Huvudargumentet mot cloud computing som framförs av dess belackare är säkerhet. BYOE säkerställer säkerheten för alla dina molntjänster. Låt oss se hur.
Inom cloud computing har ägaren av data ingen direkt kontroll över den och tvingas förlita sig på molntjänstleverantören för att skydda den från obehörig åtkomst. Den vanligaste lösningen för att skydda information som finns i moln är att kryptera den.
Problemet med datakryptering är att det inte bara hindrar obehöriga användare från att komma åt data utan också lägger till komplikationer för att använda data för legitimt auktoriserade användare.
Anta att ett företag lagrar sina data i krypterad form på en molntjänstleverantörs (CSP) infrastruktur. I så fall behöver den någon effektiv form av dekryptering som inte gör det svårt för användarna att använda data och applikationer, eller påverkar deras användarupplevelse negativt.
Många molnleverantörer erbjuder sina kunder möjligheten att hålla sina data krypterade, vilket ger dem verktyg för att göra dekryptering transparent och obemärkt för auktoriserade användare.
Alla robusta krypteringsscheman kräver dock krypteringsnycklar. Och när datakrypteringen utförs av samma CSP som innehåller data, hålls krypteringsnycklarna också av den CSP.
Så som kund hos en CSP kan du inte ha full kontroll över dina data, eftersom du inte kan lita på att din CSP kommer att hålla krypteringsnycklarna helt säkra. Varje läckage av dessa nycklar kan göra att dina data blir helt exponerade för obehörig åtkomst.
Innehållsförteckning
Varför du behöver BYOE
BYOE (ta med din egen kryptering) kan också kallas BYOK (ta med dina egna nycklar), även om eftersom dessa är ganska nya koncept kan olika företag ge varje akronym en annan betydelse.
BYOE är en säkerhetsmodell speciellt skräddarsydd för cloud computing, som tillåter molntjänstkunder att använda sina egna krypteringsverktyg och hantera sina egna krypteringsnycklar.
I BYOE-modellen distribuerar kunder till en CSP en virtualiserad instans av sin egen krypteringsmjukvara, tillsammans med applikationen som de är värd i molnet.
Applikationen är konfigurerad på ett sådant sätt att all information bearbetas av krypteringsmjukvara. Denna programvara krypterar data och lagrar den i form av chiffertext i molntjänstleverantörens fysiska datalager.
En viktig fördel med BYOE är att det tillåter företag att använda molntjänster för att vara värd för sina data och applikationer samtidigt som de uppfyller datasekretesskriterier som ställs av tillsynsmyndigheter i vissa branscher. Även i tredjepartsmiljöer med flera hyresgäster.
Detta tillvägagångssätt gör att företag kan använda den krypteringsteknik som bäst möter deras behov, oavsett molntjänstleverantörens IT-infrastruktur.
Fördelar med BYOE
De främsta fördelarna du kan få av att använda BYOE är:
- Ökad säkerhet för data som lagras på tredjepartsinfrastrukturer.
- Full kontroll över datakryptering, inklusive algoritm och nycklar.
- Övervakning och passerkontroll som ett mervärde.
- Transparent kryptering och dekryptering för att inte påverka dataanvändningsupplevelsen.
- Möjlighet att stärka säkerheten med hårdvarusäkerhetsmoduler.
Det är allmänt trott att det räcker med att information krypteras för att vara säker från risk, men så är inte fallet. Säkerhetsnivån för krypterad data är bara så hög som säkerheten för de nycklar som används för att dekryptera den. Om nycklarna är exponerade kommer data att exponeras, även om den är krypterad.
BYOE är ett sätt att förhindra att säkerheten för krypteringsnycklarna lämnas åt slumpen och att säkerheten implementeras av en tredje part, dvs din CSP.
BYOE är det sista låset på ett dataskyddssystem som annars skulle ha ett farligt intrång. Med BYOE, även om din CSP:s krypteringsnycklar äventyras, kommer dina data inte att vara det.
Hur BYOE fungerar
BYOE-säkerhetsschemat kräver att CSP erbjuder sina kunder möjlighet att använda sina egna krypteringsalgoritmer och krypteringsnycklar.
