer du med en HSM sjansene for at uautoriserte brukere forstyrrer administrasjonen av nøklene eller krypteringsalgoritmene dine.

På jakt etter standarder

Når du tar i bruk en BYOE-sikkerhetsordning, bør du se på hva CSP-en din kan gjøre. Som vi har sett gjennom denne artikkelen, for at dataene dine skal være virkelig sikre i en CSPs infrastruktur, må CSP sørge for at du kan installere din egen krypteringsprogramvare eller HSM sammen med applikasjonene dine, at dataene vil bli kryptert i CSPens depoter, og at du og ingen andre vil ha tilgang til krypteringsnøklene.

Du kan også utforske noen av de beste sikkerhetsmeglerløsningene for skytilgang for å utvide organisasjonens lokale sikkerhetssystemer.

x