Hiểu biết Mang mã hóa và khóa của riêng bạn (BYOE)

Spread the love

Lập luận chính chống lại điện toán đám mây được đưa ra bởi những người gièm pha nó là bảo mật. BYOE đảm bảo tính bảo mật của tất cả các dịch vụ đám mây của bạn. Hãy xem làm thế nào.

Trong điện toán đám mây, chủ sở hữu dữ liệu không có quyền kiểm soát trực tiếp và buộc phải dựa vào nhà cung cấp dịch vụ đám mây để giữ an toàn trước những truy cập trái phép. Giải pháp được chấp nhận phổ biến nhất để bảo vệ thông tin nằm trong các đám mây là mã hóa nó.

Vấn đề với mã hóa dữ liệu là nó không chỉ ngăn người dùng trái phép truy cập vào dữ liệu mà còn gây thêm phức tạp khi sử dụng dữ liệu cho những người dùng được ủy quyền hợp pháp.

Giả sử một công ty lưu trữ dữ liệu của mình ở dạng mã hóa trên cơ sở hạ tầng của nhà cung cấp dịch vụ đám mây (CSP). Trong trường hợp đó, nó cần một số hình thức giải mã hiệu quả để không gây khó khăn cho người dùng khi sử dụng dữ liệu và ứng dụng, hoặc ảnh hưởng tiêu cực đến trải nghiệm người dùng của họ.

Nhiều nhà cung cấp dịch vụ đám mây cung cấp cho khách hàng tùy chọn để giữ cho dữ liệu của họ được mã hóa, cung cấp cho họ các công cụ để làm cho việc giải mã trở nên minh bạch và không bị người dùng có thẩm quyền chú ý.

Tuy nhiên, bất kỳ kế hoạch mã hóa mạnh mẽ nào cũng yêu cầu các khóa mã hóa. Và khi mã hóa dữ liệu được thực hiện bởi cùng một CSP nắm giữ dữ liệu, thì các khóa mã hóa cũng do CSP đó nắm giữ.

Vì vậy, là khách hàng của CSP, bạn không thể có toàn quyền kiểm soát dữ liệu của mình, vì bạn không thể tin tưởng rằng CSP của bạn sẽ giữ các khóa mã hóa hoàn toàn an toàn. Bất kỳ sự rò rỉ nào của các khóa này có thể khiến dữ liệu của bạn bị lộ hoàn toàn trước sự truy cập trái phép.

Tại sao bạn cần BYOE

BYOE (mang theo mã hóa của riêng bạn) cũng có thể được gọi là BYOK (mang theo khóa của riêng bạn), mặc dù đây là những khái niệm khá mới, các công ty khác nhau có thể cung cấp cho mỗi từ viết tắt một ý nghĩa khác nhau.

BYOE là một mô hình bảo mật được điều chỉnh đặc biệt cho điện toán đám mây, cho phép khách hàng sử dụng dịch vụ đám mây sử dụng các công cụ mã hóa của riêng họ và quản lý các khóa mã hóa của riêng họ.

  Dropshipping là gì và nó có phải là trò lừa đảo không?

Trong mô hình BYOE, khách hàng của CSP triển khai phiên bản ảo hóa của phần mềm mã hóa của riêng họ, cùng với ứng dụng mà họ lưu trữ trên đám mây.

Ứng dụng được cấu hình theo cách mà tất cả thông tin của nó được xử lý bằng phần mềm mã hóa. Phần mềm này mã hóa dữ liệu và lưu trữ dưới dạng bản mã trong kho dữ liệu vật lý của nhà cung cấp dịch vụ đám mây.

Một lợi thế quan trọng của BYOE là nó cho phép các công ty sử dụng dịch vụ đám mây để lưu trữ dữ liệu và ứng dụng của họ trong khi tuân thủ các tiêu chí về quyền riêng tư dữ liệu do các cơ quan quản lý trong một số ngành công nghiệp nhất định áp đặt. Ngay cả trong môi trường nhiều người thuê, bên thứ ba.

