Bezorgd over hoe gegevens in de cloud worden bewaard? Versleuteling is van vitaal belang, maar heeft nog steeds zijn problemen. Dat is waar BYOK om de hoek komt kijken.
Cloudversleuteling is een van de meest effectieve technologieën om gegevens te beschermen tegen inbreuken. Organisaties die hun gegevens naar de cloud migreren, hebben echter te maken met een versleutelingsdilemma als cloudservice providers (CSP's) behouden standaard toegang tot de coderingssleutels van hun klanten en, bij uitbreiding, hun gegevens.
Het toevertrouwen van een externe CSP met gegevensbeheer creëert potentiële zwakheden in de gegevensbeveiliging. Gelukkig kan de implementatie van BYOK, oftewel Bring Your Own Key, helpen bij het beschermen van de cryptografische sleutels die worden gebruikt om in de cloud opgeslagen gegevens te versleutelen.
Wat is BYOK?
Bring Your Own Key (BYOK) of Bring Your Own Encryption (BYOE) is een gegevensbeschermingsmodel dat cloud mogelijk maakt serviceklanten om hun eigen software voor het beheer van coderingssleutels te gebruiken en hun codering volledig te beheren sleutels.
Met BYOK kunnen klanten hun eigen sleutelbeheersoftware gebruiken om sleutels buiten de cloud op te slaan, waardoor ze meer controle krijgen over het beheer van versleutelingssleutels.
Hoe werkt BYOK?
Het fundamentele idee achter BYOK is om het slot, d.w.z. de door de CSP verstrekte codering, te scheiden van de sleutel (de lokaal opgeslagen coderingssleutels). Dit wordt bereikt door een derde partij te gebruiken om sleutels te produceren die bekend staan als sleutelcoderingssleutels (KEK's) die vervolgens worden gebruikt om de door de CSP gegenereerde gegevenscoderingssleutels (DEK's) te coderen.
Het bovenstaande proces staat bekend als key wrapping; het omvat het "inpakken" van de DEK met behulp van de KEK om ervoor te zorgen dat alleen de cloudserviceklant de DEK kan decoderen en toegang kan krijgen tot de gegevens die zijn opgeslagen in de CSP.
Wanneer u een derde partij kiest voor KEK-generatie en sleutelverpakking, kunt u kiezen voor een on-premises hardware beveiligingsmodule (HSM) of een op software gebaseerd sleutelbeheersysteem (KMS).
Waarom is BYOK belangrijk?
Gegevens hebben een enorme waarde voor iedereen, wat het belang onderstreept van de implementatie van BYOK om ze te beschermen. Dit zijn de belangrijkste redenen om BYOK te implementeren.
Verbetert de gegevensbeveiliging
BYOK biedt een extra beschermingslaag voor gevoelige gegevens door de versleutelde informatie te scheiden van de bijbehorende sleutel. Met BYOK kunnen organisaties versleutelde sleutels buiten de cloud opslaan met behulp van hun beheersoftware voor versleutelingssleutels. Dit zorgt ervoor dat alleen zij toegang hebben tot hun gegevens, waardoor de gegevensbeveiliging wordt verbeterd.
Verbetert de naleving
Bedrijven in verschillende sectoren moeten voldoen aan branchespecifieke voorschriften voor het beheer van coderingssleutels.
Sterk gereguleerde sectoren, waaronder de gezondheidszorg en de financiële wereld, vereisen bijvoorbeeld naleving van strikte normen voor gegevensbeveiliging. BYOK stelt organisaties in staat om aan deze vereisten te voldoen door hun coderingssleutels intern te beheren.
Het is niet eenvoudig om de gegevensprivacy van klanten te garanderen wanneer iemand anders toegang heeft tot hun coderingssleutels. Door gegevens te beveiligen, wordt voldaan aan wettelijke vereisten en industriestandaarden en wordt zo de reputatie van een organisatie beschermd.
BYOK biedt inzicht in hoe gegevens worden geopend en verwijderd. Op deze manier speelt het een cruciale rol bij het naleven van regelgeving zoals de AVG (Algemene Verordening Gegevensbescherming), in het bijzonder met betrekking tot het recht om persoonsgegevens te laten wissen.
Verhoogt de flexibiliteit en gegevenscontrole
Met BYOK kunnen organisaties encryptiesleutels lokaal of in de cloud opslaan en beheren op basis van individuele behoeften.
Bovendien stelt het hen in staat om hun gegevens naar eigen goeddunken te gebruiken, of het nu gaat om intern delen, gegevensanalyse in de cloud of delen buiten de organisatie, en dit alles met behoud van een robuuste beveiliging. Historisch gezien werden in de cloud opgeslagen gegevens versleuteld met sleutels die eigendom waren van CSP's, waardoor bedrijven minder controle over hun gegevens hadden.
BYOK-codering biedt ook meer controle over sleutelbeheer, zodat u de toegang voor uw eindgebruikers of de CSP indien nodig kunt intrekken.
