Управление ключами и конфиденциальностью

 

Что такое Bring Your Own Key (BYOK)?

Облачные вычисления обладают многими преимуществами, однако одним из основных недостатков является безопасность, поскольку данные физически находятся у поставщика облачных услуг (CSP) вне прямого контроля владельца данных. Для организаций, которые предпочитают использовать шифрование для защиты своих данных, защита ключей шифрования имеет первостепенное значение. Решение по созданию собственных ключей Bring Your Own Key (BYOK) позволяет организациям шифровать свои данные, сохранять контроль над своими ключами шифрования и управлять ими. Однако некоторые решения BYOK загружают ключи шифрования в инфраструктуру CSP. В этих случаях организация вновь теряет контроль над своими ключами. Лучшим практическим решением этой проблемы BYOK является создание надежных ключей в защищенном от взлома аппаратном модуле безопасности (HSM) и контроль безопасного экспорта своих ключей в облако.

 

Что такое система управления учетными данными?

Для контроля доступа к конфиденциальным данным организациям требуются учетные данные пользователей. Развертывание надежной системы управления учетными данными или нескольких систем управления учетными данными имеет решающее значение для обеспечения безопасности всех систем и информации. Администраторы должны иметь возможность создавать и отзывать учетные данные, когда клиенты и сотрудники приходят и уходят или просто меняют роли, а также по мере развития бизнес-процессов и политик. Кроме того, увеличение количества законов о конфиденциальности данных и других требований в области безопасности заставляет организации демонстрировать способность проверять личность онлайновых клиентов и внутренних привилегированных пользователей.

 

Проблемы, связанные с управлением учетными данными

  • Если злоумышленники получат контроль над вашей системой управления учетными данными, они смогут выдавать учетные данные внутренних пользователей потенциально с привилегиями, позволяющими взламывать системы незаметно.
  • В случае взлома процессов управления учетными данными организация будет вынуждена повторно выдавать учетные данные, что может быть дорогостоящим и длительным процессом.
  • Скорость подтверждения учетных данных может сильно варьироваться и может легко превышать технические возможности системы управления учетными данными, что ставит под угрозу непрерывность бизнеса.
  • Ожидания владельцев бизнес-приложений в отношении безопасности и моделей доверия растут, и процессы управления учетными данными могут оказаться слабым звеном, которое ставит под угрозу соблюдение нормативных требований.

 

Аппаратные модули безопасности (HSM)

Платформу управления учетными данными можно развернуть в чисто программной системе, однако этот подход по своей сути менее безопасен. Подписи токенов и ключи шифрования, обрабатываемые за пределами криптографических границ сертифицированного модуля HSM, значительно более уязвимы к атакам, которые могут поставить под угрозу процесс подписания и распространения токенов. HSM является единственным проверенным и контролируемым способом защиты ценных криптографических элементов и обеспечения аппаратной защиты по стандартам FIPS.

 

Преимущества HSM для организации:

  • Защищенные ключи для подписи токенов в тщательно выстроенных криптографических границах с использованием надежных механизмов контроля доступа и принудительным разделением обязанностей, обеспечивающими использование ключей только уполномоченными лицами
  • Доступность за счет использования сложных функций управления ключами, хранения и резервирования ключей
  • Высокая производительность для поддержки растущих потребностей организации в доступе к ресурсам с любого устройства и из любого места

 

Что такое асимметричный ключ шифрования или асимметричная криптография ключей?

В асимметричной криптографии для защиты данных используется пара связанных ключей. Один из ключей, закрытый ключ, хранится в тайне у владельца, который использует его для подписей и (или) расшифровки. Другой, открытый ключ, является публичным, и его может использовать кто угодно для проверки сообщений, подписанных закрытым ключом, или шифрования документов, предназначенных владельцу закрытого ключа.



Что такое симметричный ключ?

В криптографии симметричный ключ используется для шифрования, расшифровки и аутентификации сообщений. Такую практику также называют «криптографией секретных ключей». Это означает, что для расшифровки информации необходимо иметь ключ, который использовался для ее шифрования. На практике ключи представляют собой общий для нескольких пользователей секретный код, который можно использовать для обеспечения конфиденциальности передаваемой информации. Ключи могут находится у двух или более пользователей одновременно. Кроме того, один пользователь может владеть всеми ключами и использовать их (например, для шифрования резервных копий).

Одним из преимуществ симметричной криптографии является существенно более высокая скорость по сравнению с асимметричной криптографией. Хорошо известным примером симметричной криптографии является токенизация.

 

Что такое доставка ключей?

Во время доставки ключей (когда одна сторона выбирает секретный ключ) зашифрованные элементы секретного ключа передаются от отправителя к получателю. В схемах доставки ключей используют либо методы открытых ключей, либо сочетание методов открытых ключей и симметричных ключей (гибридные методы). Сторона, отправляющая элементы секретного ключа, называется отправителем, а другая сторона — получателем.

 

Что такое согласование ключей?

Во время согласования ключей полученные элементы секретного ключа являются результатом вклада обеих сторон. В схемах согласования ключей могут использоваться методы симметричных ключей или асимметричных ключей (открытых ключей). Сторона, которая начинает согласование ключей, называется инициатором, а другая сторона называется ответчиком.



Что такое ввод ключа в действие?

Элементы секретного ключа могут быть установлены между сторонами в электронном виде с использованием схемы ввода ключа в действие, то есть с использованием схемы согласования ключей или схемы доставки ключей.