Bring Your Own Key (BYOK) ist ein Ansatz, bei dem die lokalen Schlüssel in einem Cloud-Dienstanbieter Umgebung, die die Verwendung von On-Prem-Schlüsseln mit der nativen Cloud ermöglicht Schlüsselverwaltung Dienstleistungen an encrypt als auch dekreierenypt Inhalt. BYOK erfordert HSMs (entweder dediziert oder als KMS-Dienst angeboten), unterstützt aber alle Cloud-Dienstmodelle (SaaS, PaaS und IaaS), solange der Cloud-Anbieter einen Schlüsselverwaltungsdienst anbietet.
Rolle und Funktionsweise von BYOK
Stellen Sie sich BYOK als ein System vor, bei dem Sie Ihr eigenes Schloss und Ihren eigenen Schlüssel bei sich tragen, um Wertgegenstände zu sichern, selbst wenn Sie diese in einem gemeinsam genutzten Schließfach (z. B. einem Cloud-Speicher) aufbewahren. Diese Analogie verdeutlicht die Schlüsselrolle von BYOK (Bring Your Own Key) für die Cloud-Sicherheit: Behalten Sie die Kontrolle über Ihre Datenverschlüsselungsschlüssel.
Bei herkömmlichem Cloud-Speicher verwaltet und verschlüsselt der Cloud-Anbieter die Daten mit seinen eigenen Schlüsseln. BYOK ermöglicht die Generierung und Verwaltung eigener Verschlüsselungsschlüssel, die in der Regel in einem sicheren Gerät, dem sogenannten Hardware Security Module (HSM), gespeichert werden. So funktioniert es:
-
Generieren und speichern
Erstellen Sie Ihre Verschlüsselungsschlüssel und speichern Sie sie sicher in Ihrem HSM.
-
Hochladen (optional)
Abhängig von der BYOK-Implementierung ermöglichen einige Lösungen das Hochladen des verschlüsselten Schlüssels in den Key Management Service (KMS) des Cloud-Anbieters, um zusätzliche Verwaltungsfunktionen zu nutzen.
-
Verschlüsseln und entschlüsseln
Wenn Sie Daten in die Cloud hochladen, verschlüsselt das HSM diese mit Ihrem Schlüssel. Wenn Sie auf die Daten zugreifen müssen, entschlüsselt das HSM sie mit demselben Schlüssel.
BYOK mit Cloud KMS
Unternehmen können ihre eigenen Master-Schlüssel in die Cloud übertragen, der Cloud-Anbieter verwendet jedoch vom Master abgeleitete Datenverschlüsselungsschlüssel für die eigentliche Ver- und Entschlüsselung außerhalb der HSMs. Da der Cloud-Anbieter die gesamte zugrunde liegende Hard- und Software kontrolliert, kann er wählen, ob die Verschlüsselung in Hardware- oder Softwarediensten erfolgen soll, während die Sicherheit der abgeleiteten Verschlüsselungsschlüssel gewahrt bleibt.
Vorteile
- Es sind keine spezialisierten Fachkräfte erforderlich
- Ermöglicht die Verwendung vorhandener Produkte, für deren Verwendung Schlüssel erforderlich sind Geheimschrift
- Bietet einen zentralen Punkt zur Verwaltung von Schlüsseln über heterogene Produkte hinweg
- Native Integration mit anderen Diensten wie Systemadministration, Datenbanken, Speicher- und Anwendungsentwicklungstools, die vom Cloud-Anbieter angeboten werden
Nachteile
- Wichtige Risiken außerhalb des HSM
- Geräte mit FIPS 140-2 Level 3 und höher nicht verfügbar
BYOK mit Cloud HSM
Alle Verschlüsselungsvorgänge im Namen der Organisation werden innerhalb des HSM ausgeführt. Der native Cloud-Verschlüsselungsdienst kann Anfragen im Namen der Organisation erfüllen, sodass Ver- und Entschlüsselung transparent sind, der Schlüsselzugriff und die kryptografischen Vorgänge jedoch innerhalb des HSM verbleiben.
Vorteile
- Keine Schlüsselexposition außerhalb des HSM
- FIPS Hardwarebasierte Geräte auf fortgeschrittenem Niveau (FIPS 140-2 Level 3 und höher), die alle gesetzlichen Anforderungen erfüllen
- Kann alle Kernfunktionen eines lokalen HSM ausführen – Schlüsselgenerierung, Schlüsselspeicherung, Schlüsselrotation und API-Schnittstellen zur Orchestrierung der Verschlüsselung in der Cloud
- Auf Sicherheit ausgelegt
- Spezielle Hardware und Software für Sicherheitsfunktionen.
Nachteile
- Benötigen Sie spezialisierte interne Ressourcen zur Verwaltung von Schlüssel- und Krypto-Lebenszyklusaktivitäten
- HSM-basierte Ansätze sind kostenintensiver, da dedizierte Hardware-Appliances zur Verfügung gestellt werden.
- Leistungsbezogene Mehrkosten