Zum Hauptinhalt springen
Bild
lila Hexagonmuster

Was ist Bring Your Own Key (BYOK)?

Obwohl Cloud Computing viele Vorteile bietet, sorgt die Sicherheit für ernste Bedenken, da sich die Daten physisch beim Clouddienstanbieter (Cloud Service Provider, CSP) befinden und außerhalb der direkten Kontrolle des Inhabers der Daten liegen. Die Verschlüsselung schützt die Daten in der Cloud. Damit die Vertraulichkeit und Integrität gewahrt bleiben, ist der Schutz der Verschlüsselungsschlüssel von größter Bedeutung. Mit Bring Your Own Key (BYOK) können Unternehmen starke Schlüssel in einem manipulationssicheren Hardware-Sicherheitsmodul (HSM) erzeugen und ihre Schlüssel sicher in die Cloud exportieren, wodurch sie ihre Schlüsselverwaltungspraktiken stärken und die Kontrolle und Verwaltung ihrer Verschlüsselungsschlüssel behalten.

BYOK für Amazon Web Services

Entrust KeyControl bietet Bring Your Own Key-Funktionalität (BYOK) für einzelne oder mehrere Cloud-Plattformen und ermöglicht Flexibilität, Skalierbarkeit und vollständige Kontrolle über Ihre verschlüsselten Workloads in Amazon Web Services. Schauen Sie sich das folgende Video über unsere Amazon AWS Key Management Service-Integration an, um das BYOK-Modell in Aktion zu sehen.

Was ist Secrets Management?

Das Secrets Management bezieht sich auf die notwendige digitale Authentifizierung zur Sicherung Ihrer Anmeldeinformationen, einschließlich Passwörtern, APIs, Schlüsseln und Token für Ihre verschiedenen Anwendungen. Indem Sie die Anwendungsgeheimnisse durch Verschlüsselung schützen, können Sie sicher durch Ihre Zugangsdaten navigieren, ohne Angst haben zu müssen, Ihre Sicherheit dabei zu gefährden.

Was versteht man unter einem Secrets Management-System?

Um den Zugang zu sensiblen Daten zu kontrollieren, benötigen Unternehmen Benutzeranmeldedaten, einen geheimen Code zwischen der Software und dem Benutzer. Ein solides Systems zur Verwaltung von Geheimnissen ist entscheidend für die Sicherheit aller Systeme und Informationen. Behörden müssen in der Lage sein, Zugangsdaten zu erstellen und zu entziehen, wenn Kunden und Mitarbeiter kommen und gehen oder einfach nur ihre Rolle wechseln und wenn sich Geschäftsprozesse und Richtlinien weiterentwickeln. Darüber hinaus erhöht die Zunahme von Datenschutzbestimmungen und anderen Sicherheitsvorschriften die Notwendigkeit für Organisationen, die Fähigkeit zur Validierung der Identität von Online-Kunden und internen privilegierten Benutzern nachzuweisen.

Herausforderungen beim Secrets Management

  • Angreifer, die die Kontrolle über Ihr Secrets Management-System erlangen, können Zugangsdaten ausstellen, die sie zu Insidern mit potenziellen Privilegien machen, um Systeme unentdeckt zu kompromittieren.
  • Kompromittierte Prozesse hierbei führen dazu, dass Zugangsdaten neu ausgestellt werden müssen, was teuer und zeitaufwändig sein kann.
  • Die Validierungsraten von Zugangsdaten können enorm variieren und die Leistungsmerkmale eines Secrets Management-Systems leicht übersteigen, wodurch die Business Continuity gefährdet wird.
  • Die Erwartungen von Geschäftsanwendungsinhabern in Bezug auf Sicherheits- und Vertrauensmodelle steigen und können das Credential Management als Schwachstelle entlarven, die den Anspruch auf Compliance gefährdet.

Hardware-Sicherheitsmodule (HSMs)

Es ist zwar möglich, eine Secrets Management-Plattform für die Verwaltung von geheimen Schlüsseln in einem rein softwarebasierten System bereitzustellen, doch ist dieser Ansatz von Natur aus weniger sicher. Schlüssel für Tokensignierung und Verschlüsselung, die außerhalb der kryptographischen Grenze eines zertifizierten HSM gehandhabt werden, sind wesentlich anfälliger für Angriffe, die Tokensignierung und -verteilung gefährden könnten. HSMs stellen die einzige bewährte und prüffähige Möglichkeit, wertvolles kryptographisches Material zu sichern und FIPS-zertifizierten Hardwareschutz zu bieten.

