Das Hauptargument gegen Cloud Computing, das von seinen Kritikern vorgebracht wird, ist die Sicherheit. BYOE gewährleistet die Sicherheit all Ihrer Cloud-Dienste. Mal sehen wie.
Beim Cloud-Computing hat der Eigentümer der Daten keine direkte Kontrolle darüber und ist gezwungen, sich darauf zu verlassen, dass der Cloud-Dienstanbieter sie vor unbefugtem Zugriff schützt. Die am weitesten verbreitete Lösung zum Schutz von Informationen in Clouds ist deren Verschlüsselung.
Das Problem bei der Datenverschlüsselung besteht darin, dass sie nicht nur den Zugriff unbefugter Benutzer auf die Daten verhindert, sondern auch die Verwendung der Daten für rechtmäßig autorisierte Benutzer komplizierter macht.
Angenommen, ein Unternehmen hostet seine Daten in verschlüsselter Form auf der Infrastruktur eines Cloud-Service-Providers (CSP). In diesem Fall ist eine effektive Form der Entschlüsselung erforderlich, die es den Benutzern nicht erschwert, die Daten und Anwendungen zu verwenden, oder ihre Benutzererfahrung negativ beeinflusst.
Viele Cloud-Anbieter bieten ihren Kunden die Möglichkeit, ihre Daten verschlüsselt zu halten, und geben ihnen Tools an die Hand, um die Entschlüsselung für autorisierte Benutzer transparent und unbemerkt zu machen.
Jedes robuste Verschlüsselungsschema erfordert jedoch Verschlüsselungsschlüssel. Und wenn die Datenverschlüsselung von demselben CSP ausgeführt wird, der die Daten hält, werden die Verschlüsselungsschlüssel auch von diesem CSP gehalten.
Als Kunde eines CSP haben Sie also keine vollständige Kontrolle über Ihre Daten, da Sie nicht darauf vertrauen können, dass Ihr CSP die Verschlüsselungsschlüssel vollständig sicher aufbewahrt. Jedes Leck dieser Schlüssel könnte dazu führen, dass Ihre Daten unbefugtem Zugriff vollständig ausgesetzt sind.
Inhaltsverzeichnis
Warum Sie BYOE brauchen
BYOE (Bring Your Own Encryption) kann auch als BYOK (Bring Your Own Keys) bezeichnet werden, obwohl es sich hierbei um relativ neue Konzepte handelt, können verschiedene Unternehmen jedem Akronym eine andere Bedeutung geben.
BYOE ist ein speziell auf Cloud Computing zugeschnittenes Sicherheitsmodell, das es Cloud-Service-Kunden ermöglicht, ihre eigenen Verschlüsselungstools zu verwenden und ihre eigenen Verschlüsselungsschlüssel zu verwalten.
Beim BYOE-Modell stellen Kunden eines CSP eine virtualisierte Instanz ihrer eigenen Verschlüsselungssoftware zusammen mit der Anwendung bereit, die sie in der Cloud hosten.
Die Anwendung ist so konfiguriert, dass alle ihre Informationen von einer Verschlüsselungssoftware verarbeitet werden. Diese Software verschlüsselt die Daten und speichert sie in Form von Chiffretext im physischen Datenspeicher des Cloud-Service-Anbieters.
Ein wichtiger Vorteil von BYOE besteht darin, dass es Unternehmen ermöglicht, Cloud-Dienste zum Hosten ihrer Daten und Anwendungen zu nutzen und gleichzeitig die von Aufsichtsbehörden in bestimmten Branchen auferlegten Datenschutzkriterien einzuhalten. Auch in mandantenfähigen Umgebungen von Drittanbietern.
Dieser Ansatz ermöglicht es Unternehmen, unabhängig von der IT-Infrastruktur des Cloud-Dienstleisters die Verschlüsselungstechnologie einzusetzen, die ihren Anforderungen am besten entspricht.
Vorteile von BYOE
Die wichtigsten Vorteile, die Sie aus der Verwendung von BYOE ziehen können, sind:
- Erhöhte Sicherheit von Daten, die auf Infrastrukturen von Drittanbietern gehostet werden.
- Volle Kontrolle über die Datenverschlüsselung, einschließlich Algorithmus und Schlüssel.
- Überwachung und Zutrittskontrolle als Mehrwert.
- Transparente Verschlüsselung und Entschlüsselung, um die Datennutzung nicht zu beeinträchtigen.
- Möglichkeit, die Sicherheit mit Hardware-Sicherheitsmodulen zu verstärken.
Es wird allgemein angenommen, dass es ausreicht, Informationen zu verschlüsseln, um vor Risiken geschützt zu sein, aber das ist nicht der Fall. Das Sicherheitsniveau verschlüsselter Daten ist nur so hoch wie die Sicherheit der Schlüssel, die zu ihrer Entschlüsselung verwendet werden. Wenn die Schlüssel offengelegt werden, werden die Daten offengelegt, auch wenn sie verschlüsselt sind.
BYOE ist eine Möglichkeit, um zu verhindern, dass die Sicherheit der Verschlüsselungsschlüssel dem Zufall überlassen wird und die Sicherheit von einem Dritten, dh Ihrem CSP, implementiert wird.
BYOE ist die endgültige Sperre für ein Datenschutzsystem, das andernfalls eine gefährliche Verletzung hätte. Mit BYOE werden Ihre Daten nicht kompromittiert, selbst wenn die Verschlüsselungsschlüssel Ihres CSP kompromittiert werden.
So funktioniert BYOE
Das BYOE-Sicherheitsschema erfordert, dass der CSP seinen Kunden die Möglichkeit bietet, ihre eigenen Verschlüsselungsalgorithmen und Verschlüsselungsschlüssel zu verwenden.
