了解自带加密和密钥 (BYOE)

作者
Tweet
Share
Share
Pin
0 Shares

雲端安全性的新視角:自帶加密 (BYOE)

人們對雲端計算的主要批評之一是其安全性。然而,通過實施自帶加密 (BYOE) 策略,您可以有效地強化雲端服務的安全防護。 讓我們深入探討其運作原理。

在傳統的雲端環境中,數據擁有者通常無法直接掌控數據,而必須仰賴雲端服務供應商 (CSP) 來防範未經授權的存取。數據加密被廣泛認為是保護雲端資訊的首選方法。

然而,數據加密的挑戰在於,它雖然能夠防止未經授權的存取,但也增加了合法授權用戶使用數據的複雜性。

試想一家公司將其加密數據託管於 CSP 的基礎設施上。該公司需要一種有效的解密機制,既能確保用戶能夠順暢地使用數據和應用程式,同時又不損害使用者體驗。

許多雲端供應商都為客戶提供數據加密選項,並提供工具來實現透明解密,讓授權用戶在幾乎無感的情況下使用數據。

但是,任何健全的加密方案都必須仰賴加密金鑰。當數據加密由持有數據的 CSP 執行時,加密金鑰也會由該 CSP 持有。

因此,身為 CSP 的客戶,您無法完全掌控數據,因為您無法完全信任 CSP 能確保加密金鑰的安全。任何金鑰洩露都可能導致您的數據完全暴露於未經授權的存取風險之下。

為何需要 BYOE?

BYOE(自帶加密) 有時也被稱為 BYOK(自帶金鑰),儘管這些概念相對較新,不同的公司可能會對這些縮寫詞賦予不同的含義。

BYOE 是一種專為雲端計算量身定制的安全模型,它允許雲端服務客戶使用自己的加密工具並管理自己的加密金鑰。

在 BYOE 模型中,CSP 的客戶會部署他們自己的加密軟體的虛擬實例,以及他們在雲端託管的應用程式。

該應用程式的配置方式使得所有資訊都由加密軟體處理。該軟體會對數據進行加密,並以密文形式將其儲存在雲端服務供應商的實體數據儲存庫中。

BYOE 的主要優勢之一在於,它允許公司利用雲端服務託管其數據和應用程式,同時遵守某些行業監管機構規定的數據隱私標準,即使是在多租戶的第三方環境中也能如此。

這種方法使得公司可以使用最符合自身需求的加密技術,而不受雲端服務供應商 IT 基礎設施的限制。

BYOE 的優點

採用 BYOE 的主要優點包括:

  • 提高託管在第三方基礎設施上的數據安全性。
  • 完全掌控數據加密,包括算法和金鑰。
  • 提供監控和訪問控制等附加價值。
  • 加解密過程透明,不影響數據使用體驗。
  • 可通過硬體安全模組 (HSM) 來增強安全性。

人們普遍認為,數據加密足以避免風險,但事實並非如此。加密數據的安全級別取決於解密金鑰的安全性。如果金鑰洩露,即使數據經過加密,也會被暴露。

BYOE 是一種避免加密金鑰的安全性被忽視,以及第三方(即您的 CSP)實施的安全措施的一種方式。

BYOE 是數據保護計劃的最後一道防線,否則可能會造成危險的破壞。 使用 BYOE,即使您的 CSP 的加密金鑰洩露,您的數據也不會被暴露。

BYOE 的運作方式

BYOE 安全方案要求 CSP 為其客戶提供使用他們自己的加密算法和加密金鑰的選項。

要在不影響使用者體驗的情況下使用此機制,您需要在 CSP 上託管的應用程式旁部署加密軟體的虛擬實例。

必須配置 BYOE 方案中的企業應用程式,以便它們處理的所有數據都通過加密應用程式。

此應用程式充當業務應用程式的前端和後端之間的代理,因此在任何時候都不會移動或儲存未加密的數據。

您必須確保業務應用程式的後端將數據的密文版本儲存在 CSP 的實體數據儲存庫中。

BYOE 與原生加密

與 CSP 提供的原生加密解決方案相比,實施 BYOE 的架構在保護您的數據方面更值得信賴。 這是通過使用保護結構化資料庫,以及非結構化檔案和大數據環境的架構來實現的。

透過使用擴展,BYOE 的同類最佳解決方案使您即使在加密和重新加密操作期間也可以使用數據。另一方面,使用 BYOE 解決方案來監控和記錄數據訪問是預測威脅檢測和攔截的一種方式。

也有 BYOE 解決方案作為附加價值提供高效能 AES 加密,通過硬體加速和精細訪問控制策略來增強保護。

透過這種方式,他們可以確定誰可以在什麼時間以及透過哪些流程訪問數據,而無需求助於特定的監控工具。

金鑰管理

除了使用您自己的加密模組之外,您還需要加密金鑰管理 (EKM) 軟體來管理您的加密金鑰。

該軟體允許 IT 和安全管理員管理對加密金鑰的訪問,使公司能夠更輕鬆地儲存自己的金鑰,並使其不落入第三方手中。

根據要加密的數據類型,存在不同類型的加密金鑰。 要真正有效,您選擇的 EKM 軟體必須能夠處理任何類型的金鑰。

當公司將雲端系統與本地和虛擬系統相結合時,靈活高效的加密金鑰管理至關重要。

使用 HSM 強化 BYOE

硬體安全模組 (HSM) 是一種實體的安全設備,用於快速執行加密操作,並提供最高等級的安全性。 此類加密操作包括加密、金鑰管理、解密和身份驗證。

HSM 旨在實現最大的信任和穩健性,是保護機密數據的理想選擇。它們可以部署為 PCI Express 卡、帶有乙太網路介面的獨立設備或簡單的外部 USB 設備。

它們擁有自己的操作系統,專為最大限度地提高安全性而設計,並且它們對網路的訪問受到防火牆的保護。

當您將 HSM 與 BYOE 結合使用時,HSM 將充當您的業務應用程式和 CSP 的儲存系統之間的代理角色,負責所有必要的加密處理。

通過將 HSM 用於加密任務,您可以確保這些任務不會對應用程式的正常操作造成惱人的延遲。 此外,使用 HSM,您可以最大限度地減少未經授權的用戶干擾您的金鑰或加密算法管理的機會。

尋找標準

在採用 BYOE 安全方案時,您應該檢視您的 CSP 可以提供哪些功能。 正如我們在整篇文章中所看到的,為了讓您的數據在 CSP 的基礎架構中真正安全,CSP 必須確保您可以安裝自己的加密軟體或 HSM 以及您的應用程式,數據將在 CSP 的儲存庫中加密,而且您和其他任何人都無法訪問加密金鑰。

您還可以探索一些最佳的雲端訪問安全代理解決方案,以擴展組織的本地安全系統。