Kendi Şifrelemenizi ve Anahtarlarınızı Getirin (BYOE)

Suçluları tarafından öne sürülen bulut bilişime karşı ana argüman güvenliktir. BYOE, tüm bulut hizmetlerinizin güvenliğini sağlar. Nasıl olduğunu görelim.

Bulut bilişimde, verinin sahibinin veri üzerinde doğrudan bir kontrolü yoktur ve yetkisiz erişimden korumak için bulut hizmeti sağlayıcısına güvenmek zorunda kalır. Bulutlarda bulunan bilgileri korumak için en yaygın olarak kabul edilen çözüm, onu şifrelemektir.

Veri şifrelemeyle ilgili sorun, yalnızca yetkisiz kullanıcıların verilere erişmesini engellemekle kalmayıp, aynı zamanda yasal olarak yetkilendirilmiş kullanıcılar için verilerin kullanılmasına karmaşıklıklar eklemesidir.

Bir şirketin verilerini bir bulut hizmeti sağlayıcısının (CSP) altyapısında şifreli biçimde barındırdığını varsayalım. Bu durumda, kullanıcıların verileri ve uygulamaları kullanmasını zorlaştırmayan veya kullanıcı deneyimlerini olumsuz etkilemeyen etkili bir şifre çözme yöntemine ihtiyaç duyar.

Birçok bulut sağlayıcı, müşterilerine verilerini şifreli tutma seçeneği sunarak, şifre çözmeyi şeffaf ve yetkili kullanıcılar tarafından fark edilmeyecek araçlar sağlar.

Ancak, herhangi bir sağlam şifreleme şeması, şifreleme anahtarları gerektirir. Ve veri şifreleme, verileri tutan aynı CSP tarafından gerçekleştirildiğinde, şifreleme anahtarları da o CSP tarafından tutulur.

Dolayısıyla, bir CSP müşterisi olarak, CSP'nizin şifreleme anahtarlarını tamamen güvende tutacağına güvenemeyeceğiniz için verileriniz üzerinde tam kontrole sahip olamazsınız. Bu anahtarların herhangi bir sızıntısı, verilerinizi tamamen yetkisiz erişime açık bırakabilir.

Neden BYOE'ye İhtiyacınız Var?

BYOE (kendi şifrelemenizi getirin), BYOK (kendi anahtarlarınızı getirin) olarak da anılabilir, ancak bunlar oldukça yeni kavramlar olduğu için farklı şirketler her kısaltmaya farklı bir anlam verebilir.

BYOE, bulut hizmeti müşterilerinin kendi şifreleme araçlarını kullanmalarına ve kendi şifreleme anahtarlarını yönetmelerine olanak tanıyan, özellikle bulut bilişime uyarlanmış bir güvenlik modelidir.

BYOE modelinde, bir CSP'nin müşterileri, bulutta barındırdıkları uygulamayla birlikte kendi şifreleme yazılımlarının sanallaştırılmış bir örneğini dağıtır.

Uygulama, tüm bilgileri şifreleme yazılımı tarafından işlenecek şekilde yapılandırılmıştır. Bu yazılım, verileri şifreler ve bulut hizmeti sağlayıcısının fiziksel veri deposunda şifreli metin biçiminde saklar.

BYOE'nin önemli bir avantajı, şirketlerin belirli sektörlerde düzenleyiciler tarafından dayatılan veri gizliliği kriterlerine uyarken verilerini ve uygulamalarını barındırmak için bulut hizmetlerini kullanmalarına izin vermesidir. Çok kiracılı, üçüncü taraf ortamlarda bile.

Bu yaklaşım, şirketlerin bulut hizmeti sağlayıcısının BT altyapısından bağımsız olarak ihtiyaçlarını en iyi karşılayan şifreleme teknolojisini kullanmalarına olanak tanır.

BYOE'nin Faydaları

BYOE kullanarak elde edebileceğiniz başlıca faydalar şunlardır:

• Üçüncü taraf altyapılarda barındırılan verilerin artan güvenliği.
• Algoritma ve anahtarlar dahil olmak üzere veri şifrelemenin tam kontrolü.
• Katma değer olarak izleme ve erişim kontrolü.
• Veri kullanım deneyimini etkilememek için şeffaf şifreleme ve şifre çözme.
• Donanım güvenlik modülleri ile güvenliği güçlendirme imkanı.

Genellikle bilgilerin şifrelenmesinin riskten korunmak için yeterli olduğuna inanılır, ancak durum böyle değildir. Şifrelenmiş verilerin güvenlik düzeyi, yalnızca bu verilerin şifresini çözmek için kullanılan anahtarların güvenliği kadar yüksektir. Anahtarlar açığa çıkarsa, veriler şifrelenmiş olsa bile açığa çıkar.

BYOE, şifreleme anahtarlarının güvenliğinin şansa bırakılmasını ve güvenliğin üçüncü bir tarafça, yani CSP'niz tarafından uygulanmasını engellemenin bir yoludur.

BYOE, aksi takdirde tehlikeli bir ihlale yol açabilecek bir veri koruma planı üzerindeki son kilittir. BYOE ile, CSP'nizin şifreleme anahtarlarının güvenliği ihlal edilmiş olsa bile verileriniz tehlikeye girmeyecektir.

BYOE Nasıl Çalışır?

