خبر و ترفند روز

خبر و ترفند های روز را اینجا بخوانید!

Bring Your Own Key چیست و چرا مهم است؟

ارشیا یوسفی ادیب ۳۰ مرداد, ۱۴۰۲ 6 min read

نگران نحوه نگهداری داده ها در فضای ابری هستید؟ رمزگذاری حیاتی است، اما همچنان مشکلات خود را دارد. اینجاست که BYOK وارد می شود.

رمزگذاری ابری یکی از موثرترین فناوری‌ها برای محافظت از داده‌ها در برابر نفوذ است. با این حال، سازمان‌هایی که داده‌های خود را به ابر منتقل می‌کنند با یک معضل رمزگذاری مواجه می‌شوند زیرا ارائه‌دهندگان خدمات ابری (CSP)، به‌طور پیش‌فرض، دسترسی به کلیدهای رمزگذاری مشتریان خود و در نتیجه، داده‌های آنها را حفظ می‌کنند.

سپردن کنترل داده ها به یک CSP شخص ثالث، ضعف های بالقوه ای در امنیت داده ها ایجاد می کند. خوشبختانه، پیاده‌سازی BYOK – یعنی Bring Your Own Key – می‌تواند به محافظت از کلیدهای رمزنگاری مورد استفاده برای رمزگذاری داده‌های ذخیره‌شده در ابر کمک کند.

BYOK چیست؟

کلید در ابرها

کلید خود را بیاورید (BYOK)، یا رمزگذاری خود را بیاورید (BYOE)، یک مدل حفاظت از داده است که به مشتریان سرویس ابری اجازه می‌دهد از نرم‌افزار مدیریت کلید رمزگذاری خود استفاده کنند و کلیدهای رمزگذاری خود را کاملاً کنترل کنند.

BYOK به مشتریان اجازه می دهد تا از نرم افزار مدیریت کلید خود برای ذخیره کلیدها در خارج از ابر استفاده کنند و کنترل بیشتری بر مدیریت کلید رمزگذاری فراهم می کند.

BYOK چگونه کار می کند؟

ایده اساسی پشت BYOK جدا کردن قفل، یعنی رمزگذاری ارائه شده توسط CSP، از کلید (کلیدهای رمزگذاری ذخیره شده محلی) است. این کار با استفاده از شخص ثالث برای تولید کلیدهایی به نام کلیدهای رمزگذاری کلید (KEK) انجام می شود که سپس برای رمزگذاری کلیدهای رمزگذاری داده های تولید شده توسط CSP (DEKs) استفاده می شود.

فرآیند فوق به عنوان بسته بندی کلید شناخته می شود. این شامل “پیچیدن” DEK با استفاده از KEK است تا اطمینان حاصل شود که فقط مشتری سرویس ابری می تواند DEK را رمزگشایی کند و به داده های ذخیره شده در CSP دسترسی داشته باشد.

هنگام انتخاب شخص ثالث برای تولید KEK و بسته بندی کلید، می توانید یک ماژول امنیتی سخت افزاری داخلی (HSM) یا یک سیستم مدیریت کلید مبتنی بر نرم افزار (KMS) را انتخاب کنید.

چرا BYOK مهم است؟

قفلی در ابرها که فضای ذخیره‌سازی ابری امن را نشان می‌دهد

داده ها برای همه دارای ارزش بسیار زیادی است و بر اهمیت اجرای BYOK برای محافظت از آن تاکید می کند. در اینجا مهمترین دلایل برای پیاده سازی BYOK آورده شده است.

مطلب مرتبط:   آیا استفاده از کیف پول دیجیتال ایمن است؟

امنیت داده ها را بهبود می بخشد

BYOK با جدا کردن اطلاعات رمزگذاری شده از کلید مرتبط، یک لایه حفاظتی اضافی برای داده های حساس فراهم می کند. با BYOK، سازمان ها می توانند کلیدهای رمزگذاری شده را در خارج از ابر با استفاده از نرم افزار مدیریت کلید رمزگذاری خود ذخیره کنند. این تضمین می کند که فقط آنها می توانند به داده های خود دسترسی داشته باشند و امنیت داده ها را افزایش می دهد.