HSMs ermöglichen Ihrem Unternehmen Folgendes:

  • Eine robuste Vertrauensbasis schützt die Schlüssel, die die geheimen Anmeldedaten Ihres Unternehmens verschlüsseln
  • Sichere Schlüssel für die Tokensignierung innerhalb sorgfältig entworfener kryptographischer Grenzen, Verwendung zuverlässiger Zugriffskontrollmechanismen mit erzwungener Aufgabentrennung zur Sicherstellung, dass die Schlüssel nur von autorisierten Entitäten verwendet werden
  • Sicherstellung der Verfügbarkeit durch den Einsatz ausgeklügelter Schlüsselverwaltungs-, Speicher- und Redundanzfunktionen
  • Hohe Leistung zur Unterstützung der immer anspruchsvolleren Unternehmensanforderungen für den Zugriff auf Ressourcen von verschiedenen Geräten und Standorten aus

Was ist ein asymmetrischer Schlüssel bzw. die asymmetrische Schlüsselkryptographie?

Bei der asymmetrischen Kryptographie wird ein Paar von miteinander verbundenen Schlüsseln verwendet, um Daten zu sichern. Ein Schlüssel, der private Schlüssel, wird von seinem Besitzer geheim gehalten und wird zum Signieren und/oder Entschlüsseln verwendet. Der andere, der öffentliche Schlüssel, wird veröffentlicht und kann von jedem verwendet werden, um mit dem privaten Schlüssel signierte Nachrichten zu verifizieren oder um Dokumente an den Besitzer des privaten Schlüssels zu verschlüsseln.

Was ist ein symmetrischer Schlüssel?

In der Kryptographie wird ein symmetrischer Schlüssel zum Verschlüsseln, Entschlüsseln und zur Nachrichtenauthentifizierung verwendet. Diese Praxis, die auch als „Geheimschlüssel-Kryptographie“ bezeichnet wird, bedeutet, dass zum Entschlüsseln von Informationen derselbe Schlüssel notwendig ist, der zum Verschlüsseln verwendet wurde. Die Schlüssel stellen in der Praxis ein gemeinsames Geheimnis zwischen den Parteien dar, das zur Aufrechterhaltung einer privaten Informationsverknüpfung verwendet werden kann. Die Schlüssel können von zwei oder mehr Beteiligten verwendet werden. Sie können auch nur von einem Beteiligten verwendet werden (z. B. zum Zweck der Verschlüsselung von Backups).

Ein Vorteil der symmetrischen Kryptographie ist, dass sie deutlich schneller ist als die asymmetrische Kryptographie. Ein bekanntes Beispiel für einen Anwendungsfall der symmetrischen Kryptographie ist die Tokenisierung.

Was ist Schlüsseltransport?

Beim Schlüsseltransport (bei dem ein Beteiligter das geheime Schlüsselmaterial auswählt) wird das geheime Schlüsselmaterial verschlüsselt vom Sender an den Empfänger übertragen. Die Schlüsseltransportschemen verwenden entweder Public-Key-Techniken oder eine Kombination aus Public-Key- und symmetrischen Schlüsseltechniken (Hybrid). Der Beteiligte, der das geheime Schlüsselmaterial sendet, wird als Sender bezeichnet, und der andere Beteiligte als Empfänger.

Was ist eine Schlüsselvereinbarung?

Bei der Schlüsselvereinbarung ist das abgeleitete geheime Schlüsselmaterial das Ergebnis der Mitwirkung beider Beteiligten. Schlüsselvereinbarungsschemata können entweder symmetrische Schlüssel oder asymmetrische Schlüssel (öffentliche Schlüssel) nutzen. Der Beteiligte, die ein Schlüsselvereinbarungsschema beginnt, wird als Initiator und der andere als Responder bezeichnet.

Was bedeutet Schlüsselaustausch?

Geheimes Schlüsselmaterial kann elektronisch zwischen den Beteiligten unter Verwendung eines Schlüsselaustauschschemas ausgetauscht werden, d. h. entweder unter Verwendung eines Schlüsselvereinbarungsschemas oder eines Schlüsseltransportschemas.