Che cos'è Bring Your Own Key (Porta la tua chiave, BYOK)?

Porta la tua chiave (Bring your own key, BYOK) è un concetto innovativo che è stato inizialmente introdotto da Entrust e Microsoft per consentire agli utenti del cloud pubblico di mantenere il controllo delle chiavi crittografiche utilizzate nel cloud al fine di proteggere i propri dati. Con l'esplosione dell'adozione dei servizi cloud pubblici, BYOK è ora supportato in tutti i principali servizi cloud. BYOK consente agli utenti del cloud pubblico di generare la propria chiave master di alta qualità direttamente in locale e di trasferire in modo sicuro la chiave al proprio provider di servizi cloud (CSP) per proteggere i propri dati su implementazioni multi-cloud. Per generare e gestire chiavi di alta qualità, BYOK utilizza moduli di sicurezza hardware (HSM) certificati FIPS e Common Criteria che l'utente cloud mantiene in locale o noleggia come servizio. Entrust offre nShield HSM e nShield as a Service per supportare BYOK.

BYOK consente alle organizzazioni che migrano al cloud di ottenere:

  • Flessibilità, praticità e convenienza
  • Un forte controllo di dati e applicazioni sensibili
  • Visibilità completa sull'utilizzo delle chiavi nel cloud
  • Il più elevato livello di sicurezza, integrità e fiducia dei dati

Qual è il ruolo di BYOK?

BYOK fornisce agli utenti dei servizi cloud pubblici la possibilità di generare chiavi crittografiche nel proprio ambiente e mantenere il controllo di tali chiavi rendendole disponibili, secondo necessità, per l'uso nel cloud di loro scelta.

Come funziona BYOK?

I CSP proteggono i dati dei loro clienti nel cloud utilizzando una solida crittografia. La chiave crittografica che crittografa i dati (la chiave del tenant) è alla base della sicurezza dell'archiviazione cloud. La chiave master generata dall'utente cloud utilizzando BYOK crea essenzialmente una cassaforte per proteggere le chiavi tenant nei data center del CSP. Ciò offre all'utente del cloud il controllo sulla chiave del tenant, garantendo così che venga utilizzata solo per lo scopo autorizzato e, in definitiva, proteggendo la sicurezza dei dati nel cloud.

Quali sono gli esempi di CSP che supportano BYOK?

Tutti i principali CSP, tra cui Amazon Web Services (AWS), Google Compute Engine, Microsoft Azure e Salesforce, supportano il BYOK abilitato dall'elevata garanzia della soluzione del Pacchetto di opzioni di integrazione cloud di Entrust.

In che modo BYOK è diverso da Tieni la tua chiave (Hold Your Own Key, HYOK)?

Tieni la tua chiave (HYOK) è un'opzione offerta da Microsoft per gestire i dati più sensibili degli utenti cloud all'interno del proprio perimetro di sicurezza utilizzando gli HSM di Entrust. Microsoft sta sostituendo HYOK con la Crittografia a doppia chiave (DKE), una nuova soluzione supportata anche da Entrust che consente agli utenti cloud di utilizzare ambienti ibridi con livelli aggiuntivi di protezione, controllo e garanzia.

Entrust offre altre soluzioni BYOK?

Entrust KeyControl (precedentemente HyTrust) è un sistema universale di gestione delle chiavi per carichi di lavoro crittografati che consente agli utenti del cloud di automatizzare ed estendere il controllo delle proprie chiavi crittografiche su cloud pubblici. KeyControl supporta chiavi BYOK e Amazon Web Services (AWS) native per consentire il controllo completo delle chiavi master. Il supporto pianificato su più servizi cloud pubblici garantirà che le chiavi siano sempre protette mentre gli utenti cloud estendono le loro strategie di adozione del cloud.

Perché abbiamo bisogno di BYOK?

La sicurezza dei dati crittografati è valida tanto quanto la protezione fornita alle chiavi di crittografia. BYOK offre agli utenti cloud il controllo e la sicurezza di cui hanno bisogno, sia che implementino un singolo fornitore di servizi cloud, sia una strategia ibrida o multi-cloud. BYOK e l'uso di HSM consentono agli utenti cloud di evitare le difficoltà associate al blocco del fornitore, che possono rendere difficile la migrazione da un CSP a un altro. Gli HSM sono progettati specificamente per impedire a un hacker di trovare le tue chiavi crittografiche critiche, conservandole in una posizione a prova di manomissione, fuori dal software. Poiché le organizzazioni cercano di migrare completamente al cloud in sicurezza, BYOK può essere distribuito utilizzando nShield as a Service senza spese ingenti e con lo stesso livello di sicurezza, una garanzia di una soluzione in locale.