انطباق را افزایش می دهد

کسب‌وکارها در بخش‌های مختلف باید از مقررات خاص صنعت برای مدیریت کلید رمزگذاری پیروی کنند.

به عنوان مثال، صنایع بسیار تحت نظارت، از جمله مراقبت های بهداشتی و مالی، نیازمند رعایت استانداردهای سختگیرانه امنیت داده ها هستند. BYOK سازمانها را قادر می سازد تا با مدیریت داخلی کلیدهای رمزگذاری خود، این الزامات را برآورده کنند.

هنگامی که شخص دیگری به کلیدهای رمزگذاری آنها دسترسی دارد، تضمین حریم خصوصی داده های مشتریان آسان نیست. ایمن سازی داده ها انطباق با الزامات نظارتی و استانداردهای صنعت را تضمین می کند و بنابراین از اعتبار یک سازمان محافظت می کند.

BYOK نحوه دسترسی و حذف داده ها را مشاهده می کند. به این ترتیب، نقش مهمی در پیروی از مقرراتی مانند GDPR (مقررات عمومی حفاظت از داده ها)، به ویژه در مورد حق پاک کردن داده های شخصی ایفا می کند.

انعطاف پذیری و کنترل داده ها را افزایش می دهد

BYOK به سازمان‌ها اجازه می‌دهد تا کلیدهای رمزگذاری را در محل یا در فضای ابری بر اساس نیازهای فردی ذخیره و مدیریت کنند.

علاوه بر این، آنها را قادر می‌سازد تا از داده‌های خود هر طور که می‌خواهند استفاده کنند، خواه اشتراک‌گذاری داخلی، تجزیه و تحلیل داده‌های ابری یا به اشتراک‌گذاری آن‌ها در خارج از سازمان، همگی با حفظ امنیت قوی. از لحاظ تاریخی، داده‌های ذخیره‌شده در فضای ابری با کلیدهای متعلق به CSPها رمزگذاری می‌شدند و باعث می‌شد شرکت‌ها کنترل کمتری بر داده‌های خود داشته باشند.

رمزگذاری BYOK همچنین کنترل مدیریت کلید را افزایش می دهد و به شما این امکان را می دهد که دسترسی کاربران نهایی یا CSP را در صورت لزوم لغو کنید.

مدیریت کلید را متمرکز می کند

مدیریت کلیدهای رمزگذاری متعدد در پلتفرم های مختلف مانند مراکز داده، ارائه دهندگان ابر و تنظیمات چند ابری می تواند دلهره آور باشد. پیاده‌سازی رمزگذاری BYOK این فرآیند را با متمرکز کردن مدیریت کلید از طریق یک پلتفرم ساده، تضمین کارایی در فعالیت‌های مرتبط با کلید، از جمله ایجاد کلید، چرخش، و بایگانی کردن، ساده می‌کند.

مطلب مرتبط:   جاسوسی صنعتی چیست و چگونه می توانید از داده های خصوصی خود محافظت کنید؟

به طور بالقوه باعث صرفه جویی در پول می شود

BYOK گزینه ای برای مدیریت کلیدهای رمزگذاری در داخل فراهم می کند. با کنترل آنها، سازمان ها می توانند از پرداخت هزینه به فروشندگان شخص ثالث برای خدمات مدیریت کلیدی خودداری کنند. این امر هزینه های اشتراک مکرر و هزینه های صدور مجوز را حذف می کند.

علاوه بر این، هدف از رمزگذاری BYOK این است که داده ها را برای عوامل مخرب، از جمله هکرها و کسانی که جعل هویت مدیران ابری را جعل می کنند، غیرقابل خواندن کند. این امر می تواند به طور غیرمستقیم در هزینه ها از افشای اطلاعات حساس بالقوه، با هدف جلوگیری از جریمه های مطابقت و از دست دادن تجارت، صرفه جویی کند.

کدام CSP ها از BYOK پشتیبانی می کنند؟

مرد شادی که نماد محاسبات ابری را در دست دارد

CSP های اصلی مانند Google Cloud Platform (GCP)، خدمات وب آمازون (AWS)، Microsoft Azure، و فروشندگان مختلف Software as a Service (SaaS) در حال حاضر پشتیبانی BYOK را ارائه می دهند.

