Bring Your Own Key (BYOK) es un sistema de gestión de llaves de cifrado que permite a las empresas cifrar sus datos y conservar el control y la gestión de sus llaves de cifrado. Sin embargo, algunas versiones de BYOK cargan las llaves de cifrado en la infraestructura de CSP (Cloud Service Provider). En estos casos, la empresa pierde el control de sus llaves.
Numerosos profesionales encargados en la seguridad de los datos creen que el cifrado es la mejor opción tecnológica para protegerte contra las infracciones. Sin embargo, las organizaciones que deciden trasladar sus datos a la nube a menudo se enfrentan a un dilema en lo que respecta al cifrado. Su proveedor de servicios en la nube CSP mantiene el acceso a sus llaves de cifrado y, en última instancia, a sus datos. Para las industrias y organizaciones altamente reguladas que almacenan datos confidenciales esto puede ser inquietante, e incluso, ir en contra de las regulaciones de cumplimiento.
La mejor alternativa es que cada cual posea su propia llave BYOK, también conocida como llaves de cifrado proporcionadas por el cliente (CSEK Customer Supplied Encryption Key). Consiste en un modelo de gestión de llaves de cifrado que permite a los clientes tomar el control total de sus llaves de cifrado cuando almacenan datos en la nube. Su principal ventaja es poder almacenar dichas llaves fuera de la nube, permitiendo así, la separación del bloqueo, es decir, separar el cifrado que proporciona el CSP de la llave (cifrado digital que se desea almacenar localmente). Esta separación de candado y llave se considera la mejor práctica cuando se trata de proteger los datos mediante cifrado.
¿Cómo funciona BYOK?
A estas alturas resulta evidente que el almacenamiento de datos en la nube alcanza muchos beneficios. No obstante, hasta el momento la filtración de datos ha representado una amenaza para todas las organizaciones, pues una vez que los datos de las empresas están en la nube ya no están bajo su control.
El concepto de BYOK permite que una organización retenga el control de las llaves de sus datos cifrados, completamente separados de los proveedores de la nube que utilizan para almacenar sus datos. Para lograr esto, la organización debe utilizar un tercero para generar llaves para cifrar y descifrar las llaves de cifrado de datos (DEK), producidas por el propio administrador de llaves del CSP. Una llave generada por un tercero y utilizada para cifrar la DEK de un CSP se conoce como llave de cifrado de llaves (KEK).
La KEK “envuelve” la DEK, asegurando que solo la organización que tiene el control y la propiedad de la KEK pueda descifrar la DEK y, por lo tanto, acceder a los datos almacenados en el CSP. Este procedimiento se denomina «ajuste de llaves».
Generalmente se tienen dos opciones cuando se considera a un tercero para generar la KEK y proporcionar la envoltura de llaves. En primer lugar, módulos de seguridad de hardware (HSM): piezas de hardware dedicadas que son muy seguras, pero también costosas y pueden requerir más tecnología para permitirles conectarse a la nube. La segunda opción es utilizar un sistema de gestión de llaves (KMS) basado en software instalado en servidores normales. Los beneficios de utilizar un KMS, basado en software: mayor flexibilidad, una administración más sencilla y, por lo general, un precio más bajo.
Actualmente, los CSP están analizando la posibilidad de que los materiales clave residan en la nube. Abordar esta preocupación ha implicado agregar capas externas adicionales a los esquemas BYOK para una mejor administración de llaves dentro de la interfaz del CSP y sin que éste almacene o controle la totalidad de las llaves. Un ejemplo de esto es el programa de administración de llaves externas (EKM) de Google Cloud. Este programa permite a los usuarios administrar el acceso a sus llaves administradas externamente, ya sea que los datos que protejan se encuentren en la nube o en las instalaciones.
¿Cuáles son los beneficios de BYOK?
La implementación de un modelo BYOK de administración de llaves de cifrado ofrece varios beneficios a las organizaciones:
Control
BYOK permite a las organizaciones recuperar el control de sus datos. Al posibilitar la separación de la cerradura y la llave, puede brindarle a la empresa u organización la capacidad de usar su propio software de administración de llaves de cifrado, para almacenarlas fuera de la nube.
Facilidad de manejo
Administrar cientos o miles de llaves de cifrado en múltiples plataformas diferentes (es decir, centro de datos, nube, nube múltiple) puede ser complejo y abrumador. Al implementar un modelo de cifrado BYOK, las organizaciones pueden administrar todas sus llaves de cifrado desde una única plataforma. Se centraliza la gestión de llaves, proporcionando una interfaz unificada para crear, rotar y archivar llaves de cifrado. Si tienen datos ubicados dentro de diferentes nubes (es decir, múltiples nubes), pueden consolidar la administración de esas nubes en un administrador llave.
Cumplimiento
En el momento que una organización almacena los datos y llaves de cifrado en la nube no puede administrar plenamente dichas llaves. Esta responsabilidad recae en el CSP. Se ha visto que muchas empresas de diferentes industrias deben cumplir con regulaciones específicas cuando se trata de administrar sus llaves de cifrado. Tienen que configurar políticas de control, como rotación y vencimiento de llaves. Cuando sus datos y cifrado residen en la nube es más difícil mantenerse al día con la administración del ciclo de vida de las llaves. Así que deben confiar en los CSP para mantenerse al día con las pautas de cumplimiento en torno a la gestión de llaves.
En Access Quality, contamos con soluciones para el cifrado de tu información para tu empresa.
Comunícate con nuestros especialistas en la Ciudad de México: // +52 55 1654 9001 o escríbenos a ventas@accessq.com.mx para mayor información. .