了解自帶加密和密鑰 (BYOE)

已發表: 2022-11-10

批評者提出的反對雲計算的主要論據是安全性。 BYOE 確保您所有云服務的安全性。 讓我們看看如何。

在雲計算中,數據的所有者無法直接控制數據,被迫依賴雲服務提供商來保護數據免受未經授權的訪問。 保護雲中信息的最普遍接受的解決方案是對其進行加密。

數據加密的問題在於,它不僅可以防止未經授權的用戶訪問數據,而且還增加了合法授權用戶使用數據的複雜性。

假設一家公司將其數據以加密形式託管在雲服務提供商 (CSP) 的基礎架構上。 在這種情況下,它需要某種有效的解密形式,不會使用戶難以使用數據和應用程序,或對其用戶體驗產生負面影響。

許多雲提供商為他們的客戶提供保持數據加密的選項,為他們提供使解密透明且不會被授權用戶注意到的工具。

禁止 BYOE

但是,任何健壯的加密方案都需要加密密鑰。 當數據加密由持有數據的同一 CSP 執行時,加密密鑰也由該 CSP 持有。

因此,作為 CSP 的客戶,您無法完全控制您的數據,因為您無法相信您的 CSP 會確保加密密鑰完全安全。 這些密鑰的任何洩漏都可能使您的數據完全暴露在未經授權的訪問之下。

為什麼需要 BYOE

BYOE(自帶加密)也可以稱為 BYOK(自帶密鑰),儘管這些是相當新的概念,不同的公司可能會給每個首字母縮寫詞賦予不同的含義。

BYOE 是專門為雲計算量身定制的安全模型,它允許雲服務客戶使用自己的加密工具並管理自己的加密密鑰。

為什麼需要-BYOE

在 BYOE 模型中,CSP 的客戶部署他們自己的加密軟件的虛擬化實例,以及他們在雲中託管的應用程序。

該應用程序的配置方式使其所有信息都由加密軟件處理。 該軟件對數據進行加密,並以密文形式將其存儲在雲服務提供商的物理數據存儲庫中。

BYOE 的一個重要優勢是它允許公司使用雲服務來託管他們的數據和應用程序,同時遵守某些行業監管機構規定的數據隱私標準。 即使在多租戶、第三方環境中。

這種方法允許公司使用最能滿足其需求的加密技術,而不管雲服務提供商的 IT 基礎設施如何。

BYOE 的好處

使用 BYOE 可以獲得的主要好處是:

  • 提高託管在第三方基礎架構上的數據的安全性。
  • 完全控制數據加密,包括算法和密鑰。
  • 監控和訪問控製作為附加值。
  • 加解密透明,不影響數據使用體驗。
  • 可以通過硬件安全模塊加強安全性。

人們普遍認為,對信息進行加密就足以避免風險,但事實並非如此。 加密數據的安全級別僅與用於解密它的密鑰的安全性一樣高。 如果密鑰被公開,數據將被公開,即使它是加密的。

BYOE 是一種防止加密密鑰的安全性被遺漏以及由第三方(即您的 CSP)實施的安全性的方法。

BYOE 是數據保護計劃的最後一道防線,否則會造成危險的破壞。 使用 BYOE,即使您的 CSP 的加密密鑰被洩露,您的數據也不會被洩露。

BYOE 的工作原理

BYOE 安全方案要求 CSP 為其客戶提供使用他們自己的加密算法和加密密鑰的選項。

要在不影響用戶體驗的情況下使用此機制,您需要在 CSP 上託管的應用程序旁邊部署加密軟件的虛擬化實例。

必須配置 BYOE 方案中的企業應用程序,以便它們處理的所有數據都通過加密應用程序。

BYOE

此應用程序充當業務應用程序的前端和後端之間的代理,因此在任何時候都不會移動或存儲未加密的數據。

您必須確保業務應用程序的後端將數據的密文版本存儲在 CSP 的物理數據存儲庫中。

BYOE 與本機加密

與 CSP 提供的本機加密解決方案相比,實施 BYOE 的架構在保護您的數據方面更有信心。 這是通過使用保護結構化數據庫以及非結構化文件和大數據環境的架構來實現的。

通過使用擴展,BYOE 的同類最佳解決方案使您即使在加密和重新加密操作期間也可以使用數據。 另一方面,使用 BYOE 解決方案來監控和記錄數據訪問是預測威脅檢測和攔截的一種方式。

也有 BYOE 解決方案作為附加值提供高性能 AES 加密,通過硬件加速和精細訪問控制策略增強。

通過這種方式,他們可以確定誰可以在什麼時間以及通過哪些流程訪問數據,而無需求助於特定的監控工具。

密鑰管理

除了使用您自己的加密模塊之外,您還需要加密密鑰管理 (EKM) 軟件來管理您的加密密鑰。

該軟件允許 IT 和安全管理員管理對加密密鑰的訪問,使公司能夠更輕鬆地存儲自己的密鑰並使它們不落入第三方手中。

根據要加密的數據類型,存在不同類型的加密密鑰。 要真正有效,您選擇的 EKM 軟件必須能夠處理任何類型的密鑰。

當公司將雲系統與本地和虛擬系統相結合時,靈活高效的加密密鑰管理至關重要。

使用 HSM 強化 BYOE

硬件安全模塊或 HSM 是一種物理安全設備,用於快速執行加密操作並具有最高的安全性。 這種加密操作包括加密、密鑰管理、解密和認證。

HSM

HSM 旨在實現最大的信任和穩健性,是保護機密數據的理想選擇。 它們可以部署為 PCI Express 卡、帶有以太網網絡接口的獨立設備或簡單的外部 USB 設備。

他們有自己的操作系統,專為最大限度地提高安全性而設計,他們對網絡的訪問受到防火牆的保護。

當您將 HSM 與 BYOE 結合使用時,HSM 將充當您的業務應用程序和 CSP 的存儲系統之間的代理角色,負責所有必要的加密處理。

通過將 HSM 用於加密任務,您可以確保這些任務不會對應用程序的正常操作造成煩人的延遲。 此外,使用 HSM,您可以最大限度地減少未經授權的用戶干擾您的密鑰或加密算法管理的機會。

尋找標準

在採用 BYOE 安全方案時,您應該看看您的 CSP 可以做什麼。 正如我們在整篇文章中所看到的,為了讓您的數據在 CSP 的基礎架構中真正安全,CSP 必須確保您可以安裝自己的加密軟件或 HSM 以及您的應用程序,數據將在 CSP 的存儲庫中加密,並且您和其他任何人都無法訪問加密密鑰。

您還可以探索一些最佳的雲訪問安全代理解決方案,以擴展組織的本地安全系統。