Preocupado com a forma como os dados são mantidos na nuvem? A criptografia é vital, mas ainda tem seus problemas. É aí que entra o BYOK.
A criptografia em nuvem é uma das tecnologias mais eficazes para proteger dados contra violações. No entanto, as organizações que migram seus dados para a nuvem enfrentam um dilema de criptografia como serviço de nuvem provedores (CSPs), por padrão, retêm acesso às chaves de criptografia de seus clientes e, por extensão, suas dados.
Confiar o controle de dados a um CSP terceirizado cria possíveis pontos fracos na segurança dos dados. Felizmente, a implementação de BYOK, ou seja, traga sua própria chave, pode ajudar a proteger as chaves criptográficas usadas para criptografar dados armazenados na nuvem.
O que é BYOK?
Traga sua própria chave (BYOK) ou Traga sua própria criptografia (BYOE), é um modelo de proteção de dados que permite a nuvem clientes de serviço para usar seu próprio software de gerenciamento de chave de criptografia e controlar totalmente sua criptografia chaves.
O BYOK permite que os clientes usem seu próprio software de gerenciamento de chaves para armazenar chaves fora da nuvem, fornecendo mais controle sobre o gerenciamento de chaves de criptografia.
Como funciona o BYOK?
A ideia fundamental por trás do BYOK é separar o bloqueio, ou seja, a criptografia fornecida pelo CSP, da chave (as chaves de criptografia armazenadas localmente). Isso é feito usando um terceiro para produzir chaves conhecidas como chaves de criptografia de chave (KEKs) que são usadas para criptografar as chaves de criptografia de dados (DEKs) geradas pelo CSP.
O processo acima é conhecido como agrupamento de chave; envolve “empacotar” a DEK usando a KEK para garantir que apenas o cliente do serviço em nuvem possa descriptografar a DEK e acessar os dados armazenados no CSP.
Ao escolher um terceiro para geração de KEK e agrupamento de chaves, você pode optar por um local módulo de segurança de hardware (HSM) ou um sistema de gerenciamento de chaves baseado em software (KMS).
Por que o BYOK é importante?
Os dados possuem imenso valor para todos, ressaltando a importância de implementar o BYOK para protegê-los. Aqui estão os principais motivos para implementar o BYOK.
Melhora a segurança dos dados
BYOK fornece uma camada adicional de proteção para dados confidenciais, separando as informações criptografadas da chave associada. Com o BYOK, as organizações podem armazenar chaves criptografadas fora da nuvem usando seu software de gerenciamento de chaves de criptografia. Isso garante que apenas eles possam acessar seus dados, aumentando a segurança dos dados.
Melhora a Conformidade
As empresas em vários setores devem cumprir os regulamentos específicos do setor para o gerenciamento de chaves de criptografia.
Por exemplo, setores altamente regulamentados, incluindo saúde e finanças, exigem adesão a padrões rígidos de segurança de dados. O BYOK permite que as organizações atendam a esses requisitos gerenciando suas chaves de criptografia internamente.
Não é fácil garantir a privacidade dos dados dos clientes quando outra pessoa tem acesso às suas chaves de criptografia. A proteção de dados garante a conformidade com os requisitos regulamentares e os padrões do setor e, portanto, protege a reputação de uma organização.
BYOK fornece visibilidade de como os dados são acessados e excluídos. Desta forma, desempenha um papel crucial no cumprimento de regulamentos como o RGPD (Regulamento Geral de Proteção de Dados), especialmente no que diz respeito ao direito ao apagamento dos dados pessoais.
Aumenta a flexibilidade e o controle de dados
O BYOK permite que as organizações armazenem e gerenciem chaves de criptografia no local ou na nuvem com base nas necessidades individuais.
Além disso, permite que eles usem seus dados como bem entenderem, seja compartilhamento interno, análise de dados em nuvem ou compartilhamento fora da organização, mantendo uma segurança robusta. Historicamente, os dados armazenados na nuvem eram criptografados com chaves pertencentes aos CSPs, deixando as empresas com controle reduzido sobre seus dados.
A criptografia BYOK também fornece maior controle de gerenciamento de chaves, permitindo que você revogue o acesso de seus usuários finais ou do CSP sempre que necessário.
