Что такое Bring Your Own Key (BYOK)?

Bring Your Own Key (BYOK) (Создание собственных ключей) — это инновационная концепция, которая первоначально была разработана Entrust и Microsoft, чтобы позволить пользователям общедоступного облака сохранять контроль над криптографическими ключами, используемыми в облаке, чтобы обеспечить безопасность своих данных. В связи со стремительным внедрением общедоступных облачных сервисов BYOK теперь поддерживается во всех основных облачных сервисах. BYOK позволяет пользователям общедоступных облаков локально генерировать собственный высококачественный мастер-ключ и безопасно передавать его поставщику облачных услуг (CSP) для защиты своих данных при развертывании нескольких облаков. Для создания высококачественных ключей и управления ими в модели BYOK используются аппаратные модули безопасности (HSM), сертифицированные по стандартам FIPS и «Общие критерии», которые пользователь облака использует локально или же арендует как услугу. Для поддержки BYOK компания Entrust предлагает модули nShield HSM и nShield as a Service.

Модель BYOK обеспечивает организациям, мигрирующим в облако, описанные ниже преимущества.

  • Гибкость, удобство и экономическая эффективность.
  • Надежное управление конфиденциальными данными и приложениями.
  • Полная видимость использования ключей в облаке.
  • Высочайший уровень безопасности данных, целостности и доверия.

Какова роль BYOK?

Модель BYOK предоставляет пользователям общедоступных облачных сервисов возможность генерировать криптографические ключи в своей среде и сохранять контроль над этими ключами, делая их доступными по мере необходимости для использования в выбранном ими облаке.

Как работает BYOK?

Поставщики облачных услуг защищают данные своих клиентов в облаке с помощью надежного шифрования. Криптографический ключ, который шифрует данные (ключ клиента), обеспечивает безопасность облачного хранилища. Мастер-ключ, сгенерированный пользователем облака с помощью BYOK, фактически создает закрытый контейнер для защиты ключей клиентов в центрах обработки данных поставщика облачных услуг. Это дает пользователю облака контроль над его ключом клиента, гарантируя его использование только для авторизованной цели, и в конечном итоге защищает безопасность данных в облаке.

Какие поставщики облачных услуг поддерживают BYOK?

Ведущие поставщики облачных услуг, включая Amazon Web Services (AWS), Google Compute Engine, Microsoft Azure и Salesforce, поддерживают модель BYOK на базе высоконадежного решения Entrust Cloud Integration Option Pack.

Чем BYOK (Создание собственных ключей) отличается от Hold Your Own Key (HYOK, хранение собственных ключей)?

Hold Your Own Key (HYOK, хранение собственных ключей) — это вариант услуги, предлагаемый компанией Microsoft для управления данными пользователей облака, требующих наиболее осторожного обращения, в пределах их собственного периметра безопасности с помощью модулей HSM Entrust. Компания Microsoft заменяет модель HYOK шифрованием на двойном ключе (DKE) — новым решением, также поддерживаемым Entrust, которое позволяет пользователям облака использовать гибридные среды с дополнительными уровнями защиты, контроля и надежности.

Предлагает ли Entrust другие решения BYOK?

Entrust KeyControl (ранее HyTrust) — это универсальная система управления ключами для зашифрованных рабочих нагрузок, которая позволяет пользователям облака автоматизировать и расширить контроль своих криптографических ключей через общедоступные облака. Решение KeyControl поддерживает ключи BYOK и собственные ключи Amazon Web Services (AWS), чтобы обеспечить полный контроль над мастер-ключами. Плановая поддержка нескольких общедоступных облачных сервисов гарантирует сохранность ключей по мере того, как клиенты будут расширять стратегии внедрения облачных решений.

Зачем нам нужна модель BYOK?

Безопасность зашифрованных данных настолько же высока, насколько надежна защита ключей шифрования. Модель BYOK предоставляет пользователям облака необходимый контроль и надежность, будь то развертывание стратегии с использованием одного поставщика облачных услуг, гибридной или же мультиоблачной стратегии. Модель BYOK и использование модулей HSM позволяют облачным пользователям избежать трудностей, связанных с привязкой к определенному поставщику, что может затруднить переход от одного CSP к другому. Модули HSM специально разработаны для того, чтобы помешать хакерам найти ваши важные криптографические ключи, за счет их размещения в защищенном от несанкционированного доступа месте, а не в программном обеспечении. Учитывая, что для организаций важна высокая степень уверенности при полной миграции в облако, модель BYOK можно развернуть с использованием nShield as a Service без капитальных затрат и с тем же уровнем безопасности и надежности, что и при использовании локального решения.