Cách tiếp cận này cho phép các công ty sử dụng công nghệ mã hóa đáp ứng tốt nhất nhu cầu của họ, bất kể cơ sở hạ tầng CNTT của nhà cung cấp dịch vụ đám mây.

Lợi ích của BYOE

Những lợi ích chính bạn có thể nhận được khi sử dụng BYOE là:

  • Tăng cường bảo mật cho dữ liệu được lưu trữ trên cơ sở hạ tầng của bên thứ ba.
  • Kiểm soát hoàn toàn mã hóa dữ liệu, bao gồm cả thuật toán và khóa.
  • Giám sát và kiểm soát truy cập như một giá trị gia tăng.
  • Mã hóa và giải mã minh bạch để không ảnh hưởng đến trải nghiệm sử dụng dữ liệu.
  • Khả năng tăng cường bảo mật với các mô-đun bảo mật phần cứng.

Người ta thường tin rằng chỉ cần mã hóa thông tin là đủ an toàn trước rủi ro, nhưng thực tế không phải như vậy. Mức độ bảo mật của dữ liệu được mã hóa chỉ cao bằng mức độ an toàn của các khóa được sử dụng để giải mã nó. Nếu các khóa bị lộ, dữ liệu sẽ bị lộ, ngay cả khi nó được mã hóa.

BYOE là một cách để ngăn chặn sự bảo mật của các khóa mã hóa không bị tình cờ và bảo mật được thực hiện bởi bên thứ ba, tức là CSP của bạn.

BYOE là khóa cuối cùng trong sơ đồ bảo vệ dữ liệu mà nếu không sẽ có một vi phạm nguy hiểm. Với BYOE, ngay cả khi các khóa mã hóa CSP của bạn bị xâm phạm, dữ liệu của bạn sẽ không bị ảnh hưởng.

Cách hoạt động của BYOE

Chương trình bảo mật BYOE yêu cầu CSP cung cấp cho khách hàng tùy chọn sử dụng các thuật toán mã hóa và khóa mã hóa của riêng họ.

  Tiện ích bổ sung Google Trang tính tốt nhất

Để sử dụng cơ chế này mà không ảnh hưởng đến trải nghiệm người dùng, bạn sẽ cần triển khai phiên bản ảo hóa của phần mềm mã hóa cùng với các ứng dụng bạn lưu trữ trên CSP của mình.

Các ứng dụng doanh nghiệp trong lược đồ BYOE phải được cấu hình để tất cả dữ liệu chúng xử lý đều chuyển qua ứng dụng mã hóa.

Ứng dụng này hoạt động như một proxy giữa mặt trước và mặt sau của các ứng dụng kinh doanh của bạn để dữ liệu không bị di chuyển hoặc lưu trữ không được mã hóa vào bất kỳ thời điểm nào.

Bạn phải đảm bảo rằng phần cuối của các ứng dụng kinh doanh của bạn lưu trữ phiên bản mã hóa dữ liệu của bạn trong kho dữ liệu vật lý của CSP của bạn.

Mã hóa BYOE so với Native

Các kiến ​​trúc triển khai BYOE mang lại sự tự tin hơn trong việc bảo vệ dữ liệu của bạn so với các giải pháp mã hóa gốc do CSP cung cấp. Điều này có thể thực hiện được bằng cách sử dụng một kiến ​​trúc bảo vệ cơ sở dữ liệu có cấu trúc cũng như các tệp phi cấu trúc và môi trường dữ liệu lớn.

Bằng cách sử dụng các phần mở rộng, các giải pháp giống tốt nhất của BYOE cho phép bạn sử dụng dữ liệu ngay cả trong quá trình mã hóa và hoạt động rekeying. Mặt khác, sử dụng giải pháp BYOE để giám sát và ghi nhật ký truy cập dữ liệu là một cách để dự đoán khả năng phát hiện và đánh chặn mối đe dọa.