Centraliza o gerenciamento de chaves
O gerenciamento de várias chaves de criptografia em diferentes plataformas, como data centers, provedores de nuvem e configurações de várias nuvens, pode ser assustador. A implementação da criptografia BYOK agiliza esse processo, centralizando o gerenciamento de chaves por meio de um único plataforma, garantindo eficiência em atividades relacionadas a chaves, incluindo criação de chaves, rotação e arquivamento.
Potencialmente economiza dinheiro
BYOK oferece a opção de gerenciar chaves de criptografia internamente. Ao controlá-los, as organizações podem evitar o pagamento de fornecedores terceirizados por serviços de gerenciamento de chaves. Isso elimina taxas de assinatura e custos de licenciamento potencialmente recorrentes.
Além disso, a criptografia BYOK visa tornar os dados ilegíveis para agentes mal-intencionados, incluindo hackers e aqueles que se fazem passar por administradores de nuvem. Isso pode indiretamente economizar custos de potencialmente divulgação de informações confidenciais, com o objetivo de evitar multas de conformidade e perda de negócios.
Quais CSPs suportam BYOK?
Principais CSPs como Google Cloud Platform (GCP), Amazon Web Services (AWS), Microsoft Azure e vários Software como Serviço (SaaS) fornecedores já oferecem suporte BYOK.
Apesar de o BYOK fornecer controle aprimorado, ele apresenta tarefas adicionais de gerenciamento de chaves, especialmente em configurações de várias nuvens. Cada CSP, incluindo GCP, AWS e Azure, tem sua criptografia e KMS exclusivos, tornando-o essencial para a nuvem administradores se familiarizem com as terminologias e recursos distintos de cada fornecedor com quem trabalham com.
GCP, Azure e AWS dados seguros em repouso e em trânsito, criptografando-o. Os CSPs conseguem isso usando seus respectivos serviços de gerenciamento de chaves: Cloud KMS para GCP, Azure Key Vault para Azure e AWS KMS para AWS.
Principais considerações para a implementação de BYOK
BYOK oferece maior controle sobre dados e chaves, mas também exige maior responsabilidade. A implementação do BYOK é desafiadora, pois o controle, incluindo a manutenção da segurança das chaves de criptografia, passa para o proprietário dos dados.
Embora o BYOK reduza o risco de perda de dados, principalmente para dados em movimento, sua segurança depende da capacidade da organização de proteger as chaves.
A perda de chaves de criptografia pode levar à perda irreversível de dados. Para atenuar esse risco, considere fazer backup das chaves após a criação e a rotação, não exclua as chaves desnecessariamente e tenha um gerenciamento abrangente do ciclo de vida das chaves.
Estabelecer uma estratégia de gerenciamento que inclua políticas de rotação de chaves, armazenamento, procedimentos de revogação e controles de acesso também ajudará. Contar com a experiência de um fornecedor respeitável pode acelerar a implementação dessa estratégia, ressaltando a necessidade de avaliar o suporte e a proficiência do CSP na implementação do BYOK.
É importante observar que nem todas as soluções BYOK se integram perfeitamente aos CSPs. Investir tempo em uma pesquisa completa durante os estágios iniciais é vital para garantir que você encontre a solução ideal antes de se envolver com vendedores.
Não negligencie os custos associados ao BYOK também. Isso inclui despesas importantes de gerenciamento e suporte. A implementação do BYOK pode não ser direta, então as organizações podem precisar investir em pessoal extra e HSMs, resultando em despesas adicionais.
Muitas empresas preferem uma abordagem multinuvem para otimizar o desempenho e reduzir custos. Sempre que possível, evite depender de um único provedor de nuvem para evitar bloqueio de fornecedor e capitalizar totalmente os benefícios da adoção da nuvem.
BYOK aprimora a segurança de dados na nuvem
O armazenamento de dados na nuvem oferece vários benefícios, mas muitos se preocupam com os possíveis riscos de segurança de armazenamento. Depois que os dados estão na nuvem, eles perdem o controle direto sobre eles.
O BYOK visa abordar a preocupação fundamental de que CSPs ou fornecedores de SaaS podem não fornecer o nível desejado de proteção de dados, mas podem descriptografar seus dados a seu critério. Ele permite que as organizações controlem suas próprias chaves de criptografia e dados na nuvem em vez de CSPs, aprimorando a segurança dos dados na nuvem.