För att använda den här mekanismen utan att påverka användarupplevelsen måste du distribuera en virtualiserad instans av din krypteringsmjukvara tillsammans med de applikationer du är värd för på din CSP.
Företagsapplikationer i BYOE-schemat måste konfigureras så att all data de hanterar passerar genom krypteringsapplikationen.
Denna applikation sitter som en proxy mellan fram- och baksidan av dina affärsapplikationer så att data inte vid något tillfälle flyttas eller lagras okrypterad.
Du måste se till att baksidan av dina affärsapplikationer lagrar en chiffertextversion av dina data i det fysiska dataarkivet för din CSP.
BYOE Versus Native Encryption
Arkitekturer som implementerar BYOE erbjuder större förtroende för skyddet av dina data än inbyggda krypteringslösningar som tillhandahålls av CSP:er. Detta möjliggörs genom att använda en arkitektur som skyddar såväl strukturerade databaser som ostrukturerade filer och big data-miljöer.
Genom att använda tillägg tillåter BYOEs bästa lösningar dig att använda data även under kryptering och omnyckeloperationer. Å andra sidan är att använda BYOE-lösningen för att övervaka och logga dataåtkomst ett sätt att förutse hotupptäckt och avlyssning.
Det finns också BYOE-lösningar som erbjuder, som ett mervärde, högpresterande AES-kryptering, förstärkt av hårdvaruacceleration och granulära policyer för åtkomstkontroll.
På så sätt kan de fastställa vem som kan komma åt data, vid vilka tidpunkter och genom vilka processer, utan att behöva tillgripa specifika övervakningsverktyg.
Nyckelhantering
Förutom att använda din egen krypteringsmodul behöver du programvara för krypteringsnyckelhantering (EKM) för att hantera dina krypteringsnycklar.
Denna programvara låter IT- och säkerhetsadministratörer hantera åtkomst till krypteringsnycklar, vilket gör det lättare för företag att lagra sina egna nycklar och hålla dem utom händerna på tredje part.
Det finns olika typer av krypteringsnycklar beroende på vilken typ av data som ska krypteras. För att vara verkligt effektiv måste EKM-programvaran du väljer kunna hantera vilken typ av nyckel som helst.
Flexibel och effektiv krypteringsnyckelhantering är avgörande när företag kombinerar molnsystem med lokala och virtuella system.
Härdning av BYOE med en HSM
En hårdvarusäkerhetsmodul, eller HSM, är en fysisk säkerhetsenhet som används för att utföra kryptografiska operationer snabbt och med maximal säkerhet. Sådana kryptografiska operationer inkluderar kryptering, nyckelhantering, dekryptering och autentisering.
HSM:er är designade för maximalt förtroende och robusthet och är idealiska för att skydda sekretessbelagda data. De kan användas som PCI Express-kort, fristående enheter med Ethernet-nätverksgränssnitt eller helt enkelt externa USB-enheter.
De har sina egna operativsystem, speciellt utformade för att maximera säkerheten, och deras åtkomst till nätverket skyddas av en brandvägg.
När du använder en HSM i kombination med BYOE tar HSM rollen som proxy mellan dina affärsapplikationer och din CSP:s lagringssystem, och tar hand om all nödvändig kryptografisk bearbetning.
Genom att använda HSM för krypteringsuppgifter säkerställer du att dessa uppgifter inte lägger på irriterande fördröjningar på den normala driften av dina applikationer. Dessutom minimerar du med en HSM risken för att obehöriga användare stör hanteringen av dina nycklar eller krypteringsalgoritmer.
På jakt efter standarder
När du använder ett BYOE-säkerhetssystem bör du titta på vad din CSP kan göra. Som vi har sett i den här artikeln, för att dina data verkligen ska vara säkra i en CSP:s infrastruktur, måste CSP:n säkerställa att du kan installera din egen krypteringsmjukvara eller HSM tillsammans med dina applikationer, att data kommer att krypteras i CSP:s arkiv, och att du och ingen annan kommer att ha tillgång till krypteringsnycklarna.
Du kan också utforska några av de bästa lösningarna för säkerhetsmäklare för molnåtkomst för att utöka organisationens lokala säkerhetssystem.