Ngoài ra còn có các giải pháp BYOE cung cấp, như một giá trị gia tăng, mã hóa AES hiệu suất cao, được tăng cường bởi khả năng tăng tốc phần cứng và các chính sách kiểm soát truy cập chi tiết.

Bằng cách này, họ có thể xác định ai có thể truy cập dữ liệu, vào thời điểm nào và thông qua các quy trình nào mà không cần sử dụng đến các công cụ giám sát cụ thể.

Quản lý khóa

Ngoài việc sử dụng mô-đun mã hóa của riêng bạn, bạn sẽ cần phần mềm quản lý khóa mã hóa (EKM) để quản lý các khóa mã hóa của mình.

Phần mềm này cho phép các quản trị viên CNTT và bảo mật quản lý quyền truy cập vào các khóa mã hóa, giúp các công ty dễ dàng lưu trữ các khóa của riêng họ và giữ chúng không bị rơi vào tay của các bên thứ ba.

Có nhiều loại khóa mã hóa khác nhau tùy thuộc vào loại dữ liệu được mã hóa. Để thực sự hiệu quả, phần mềm EKM bạn chọn phải có khả năng xử lý bất kỳ loại khóa nào.

  12 phần mềm hoạt hình tốt nhất để tạo video giải thích

Quản lý khóa mã hóa linh hoạt và hiệu quả là điều cần thiết khi các công ty kết hợp hệ thống đám mây với hệ thống ảo và tại chỗ.

Làm cứng BYOE với HSM

Mô-đun bảo mật phần cứng, hoặc HSM, là một thiết bị bảo mật vật lý được sử dụng để thực hiện các hoạt động mật mã một cách nhanh chóng và bảo mật tối đa. Các hoạt động mật mã như vậy bao gồm mã hóa, quản lý khóa, giải mã và xác thực.

HSM được thiết kế để tạo sự tin cậy và mạnh mẽ tối đa và lý tưởng để bảo vệ dữ liệu đã được phân loại. Chúng có thể được triển khai dưới dạng thẻ PCI Express, thiết bị độc lập với giao diện mạng Ethernet hoặc đơn giản là thiết bị USB bên ngoài.

Họ có hệ điều hành riêng, được thiết kế đặc biệt để tối đa hóa bảo mật và quyền truy cập của họ vào mạng được bảo vệ bởi tường lửa.

Khi bạn sử dụng HSM kết hợp với BYOE, HSM đảm nhận vai trò proxy giữa các ứng dụng kinh doanh của bạn và hệ thống lưu trữ của CSP, đảm nhận tất cả các quá trình xử lý mật mã cần thiết.

Bằng cách sử dụng HSM cho các tác vụ mã hóa, bạn đảm bảo rằng các tác vụ này không gây ra độ trễ khó chịu cho hoạt động bình thường của các ứng dụng của bạn. Ngoài ra, với HSM, bạn giảm thiểu khả năng người dùng trái phép can thiệp vào việc quản lý khóa hoặc thuật toán mã hóa của bạn.

Tìm kiếm các tiêu chuẩn

Khi áp dụng sơ đồ bảo mật BYOE, bạn nên xem CSP của bạn có thể làm gì. Như chúng ta đã thấy trong suốt bài viết này, để dữ liệu của bạn thực sự an toàn trong cơ sở hạ tầng của CSP, CSP phải đảm bảo rằng bạn có thể cài đặt phần mềm mã hóa hoặc HSM của riêng mình cùng với các ứng dụng của bạn, dữ liệu sẽ được mã hóa trong kho của CSP, và rằng bạn và không ai khác sẽ có quyền truy cập vào các khóa mã hóa.

Bạn cũng có thể khám phá một số giải pháp môi giới bảo mật truy cập đám mây tốt nhất để mở rộng hệ thống bảo mật tại chỗ của tổ chức.

x