Was ist Bring Your Own Key (BYOK)?
Bring your own key (BYOK) ist ein innovatives Konzept, das ursprünglich von Entrust und Microsoft entwickelt wurde, um es den Nutzern einer öffentlichen Cloud zu ermöglichen, die Kontrolle über die kryptografischen Schlüssel zu behalten, die in der Cloud zur Sicherung ihrer Daten verwendet werden Da die Akzeptanz von öffentlichen Cloud-Diensten explodiert ist, wird BYOK nun von allen wichtigen Cloud-Diensten unterstützt. BYOK ermöglicht es den Nutzern einer öffentlichen Cloud, ihren eigenen hochwertigen Hauptschlüssel lokal vor Ort zu generieren und den Schlüssel sicher an ihren Cloud Service Provider (CSP) zu übertragen, um ihre Daten über mehrere Cloud-Bereitstellungen hinweg zu schützen. Um qualitativ hochwertige Schlüssel zu erzeugen und zu verwalten, verwendet BYOK gemäß FIPS und Common Criteria zertifizierte Hardware-Sicherheitsmodule (HSMs), die der Cloud-Nutzer vor Ort unterhält oder als Service mietet. Entrust bietet nShield HSMs und nShield als Service zur Unterstützung von BYOK.
BYOK ermöglicht es Unternehmen, die in die Cloud migrieren, Folgendes zu erreichen:
- Flexibilität, Komfort und Kosteneffizienz
- Starke Kontrolle über sensible Daten und Anwendungen
- Volle Transparenz über die Verwendung Ihrer Schlüssel in der Cloud
- Höchster Grad an Datensicherheit, Integrität und Vertrauen
Was ist die Rolle von BYOK?
BYOK bietet Nutzern öffentlicher Cloud-Dienste die Möglichkeit, kryptografische Schlüssel in ihrer eigenen Umgebung zu erzeugen und die Kontrolle über diese Schlüssel zu behalten, während sie sie bei Bedarf für die Nutzung in der Cloud ihrer Wahl zur Verfügung stellen.
Wie funktioniert BYOK?
CSPs schützen die Daten ihrer Kunden in der Cloud durch eine robuste Verschlüsselung. Der kryptografische Schlüssel, mit dem die Daten verschlüsselt werden (der Mieterschlüssel), untermauert die Sicherheit des Cloud-Speichers. Der vom Cloud-Nutzer mithilfe von BYOK generierte Hauptschlüssel bildet im Wesentlichen eine verschlossene Box zum Schutz der Schlüssel der Mieter in den Rechenzentren des CSP. Dadurch erhält der Cloud-Benutzer die Kontrolle über seinen Mieterschlüssel, wodurch sichergestellt wird, dass er nur für den genehmigten Zweck verwendet wird, und letztlich die Sicherheit der Daten in der Cloud geschützt wird.
Welche Beispiele gibt es für CSPs, die BYOK unterstützen?
Führende CSPs wie Amazon Web Services (AWS), Google Compute Engine, Microsoft Azure und Salesforce unterstützen alle BYOK, das durch das hochsichere Cloud Integration Option Pack von Entrust ermöglicht wird.
Was ist der Unterschied zwischen BYOK und Hold Your Own Key (HYOK)?
Hold Your Own Key (HYOK) ist eine von Microsoft angebotene Option zur Verwaltung der sensibelsten Daten von Cloud-Benutzern innerhalb ihres eigenen Sicherheitsperimeters unter Verwendung von Entrust HSMS. Microsoft ersetzt HYOK durch Double Key Encryption (DKE), eine neue Lösung, die auch von Entrust unterstützt wird und es Cloud-Nutzern ermöglicht, hybride Umgebungen mit einem zusätzlichen Maß an Schutz, Kontrolle und Sicherheit zu nutzen.
Bietet Entrust auch andere BYOK-Lösungen an?
Entrust KeyControl (ehemals HyTrust) ist ein universelles Schlüsselmanagement-System für verschlüsselte Arbeitslasten, das es Cloud-Benutzern ermöglicht, die Kontrolle über ihre kryptographischen Schlüssel zu automatisieren und auf öffentliche Clouds auszuweiten. KeyControl unterstützt BYOK und native Amazon Web Services(AWS)-Schlüssel, um die volle Kontrolle über die Hauptschlüssel zu ermöglichen. Durch die geplante Unterstützung mehrerer öffentlicher Cloud-Dienste wird sichergestellt, dass die Schlüssel immer sicher sind, wenn Cloud-Nutzer ihre Cloud-Umsetzungsstrategien erweitern.
Warum brauchen wir BYOK?
Die Sicherheit der verschlüsselten Daten ist nur so gut wie der Schutz der Verschlüsselungsschlüssel. BYOK gibt Cloud-Nutzern die Kontrolle und Sicherheit, die sie brauchen, egal ob sie einen einzelnen Cloud-Service-Provider, eine Hybrid- oder Multi-Cloud-Strategie einsetzen. BYOK und die Verwendung von HSMs ermöglichen es Cloud-Nutzern, die Schwierigkeiten zu vermeiden, die mit der Bindung an einen bestimmten Anbieter verbunden sind, was die Migration von einem CSP zu einem anderen erschweren kann. HSMs sind speziell darauf ausgelegt, Hacker daran zu hindern, Ihre wichtigen kryptografischen Schlüssel zu finden, indem sie an einem manipulationssicheren Ort und nicht in der Software gespeichert werden. Unternehmen, die eine vollständige Migration in die Cloud anstreben, können BYOK mit nShield als Dienst ohne Investitionskosten und mit dem gleichen Maß an Sicherheit und Zuverlässigkeit wie bei einer Vor-Ort-Lösung implementieren.