Centraliseert sleutelbeheer
Het beheren van talloze coderingssleutels op verschillende platforms, zoals datacenters, cloudproviders en multi-cloudconfiguraties, kan ontmoedigend zijn. Het implementeren van BYOK-codering stroomlijnt dit proces door het sleutelbeheer te centraliseren via één enkele platform, wat zorgt voor efficiëntie bij sleutelgerelateerde activiteiten, waaronder sleutelcreatie, rotatie en archiveren.
Bespaart mogelijk geld
BYOK biedt de mogelijkheid om encryptiesleutels intern te beheren. Door ze te beheersen, kunnen organisaties voorkomen dat ze externe leveranciers moeten betalen voor sleutelbeheerservices. Dit elimineert mogelijk terugkerende abonnementskosten en licentiekosten.
Bovendien is BYOK-codering bedoeld om gegevens onleesbaar te maken voor kwaadwillende actoren, waaronder hackers en personen die zich voordoen als cloudbeheerders. Dit kan indirect kosten besparen van potentieel openbaarmaking van gevoelige informatie, met als doel nalevingsboetes en verloren zaken te voorkomen.
Welke CSP's ondersteunen BYOK?
Grote CSP's zoals Google Cloud Platform (GCP), Amazon Web Services (AWS), Microsoft Azure en diverse Software-as-a-Service (SaaS) leveranciers bieden al BYOK-ondersteuning.
Ondanks dat BYOK verbeterde controle biedt, introduceert het extra belangrijke beheertaken, vooral in multi-cloud setups. Elke CSP, inclusief GCP, AWS en Azure, heeft zijn eigen unieke versleuteling en KMS, waardoor het essentieel is voor de cloud beheerders om vertrouwd te raken met de terminologieën en onderscheidende kenmerken van elke leverancier waarmee ze werken met.
GCP, Azure en AWS veilige gegevens in rust en onderweg door het te versleutelen. De CSP's bereiken dit met behulp van hun respectievelijke sleutelbeheerservices: Cloud KMS voor GCP, Azure Key Vault voor Azure en AWS KMS voor AWS.
Belangrijkste overwegingen voor BYOK-implementatie
BYOK biedt meer controle over gegevens en sleutels, maar vereist ook meer verantwoordelijkheid. Het implementeren van BYOK is een uitdaging, omdat de controle, inclusief het handhaven van de beveiliging van coderingssleutels, verschuift naar de eigenaar van de gegevens.
Hoewel BYOK het risico op gegevensverlies verkleint, met name voor bewegende gegevens, is de veiligheid ervan afhankelijk van het vermogen van de organisatie om sleutels te beschermen.
Het verliezen van coderingssleutels kan leiden tot onomkeerbaar gegevensverlies. Om dit risico te beperken, kunt u overwegen een back-up van sleutels te maken na het maken en roteren, sleutels niet onnodig te verwijderen en uitgebreid beheer van de levenscyclus van sleutels te hebben.
Het opzetten van een beheerstrategie die beleid voor sleutelroulatie, opslag, intrekkingsprocedures en toegangscontrole omvat, zal ook helpen. Het inschakelen van de expertise van een gerenommeerde leverancier kan de implementatie van deze strategie versnellen, wat de noodzaak onderstreept om de ondersteuning en vaardigheid van de CSP in BYOK-implementatie te beoordelen.
Het is belangrijk op te merken dat niet alle BYOK-oplossingen naadloos integreren met CSP's. Tijd erin investeren grondig onderzoek tijdens de vroege stadia is van vitaal belang om ervoor te zorgen dat u de ideale oplossing vindt voordat u ermee aan de slag gaat verkoper.
Vergeet ook de kosten van BYOK niet. Deze omvatten kosten voor sleutelbeheer en ondersteuning. BYOK-implementatie is misschien niet eenvoudig, dus organisaties moeten mogelijk investeren in extra personeel en HSM's, met extra kosten tot gevolg.
Veel bedrijven geven de voorkeur aan een multi-cloudbenadering om de prestaties te optimaliseren en de kosten te verlagen. Vermijd waar mogelijk de afhankelijkheid van een enkele cloudprovider om afhankelijkheid van leveranciers te voorkomen en profiteer ten volle van de voordelen van cloudadoptie.
BYOK verbetert de beveiliging van cloudgegevens
Het opslaan van gegevens in de cloud biedt meerdere voordelen, maar velen maken zich terecht zorgen over mogelijke opslagbeveiligingsrisico's. Zodra gegevens zich in de cloud bevinden, verliezen ze de directe controle erover.
BYOK is bedoeld om tegemoet te komen aan de fundamentele zorg dat CSP's of SaaS-leveranciers mogelijk niet het gewenste niveau van gegevensbescherming bieden, maar toch uw gegevens naar eigen goeddunken kunnen decoderen. Het stelt organisaties in staat om hun eigen coderingssleutels en cloudgegevens te beheren in plaats van CSP's, waardoor de beveiliging van cloudgegevens wordt verbeterd.