Um diesen Mechanismus zu verwenden, ohne die Benutzererfahrung zu beeinträchtigen, müssen Sie neben den Anwendungen, die Sie auf Ihrem CSP hosten, eine virtualisierte Instanz Ihrer Verschlüsselungssoftware bereitstellen.
Unternehmensanwendungen im BYOE-Schema müssen so konfiguriert werden, dass alle von ihnen verarbeiteten Daten die Verschlüsselungsanwendung durchlaufen.
Diese Anwendung sitzt als Proxy zwischen Front- und Backend Ihrer Geschäftsanwendungen, sodass Daten zu keinem Zeitpunkt unverschlüsselt verschoben oder gespeichert werden.
Sie müssen sicherstellen, dass das Back-End Ihrer Geschäftsanwendungen eine verschlüsselte Version Ihrer Daten im physischen Daten-Repository Ihres CSP speichert.
BYOE versus native Verschlüsselung
Architekturen, die BYOE implementieren, bieten mehr Vertrauen in den Schutz Ihrer Daten als native Verschlüsselungslösungen, die von CSPs bereitgestellt werden. Möglich wird dies durch die Verwendung einer Architektur, die sowohl strukturierte Datenbanken als auch unstrukturierte Dateien und Big-Data-Umgebungen schützt.
Durch die Verwendung von Erweiterungen ermöglichen Ihnen die Best-of-Breed-Lösungen von BYOE, die Daten sogar während Verschlüsselungs- und Rekeying-Vorgängen zu verwenden. Andererseits ist die Verwendung der BYOE-Lösung zur Überwachung und Protokollierung des Datenzugriffs eine Möglichkeit, die Erkennung und das Abfangen von Bedrohungen zu antizipieren.
Es gibt auch BYOE-Lösungen, die als Mehrwert eine leistungsstarke AES-Verschlüsselung bieten, die durch Hardwarebeschleunigung und granulare Zugriffssteuerungsrichtlinien erweitert wird.
Auf diese Weise können sie feststellen, wer zu welchen Zeiten und durch welche Prozesse auf Daten zugreifen kann, ohne auf spezielle Überwachungstools zurückgreifen zu müssen.
Schlüsselverwaltung
Zusätzlich zur Verwendung Ihres eigenen Verschlüsselungsmoduls benötigen Sie EKM-Software (Encryption Key Management), um Ihre Verschlüsselungsschlüssel zu verwalten.
Diese Software ermöglicht es IT- und Sicherheitsadministratoren, den Zugriff auf Verschlüsselungsschlüssel zu verwalten, was es für Unternehmen einfacher macht, ihre eigenen Schlüssel zu speichern und sie von Dritten fernzuhalten.
Je nach Art der zu verschlüsselnden Daten gibt es verschiedene Arten von Verschlüsselungsschlüsseln. Um wirklich effektiv zu sein, muss die von Ihnen gewählte EKM-Software in der Lage sein, mit jeder Art von Schlüssel umzugehen.
Eine flexible und effiziente Verwaltung von Verschlüsselungsschlüsseln ist unerlässlich, wenn Unternehmen Cloud-Systeme mit lokalen und virtuellen Systemen kombinieren.
Härten von BYOE mit einem HSM
Ein Hardware-Sicherheitsmodul oder HSM ist ein physisches Sicherheitsgerät, das verwendet wird, um kryptografische Operationen schnell und mit maximaler Sicherheit durchzuführen. Solche kryptografischen Operationen umfassen Verschlüsselung, Schlüsselverwaltung, Entschlüsselung und Authentifizierung.
HSMs sind auf maximales Vertrauen und Robustheit ausgelegt und eignen sich ideal zum Schutz geheimer Daten. Sie können als PCI-Express-Karten, eigenständige Geräte mit Ethernet-Netzwerkschnittstellen oder einfach als externe USB-Geräte eingesetzt werden.
Sie haben ihre eigenen Betriebssysteme, die speziell entwickelt wurden, um die Sicherheit zu maximieren, und ihr Zugriff auf das Netzwerk wird durch eine Firewall geschützt.
Wenn Sie ein HSM in Kombination mit BYOE verwenden, übernimmt das HSM die Rolle eines Proxys zwischen Ihren Geschäftsanwendungen und den Speichersystemen Ihres CSP und kümmert sich um die gesamte erforderliche kryptografische Verarbeitung.
Indem Sie das HSM für Verschlüsselungsaufgaben verwenden, stellen Sie sicher, dass diese Aufgaben den normalen Betrieb Ihrer Anwendungen nicht mit störenden Verzögerungen belasten. Darüber hinaus minimieren Sie mit einem HSM die Wahrscheinlichkeit, dass unbefugte Benutzer in die Verwaltung Ihrer Schlüssel oder Verschlüsselungsalgorithmen eingreifen.
Auf der Suche nach Standards
Wenn Sie ein BYOE-Sicherheitsschema übernehmen, sollten Sie prüfen, was Ihr CSP tun kann. Wie wir in diesem Artikel gesehen haben, muss der CSP sicherstellen, dass Sie Ihre eigene Verschlüsselungssoftware oder Ihr eigenes HSM zusammen mit Ihren Anwendungen installieren können, damit Ihre Daten in der Infrastruktur eines CSP wirklich sicher sind, dass die Daten in den Repositories des CSP verschlüsselt werden. und dass Sie und niemand sonst Zugriff auf die Verschlüsselungsschlüssel haben.
Sie können auch einige der besten Cloud Access Security Broker-Lösungen erkunden, um die On-Premise-Sicherheitssysteme der Organisation zu erweitern.