علیرغم اینکه BYOK کنترل پیشرفته ای را ارائه می دهد، وظایف مدیریت کلیدی اضافی را به خصوص در تنظیمات چند ابری معرفی می کند. هر CSP، از جمله GCP، AWS و Azure، رمزگذاری و KMS منحصربه‌فرد خود را دارد، که برای مدیران ابر ضروری است تا با اصطلاحات و ویژگی‌های متمایز هر فروشنده‌ای که با آن کار می‌کنند آشنا شوند.

GCP، Azure، و AWS داده ها را در حالت استراحت و در حال انتقال با رمزگذاری آنها ایمن می کنند. CSPها با استفاده از خدمات مدیریت کلید مربوطه خود به این مهم دست می یابند: Cloud KMS برای GCP، Azure Key Vault برای Azure و AWS KMS برای AWS.

ملاحظات کلیدی برای اجرای BYOK

BYOK کنترل بیشتری بر روی داده ها و کلیدها ارائه می دهد، اما همچنین مسئولیت بیشتری را می طلبد. پیاده سازی BYOK چالش برانگیز است، زیرا کنترل، از جمله حفظ امنیت کلیدهای رمزگذاری، به مالک داده منتقل می شود.

در حالی که BYOK خطر از دست دادن داده ها را کاهش می دهد، به ویژه برای داده های در حال حرکت، ایمنی آن به توانایی سازمان برای محافظت از کلیدها متکی است.

مطلب مرتبط:   گروه لازاروس چیست؟ آیا واقعاً از هکرهای کره شمالی تشکیل شده است؟

از دست دادن کلیدهای رمزگذاری می تواند منجر به از دست دادن غیرقابل برگشت داده شود. برای کاهش این خطر، پس از ایجاد و چرخش، کلیدها را پشتیبان بگیرید، کلیدها را بی جهت حذف نکنید و مدیریت چرخه حیات کلید را جامع داشته باشید.

ایجاد یک استراتژی مدیریتی که شامل سیاست‌های چرخش کلیدی، ذخیره‌سازی، رویه‌های لغو و کنترل‌های دسترسی باشد نیز کمک خواهد کرد. استفاده از تخصص یک فروشنده معتبر می تواند اجرای این استراتژی را تسریع کند و بر نیاز به ارزیابی پشتیبانی و مهارت CSP در پیاده سازی BYOK تاکید کند.

توجه به این نکته مهم است که همه راه حل های BYOK به طور یکپارچه با CSP ها ادغام نمی شوند. سرمایه گذاری زمان در تحقیقات کامل در مراحل اولیه برای اطمینان از یافتن راه حل ایده آل قبل از تعامل با فروشندگان، حیاتی است.

هزینه های مربوط به BYOK را نیز نادیده نگیرید. اینها شامل هزینه های مدیریت کلیدی و پشتیبانی می شود. پیاده‌سازی BYOK ممکن است ساده نباشد، بنابراین سازمان‌ها ممکن است نیاز به سرمایه‌گذاری روی کارکنان و HSM‌های اضافی داشته باشند که منجر به هزینه‌های اضافی می‌شود.

بسیاری از شرکت ها رویکرد چند ابری را برای بهینه سازی عملکرد و کاهش هزینه ها ترجیح می دهند. در صورت امکان، برای جلوگیری از قفل شدن فروشنده و استفاده کامل از مزایای پذیرش ابر، از تکیه بر هر یک از ارائه دهندگان ابر خودداری کنید.

BYOK امنیت داده های ابری را افزایش می دهد

ذخیره داده ها در فضای ابری مزایای متعددی را ارائه می دهد، اما بسیاری به درستی نگران خطرات احتمالی امنیت ذخیره سازی هستند. هنگامی که داده ها در فضای ابری قرار می گیرند، کنترل مستقیم روی آن را از دست می دهند.

هدف BYOK رسیدگی به این نگرانی اساسی است که فروشندگان CSP یا SaaS ممکن است سطح مطلوبی از حفاظت از داده ها را ارائه ندهند، با این حال آنها می توانند داده های شما را به صلاحدید خود رمزگشایی کنند. این سازمان ها را قادر می سازد تا کلیدهای رمزگذاری و داده های ابری خود را به جای CSP ها کنترل کنند و امنیت داده های ابری را افزایش دهند.

Tags: