Passa al contenuto principale

Che cos'è Bring Your Own Key (Porta la tua chiave, BYOK)?

Sebbene il cloud computing offra molti vantaggi, uno dei principali svantaggi è la sicurezza, perché i dati risiedono fisicamente presso il provider di servizi cloud (CSP) e fuori dal controllo diretto del proprietario dei dati. Per le aziende che scelgono di utilizzare la crittografia per proteggere i propri dati, la protezione delle chiavi di crittografia è di fondamentale importanza. Bring Your Own Key (Porta la tua chiave, BYOK) consente alle aziende di crittografare i propri dati e mantenere il controllo e la gestione delle proprie chiavi di crittografia. Tuttavia, alcuni piani BYOK caricano le chiavi di crittografia nell'infrastruttura CSP. In questi casi, l'azienda ha perso ancora una volta il controllo delle proprie chiavi. Una soluzione di migliore pratica a questo problema "Bring Your Own Key" è che l'azienda generi chiavi forti in un modulo di sicurezza hardware (HSM) a prova di manomissione e controlli l'esportazione sicura delle sue chiavi nel cloud, rafforzando così le sue pratiche di gestione delle chiavi.

Che cos'è un sistema di gestione delle credenziali?

Per controllare l'accesso ai dati sensibili, le organizzazioni richiedono le credenziali dell'utente. La distribuzione di un valido sistema di gestione delle credenziali, o di più sistemi di gestione delle credenziali, è fondamentale per proteggere tutti i sistemi e tutte le informazioni. Le autorità devono essere in grado di creare e revocare le credenziali man mano che clienti e dipendenti vanno e vengono o semplicemente cambiano ruolo e man mano che i processi e le politiche aziendali si evolvono. Inoltre, l'aumento delle normative sulla privacy e di altre disposizioni di sicurezza aumenta la necessità per le organizzazioni di dimostrare la capacità di convalidare l'identità dei consumatori online e degli utenti interni privilegiati.

Sfide associate alla gestione delle credenziali

  • I malintenzionati che possono ottenere il controllo del tuo sistema di gestione delle credenziali possono rilasciare credenziali che li rendono insider, potenzialmente con privilegi per compromettere i sistemi non rilevati.
  • I processi di gestione delle credenziali compromessi comportano la necessità di emettere nuovamente credenziali, il che può essere un processo costoso e dispendioso in termini di tempo.
  • I tassi di convalida delle credenziali possono variare enormemente e possono facilmente superare le caratteristiche prestazionali di un sistema di gestione delle credenziali, mettendo a rischio la continuità aziendale.
  • Le aspettative dei proprietari di applicazioni aziendali in merito ai modelli di sicurezza e affidabilità sono in aumento e possono mostrare la gestione delle credenziali come un anello debole che può mettere a repentaglio le dichiarazioni di conformità.

Hardware Security Modules (HSM)

Sebbene sia possibile distribuire una piattaforma di gestione delle credenziali in un sistema puramente basato su software, questo approccio è intrinsecamente meno sicuro. La firma del token e le chiavi di crittografia gestite al di fuori del confine crittografico di un HSM certificato sono significativamente più vulnerabili agli attacchi che potrebbero compromettere il processo di firma e distribuzione del token. Gli HSM sono l'unico modo comprovato e verificabile per proteggere materiale crittografico di valore e fornire protezione hardware approvata da FIPS.

Gli HSM consentono alla tua azienda di:

  • Chiavi di firma di token sicure entro limiti crittografici attentamente progettati, che utilizzando solidi meccanismi di controllo degli accessi con separazione forzata dei compiti al fine di garantire che le chiavi siano utilizzate solo da entità autorizzate
  • Garantire la disponibilità utilizzando sofisticate funzionalità di ridondanza, archiviazione e gestione delle chiavi
  • Fornire prestazioni elevate per supportare requisiti aziendali sempre più esigenti per l'accesso alle risorse da diversi dispositivi e posizioni

Che cos'è una chiave asimmetrica o una crittografia a chiave asimmetrica?

La crittografia asimmetrica utilizza una coppia di chiavi collegate per proteggere i dati. Una chiave, la chiave privata, è tenuta segreta dal suo proprietario e viene utilizzata per la firma e/o la decrittografia. L'altra, la chiave pubblica, è pubblicata e può essere utilizzata da chiunque per verificare i messaggi firmati dalla chiave privata o per crittografare i documenti al proprietario della chiave privata.



Che cos'è una chiave simmetrica?

Nella crittografia, una chiave simmetrica è quella utilizzata per la crittografia, la decrittografia e l'autenticazione dei messaggi. Questa pratica, altresì nota come "crittografia a chiave segreta", indica che per decrittografare le informazioni, è necessario disporre della stessa chiave utilizzata per crittografarle. Le chiavi, in pratica, rappresentano un segreto condiviso tra le parti che può essere utilizzato per mantenere un collegamento di informazioni private. Le chiavi possono essere utilizzate da due o più persone. Possono altresì essere utilizzate da una sola parte (ad esempio allo scopo di crittografare i backup).

Uno dei vantaggi della crittografia simmetrica è che è notevolmente più veloce della crittografia asimmetrica. Un esempio ben noto di un caso d'uso crittografico simmetrico è la tokenizzazione.

Che cos'è il trasporto di chiave?

Durante il trasporto delle chiavi (in cui una parte seleziona il materiale per la chiave segreta), il materiale per la codifica segreta crittografata viene trasportato dal mittente al destinatario. Gli schemi di trasporto di chiave utilizzano tecniche di chiave pubblica o una combinazione di tecniche di chiave pubblica e chiave simmetrica (ibride). La parte che invia il materiale per la chiave segreta è chiamata mittente e l'altra parte è chiamata ricevente.

Che cos'è l'accordo di chiave?

Durante l'accordo di chiave, il materiale di codifica segreto derivato è il risultato dei contributi apportati da entrambe le parti. Gli schemi di accordo di chiave possono utilizzare tecniche di chiave simmetrica o asimmetrica (chiave pubblica). La parte che inizia uno schema di accordo di chiave è denominata iniziatore e l'altra parte è denominata risponditore.



Che cos'è l'istituzione di chiave?

Il materiale per la codifica segreta può essere stabilito elettronicamente tra le parti utilizzando uno schema di istituzione di chiave, ovvero utilizzando uno schema di accordo di chiave o uno schema di trasporto chiave.