Перейти к основному содержимому
Изображение
рисунок фиолетового шестиугольника

Что такое Bring Your Own Key (BYOK)?

Облачные вычисления имеют множество преимуществ, однако серьезную обеспокоенность вызывает безопасность, поскольку данные физически находятся у поставщика облачных услуг (CSP) и не под прямым контролем их владельца. Шифрование позволяет защитить данные в облаке, а для обеспечения их конфиденциальности и целостности первостепенное значение имеет защита ключей шифрования. Функция создания собственных ключей (BYOK) позволяет предприятиям генерировать надежные ключи в защищенном от взлома аппаратном модуле безопасности (HSM) и безопасно экспортировать эти ключи в облако. Таким образом, она способствует повышению эффективности их методов управления ключами, а также позволяет предприятиям сохранять контроль над ключами шифрования и управлять ими.

Подход BYOK для Amazon Web Services

Entrust KeyControl предоставляет функцию создания собственных ключей (BYOK) для одной или нескольких облачных платформ, обеспечивая гибкость, масштабируемость и полный контроль над зашифрованными рабочими нагрузками в Amazon Web Services. Посмотрите видео ниже о нашей интеграции Amazon AWS Key Management Service, чтобы увидеть модель BYOK в действии.

Что такое управление секретами?

Управление секретами подразумевает необходимую цифровую аутентификацию, используемую для защиты ваших учетных данных, включая пароли, API, ключи и токены для различных приложений. Защитив секреты приложений путем шифрования, можно безопасно пользоваться учетными данными для привилегированного доступа, не опасаясь скомпрометировать свою безопасность.

Что такое система управления секретами?

Для контроля доступа к конфиденциальным данным организациям требуются учетные данные пользователей, секретный код между программным обеспечением и пользователем. Развертывание надежной системы управления секретами имеет решающее значение для защиты всех систем и информации. Администраторы должны иметь возможность создавать и отзывать учетные данные, когда клиенты и сотрудники приходят и уходят или просто меняют роли, а также по мере развития бизнес-процессов и политик. Кроме того, увеличение количества законов о конфиденциальности и других требований в области безопасности заставляет организации демонстрировать способность проверять личность онлайн-клиентов и внутренних привилегированных пользователей.

Проблемы, связанные с управлением секретами

  • Если злоумышленники получат контроль над вашей системой управления секретами, они смогут выдавать учетные данные внутренних пользователей потенциально с привилегиями, позволяющими взламывать системы незаметно.
  • В случае взлома процессов управления секретами организация будет вынуждена повторно выдавать учетные данные, что может быть дорогостоящим и длительным процессом.
  • Скорость подтверждения учетных данных может сильно варьироваться и легко превышать технические возможности системы управления секретами, что ставит под угрозу непрерывность ведения бизнеса.
  • Ожидания владельцев бизнес-приложений в отношении безопасности и моделей доверия растут, и процессы управления учетными данными могут оказаться слабым звеном, которое ставит под угрозу соблюдение нормативных требований.

Аппаратные модули безопасности (Hardware Security Modules — HSM)

Платформу управления секретами можно развернуть в чисто программной системе, однако этот подход по своей сути менее безопасен. Подписи токенов и ключи шифрования, обрабатываемые за пределами криптографических границ сертифицированного модуля HSM, значительно более уязвимы к атакам, которые могут поставить под угрозу процесс подписания и распространения токенов. HSM является единственным проверенным и контролируемым способом защиты ценных криптографических элементов и обеспечения аппаратной защиты по стандартам FIPS.

Преимущества HSM для организации

  • Создание надежного корня доверия, защищающего ключи, которые шифруют секретные учетные данные организации.
  • Защищенные ключи для подписи токенов в тщательно выстроенных криптографических границах с использованием надежных механизмов контроля доступа и принудительным разделением обязанностей, обеспечивающими использование ключей только уполномоченными лицами.
  • Доступность за счет использования сложных функций управления ключами, хранения и резервирования ключей.
  • Высокая производительность для поддержки растущих потребностей организации в доступе к ресурсам с любого устройства и из любого места.

Что такое асимметричный ключ шифрования или асимметричная криптография ключей?

В асимметричной криптографии для защиты данных используется пара связанных ключей. Один из ключей, закрытый ключ, хранится в тайне у владельца, который использует его для подписей и (или) расшифровки. Другой, открытый ключ, является публичным, и его может использовать кто угодно для проверки сообщений, подписанных закрытым ключом, или шифрования документов, предназначенных владельцу закрытого ключа.

Что такое симметричный ключ?

В криптографии симметричный ключ используется для шифрования, расшифровки и аутентификации сообщений. Такую практику также называют «криптографией секретных ключей». Это означает, что для расшифровки информации необходимо иметь ключ, который использовался для ее шифрования. На практике ключи представляют собой общий для нескольких пользователей секрет, который можно использовать для обеспечения конфиденциальности передаваемой информации. Ключи могут принадлежать двум или большему количеству пользователей одновременно, и все они могут их применять. Кроме того, один пользователь может владеть всеми ключами и также единолично применять их (например, для шифрования резервных копий).

Одним из преимуществ симметричной криптографии является существенно более высокая скорость по сравнению с асимметричной криптографией. Хорошо известным примером симметричной криптографии является токенизация.

Что такое доставка ключей?

Во время доставки ключей (когда одна сторона выбирает секретный ключ) зашифрованные элементы секретного ключа передаются от отправителя к получателю. В схемах доставки ключей используют либо методы открытых ключей, либо сочетание методов открытых ключей и симметричных ключей (гибридные методы). Сторона, отправляющая элементы секретного ключа, называется отправителем, а другая сторона — получателем.

Что такое согласование ключей?

Во время согласования ключей полученные элементы секретного ключа являются результатом вклада обеих сторон. В схемах согласования ключей могут использоваться методы симметричных ключей или асимметричных ключей (открытых ключей). Сторона, которая начинает согласование ключей, называется инициатором, а другая сторона называется ответчиком.

Что такое ввод ключа в действие?

Элементы секретного ключа могут быть установлены между сторонами в электронном виде с использованием схемы ввода ключа в действие, то есть с использованием схемы согласования ключей или схемы доставки ключей.