BYOE güvenlik planı, CSP'nin müşterilerine kendi şifreleme algoritmalarını ve şifreleme anahtarlarını kullanma seçeneği sunmasını gerektirir.

Bu mekanizmayı kullanıcı deneyimini etkilemeden kullanmak için, CSP'nizde barındırdığınız uygulamaların yanı sıra şifreleme yazılımınızın sanallaştırılmış bir örneğini dağıtmanız gerekir.

BYOE şemasındaki kurumsal uygulamalar, işledikleri tüm veriler şifreleme uygulamasından geçecek şekilde yapılandırılmalıdır.

Bu uygulama, iş uygulamalarınızın ön ve arka ucu arasında bir proxy görevi görür, böylece veriler hiçbir zaman şifrelenmemiş olarak taşınmaz veya depolanmaz.

İş uygulamalarınızın arka ucunun, CSP'nizin fiziksel veri havuzunda verilerinizin şifreli metin sürümünü depolamasını sağlamalısınız.

BYOE ve Yerel Şifrelemeye Karşı

BYOE'yi uygulayan mimariler, verilerinizin korunmasında CSP'ler tarafından sağlanan yerel şifreleme çözümlerinden daha fazla güven sunar. Bu, yapılandırılmış veritabanlarının yanı sıra yapılandırılmamış dosyaları ve büyük veri ortamlarını koruyan bir mimari kullanılarak mümkün olur.

BYOE'nin türünün en iyisi çözümleri, uzantıları kullanarak verileri şifreleme ve yeniden anahtarlama işlemleri sırasında bile kullanmanıza olanak tanır. Öte yandan, veri erişimini izlemek ve günlüğe kaydetmek için BYOE çözümünü kullanmak, tehdit algılama ve müdahaleyi tahmin etmenin bir yoludur.

Ayrıca, donanım hızlandırma ve ayrıntılı erişim kontrol ilkeleri ile geliştirilmiş, katma değer, yüksek performanslı AES şifrelemesi sunan BYOE çözümleri de vardır.

Bu sayede belirli izleme araçlarına başvurmadan verilere kimlerin, hangi saatlerde ve hangi süreçler üzerinden erişebileceğini belirleyebilirler.

Anahtar yönetimi

Kendi şifreleme modülünüzü kullanmaya ek olarak, şifreleme anahtarlarınızı yönetmek için şifreleme anahtarı yönetimi (EKM) yazılımına ihtiyacınız olacaktır.

Bu yazılım, BT ve güvenlik yöneticilerinin şifreleme anahtarlarına erişimi yönetmesine olanak tanıyarak şirketlerin kendi anahtarlarını saklamasını ve üçüncü tarafların eline geçmemesini kolaylaştırır.

Şifrelenecek verinin türüne bağlı olarak farklı şifreleme anahtarı türleri vardır. Gerçekten etkili olması için, seçtiğiniz EKM yazılımının her tür anahtarla başa çıkabilmesi gerekir.

Şirketler bulut sistemlerini şirket içi ve sanal sistemlerle birleştirdiğinde esnek ve verimli şifreleme anahtarı yönetimi çok önemlidir.

Bir HSM ile BYOE'yi Sertleştirme

Donanım güvenlik modülü veya HSM, kriptografik işlemleri hızlı ve maksimum güvenlikle gerçekleştirmek için kullanılan fiziksel bir güvenlik cihazıdır. Bu tür şifreleme işlemleri, şifreleme, anahtar yönetimi, şifre çözme ve kimlik doğrulamayı içerir.

HSM'ler maksimum güven ve sağlamlık için tasarlanmıştır ve sınıflandırılmış verileri korumak için idealdir. PCI Express kartları, Ethernet ağ arayüzlü bağımsız cihazlar veya sadece harici USB cihazları olarak dağıtılabilirler.

Güvenliği en üst düzeye çıkarmak için özel olarak tasarlanmış kendi işletim sistemlerine sahiptirler ve ağa erişimleri bir güvenlik duvarı tarafından korunmaktadır.

Bir HSM'yi BYOE ile birlikte kullandığınızda, HSM, iş uygulamalarınız ve CSP'nizin depolama sistemleri arasında bir proxy rolünü üstlenir ve gerekli tüm şifreleme işlemlerini halleder.

Şifreleme görevleri için HSM'yi kullanarak, bu görevlerin uygulamalarınızın normal çalışmasına rahatsız edici gecikmeler getirmemesini sağlarsınız. Ek olarak, bir HSM ile, yetkisiz kullanıcıların anahtarlarınızın veya şifreleme algoritmalarınızın yönetimine müdahale etme olasılığını en aza indirirsiniz.

Standart Arayışında

Bir BYOE güvenlik şemasını benimserken, CSP'nizin neler yapabileceğine bakmalısınız. Bu makale boyunca gördüğümüz gibi, verilerinizin bir CSP'nin altyapısında gerçekten güvenli olması için, CSP, kendi şifreleme yazılımınızı veya HSM'nizi uygulamalarınızla birlikte kurabildiğinizden, verilerin CSP'nin havuzlarında şifreleneceğinden emin olmalıdır, ve sizin ve başka hiç kimsenin şifreleme anahtarlarına erişiminizin olmayacağını.

Ayrıca, kuruluşun şirket içi güvenlik sistemlerini genişletmek için en iyi bulut erişim güvenliği aracı çözümlerinden bazılarını keşfedebilirsiniz.