Qu’est-ce que le Bring Your Own Key (BYOK) ?

Apportez votre propre clé (BYOK, Bring your own key) est un concept innovant qui a été initialement lancé par Entrust et Microsoft pour permettre aux utilisateurs du cloud public de garder le contrôle des clés cryptographiques utilisées dans le cloud afin de sécuriser leurs données. Alors que l’adoption des services de cloud public a explosé, la solution BYOK est désormais prise en charge par tous les principaux services de cloud. La solution BYOK permet aux utilisateurs de cloud public de générer leur propre clé principale de haute qualité localement sur site et de transférer en toute sécurité la clé à leur fournisseur de services cloud (CSP) pour protéger leurs données lors de déploiements multicloud. Pour générer et gérer des clés de haute qualité, la solution BYOK utilise des modules matériels de sécurité (HSM) certifiés FIPS et Critères communs que l’utilisateur du cloud maintient sur site ou loue en tant que service. Entrust propose les HSM nShield et nShield en tant que service pour prendre en charge la solution BYOK.

La solution BYOK permet aux organisations migrant vers le cloud d’obtenir :

  • une flexibilité, une commodité et une rentabilité ;
  • un contrôle rigoureux des données et applications sensibles ;
  • une visibilité totale sur l’utilisation de vos clés dans le cloud ;
  • le plus haut niveau de sécurité, d’intégrité et de confiance pour les données.

Quel est le rôle de BYOK ?

BYOK offre aux utilisateurs de services de cloud public la possibilité de générer des clés cryptographiques dans leur propre environnement et de conserver le contrôle de ces clés tout en les rendant disponibles, le cas échéant, pour une utilisation dans le cloud de leur choix.

Comment fonctionne BYOK ?

Les CSP protègent les données de leurs clients dans le cloud à l’aide d’un chiffrement robuste. La clé cryptographique qui chiffre les données (la clé de locataire) renforce la sécurité du stockage dans le cloud. La clé principale générée par l’utilisateur du cloud à l’aide de la solution BYOK crée essentiellement une boîte verrouillée pour protéger les clés des locataires dans les centres de données du CSP. Cela donne à l’utilisateur du cloud le contrôle de sa clé de locataire, garantissant ainsi qu’elle n’est utilisée qu’à des fins autorisées et, en fin de compte, protégeant la sécurité des données dans le cloud.

Quels sont les exemples de CSP prenant en charge la solution BYOK ?

Les principaux CSP, notamment Amazon Web Services (AWS), Google Compute Engine, Microsoft Azure et Salesforce, prennent tous en charge la solution BYOK activée par la solution hautement sécurisée Cloud Integration Option Pack de Entrust.

En quoi la solution BYOK diffère-t-elle de la solution HYOK (Hold Your Own Key) ?

La solution HYOK (Hold Your Own Key) est une option proposée par Microsoft pour gérer les données les plus sensibles des utilisateurs du cloud dans leur propre périmètre de sécurité en utilisant les HSM de Entrust. Microsoft remplace la solution HYOK par le chiffrement à double clé (DKE), une nouvelle solution, également prise en charge par Entrust, qui permet aux utilisateurs du cloud d’utiliser des environnements hybrides avec des niveaux supplémentaires de protection, de contrôle et d’assurance.

Entrust propose-t-il d’autres solutions BYOK ?

Entrust KeyControl (anciennement HyTrust) est un système universel de gestion de clés pour les charges de travail chiffrées qui permet aux utilisateurs du cloud d’automatiser et d’étendre le contrôle de leurs clés cryptographiques sur les clouds publics. KeyControl prend en charge BYOK et les clés natives Amazon Web Services (AWS) pour permettre un contrôle total des clés principales. La prise en charge planifiée de plusieurs services de cloud public garantira la sécurité permanente des clés à mesure que les utilisateurs du cloud étendent leurs stratégies d’adoption du cloud.

Pourquoi avons-nous besoin de la solution BYOK ?

La sécurité des données chiffrées est aussi bonne que la protection donnée aux clés de chiffrement. La solution BYOK donne aux utilisateurs du cloud le contrôle et l’assurance dont ils ont besoin, qu’il s’agisse de déployer un seul fournisseur de services cloud, une stratégie hybride ou multicloud. La solution BYOK et l’utilisation de HSM permettent aux utilisateurs du cloud d’éviter les difficultés associées à l’asservissement à un fournisseur, ce qui peut rendre difficile la migration d’un CSP à un autre. Les HSM sont spécifiquement conçus pour empêcher un pirate de trouver vos clés cryptographiques critiques en les plaçant dans un emplacement inviolable, et non dans le logiciel. Alors que les organisations cherchent à migrer entièrement vers le cloud en toute confiance, la solution BYOK peut être déployée en utilisant nShield en tant que service sans frais d’investissement et avec le même niveau de sécurité et de garantie qu’une solution sur site.