What is bring your own key (BYOK)?

Com frequência, um provedor de serviços em nuvem controla as chaves de criptografia que fornecem proteção de dados para os ativos hospedados na nuvem de uma organização. No entanto, em um modelo BYOK, a organização controla suas próprias chaves de criptografia, de modo que nenhuma entidade externa possa acessar seus dados na nuvem sem sua autorização.

As chaves de criptografia transformam texto simples em texto cifrado ilegível para proteger dados confidenciais contra acesso não autorizado. Elas também podem descriptografar o texto cifrado e convertê-lo novamente em um formato legível para usuários autorizados.

O BYOK ajuda a garantir que as chaves de criptografia sejam gerenciadas de acordo com as políticas de segurança de uma organização e estejam alinhadas a padrões do setor, como as diretrizes do NIST e a FIPS 140-2, independentemente do provedor de nuvem.

A maioria dos principais provedores de nuvem, incluindo IBM Cloud, Microsoft Azure, Amazon Web Services (AWS) e Google Cloud, oferece BYOK aos seus clientes.

O BYOK normalmente segue um processo chamado “criptografia de envelope”, que usa uma hierarquia de chaves para proteger dados. Essa função é gerenciada pelo sistema de gerenciamento de chaves (KMS) do provedor de nuvem, que é um serviço seguro que cria, armazena e controla o acesso às chaves de criptografia.

A seguir estão as etapas básicas do BYOK.

O cliente gera uma chave mestra em seu próprio ambiente, muitas vezes usando um módulo de segurança de hardware no local (HSM) para maior segurança. O HSM é um dispositivo resistente à adulteração que gera e armazena com segurança chaves criptográficas.

Usando uma chave pública fornecida pelo provedor de nuvem, o cliente criptografa sua chave mestra para protegê-la durante a transmissão. A chave mestra é então importada para o serviço de gerenciamento de chaves do provedor de nuvem por meio de uma interface de programação de aplicativos (API) segura. A chave normalmente é armazenada no próprio módulo de segurança de hardware do provedor de nuvem.

O KMS do provedor de nuvem gera uma chave temporária de criptografia de dados (DEK), de uso único. Essa chave é usada para criptografar os dados do cliente. A chave mestra do cliente é então usada para criptografar a DEK. O resultado é uma DEK criptografada (EDEK). A EDEK é armazenada junto com os dados criptografados, enquanto a DEK é descartada da memória.

Quando o cliente precisa acessar os dados, o processo é revertido. O provedor de nuvem recupera os dados criptografados e a EDEK. O KMS do provedor de nuvem usa a chave mestra do cliente para descriptografar a EDEK, recuperando a DEK. A DEK é então usada para descriptografar os dados para que o cliente possa acessá-los.

Considere uma empresa de serviços financeiros que deseja mover os históricos de transações de clientes, detalhes de contas e outros registros sensíveis para uma nuvem pública. No entanto, devido a regulamentações rigorosas do setor, como o Padrão de segurança de dados do setor de cartões de pagamento (PCI DSS), a empresa não pode ceder o controle de suas chaves de criptografia a terceiros.

Com o BYOK, a empresa pode usar suas próprias chaves de criptografia para manter controle rigoroso sobre seus dados, mesmo que eles estejam armazenados na infraestrutura do provedor de nuvem. Como um invasor não teria acesso à chave mestra necessária para descriptografar os dados, o risco de uma violação de dados é minimizado. A empresa também pode comprovar aos órgãos reguladores que detém controle total sobre as chaves que protegem os dados dos clientes.

A criptografia de dados é uma ferramenta central para a proteção de informações sensíveis, especialmente aquelas armazenadas e processadas na nuvem. De acordo com o relatório do custo das violações de dados da IBM, organizações que utilizam criptografia podem reduzir o impacto financeiro de uma violação de dados em mais de USD 200.000.

O BYOK aprimora ainda mais a proteção de dados ao oferecer às organizações controle direto sobre as chaves de criptografia usadas para proteger dados sensíveis na nuvem. Esse controle reduz o risco de acesso não autorizado a dados criptografados ao impedir que provedores de nuvem ou terceiros descriptografem os dados.

Muitas empresas usam o BYOK para proteger dados sensíveis de clientes armazenados em uma plataforma de software como serviço (SaaS), como o Salesforce.

Regulamentos como a Lei de portabilidade e responsabilidade de planos de saúde (HIPAA), o Regulamento Geral de Proteção de Dados (GDPR) ee o PCI DSS frequentemente exigem controle rigoroso sobre o acesso aos dados e as práticas de criptografia. Ao usar suas próprias chaves, as organizações podem ajudar a garantir que atendam a esses padrões e manter trilhas de auditoria para acesso e uso das chaves.

Provedores de serviços de saúde costumam usar o BYOK ao criptografar registros de pacientes, o que os ajuda a demonstrar conformidade com a HIPAA ao garantir que apenas partes autorizadas possam descriptografar os dados.

Em ambientes de multinuvem e nuvem híbrida, o BYOK ajuda as organizações a centralizar o gerenciamento de chaves entre plataformas, mantendo consistência e controle sem depender do sistema de chaves separado de cada provedor de serviços em nuvem.

Por exemplo, uma empresa que usa AWS, Azure e Google Cloud pode gerenciar centralmente as chaves de criptografia para todas as plataformas, reduzindo a complexidade e melhorando a postura de segurança.

Para empresas de SaaS e outros fornecedores, oferecer BYOK envia um sinal aos clientes de que levam a sério a privacidade e a propriedade dos dados. Esse sinal é importante para clientes corporativos e setores regulamentados, nos quais a transparência é um componente crítico da segurança.

Como o cliente é o proprietário da chave mestra em um modelo BYOK, ele é responsável por todo o gerenciamento de seu ciclo de vida. Esse ciclo de vida inclui uma série de tarefas contínuas para ajudar a manter a segurança e a integridade da chave. As organizações frequentemente automatizam essas tarefas para reduzir a sobrecarga operacional e minimizar o risco de erro humano.

As organizações substituem regularmente as chaves de criptografia por novas para reduzir o risco de acesso não autorizado, exposição ou roubo. Limitar a vida útil de uma chave ajuda a melhorar a segurança na nuvem.

Fazer backup seguro das chaves mestras é essencial para evitar a perda de dados caso a chave original seja perdida ou corrompida. Sem uma chave mestra válida, os dados criptografados podem se tornar permanentemente inacessíveis.

Monitorar o uso de chaves por meio de logs de auditoria ajuda a detectar acesso não autorizado aos dados ou uso indevido. Auditar políticas de gerenciamento de chaves também ajuda a verificar a conformidade com requisitos regulatórios como o GDPR e a HIPAA.

Ter um plano claro e documentado ajuda as organizações a se prepararem para situações como a exclusão acidental de uma chave, falhas de hardware ou ataques cibernéticos. Como os provedores de nuvem não podem recuperar a chave mestra, cabe à organização estar preparada.

Bring your own key (BYOK) e hold your own key (HYOK) oferecem às organizações mais controle sobre a criptografia, mas diferem na forma e no local em que as chaves são armazenadas e gerenciadas.

Com o BYOK, a organização cria e é proprietária das chaves de criptografia, mas as carrega no sistema de gerenciamento de chaves do provedor de nuvem para uso com serviços de nuvem.

Com o HYOK, a organização mantém as chaves de criptografia inteiramente em seu próprio ambiente e nunca as compartilha com o provedor de nuvem. Esse arranjo oferece um nível mais alto de controle e privacidade, mas é mais complexo de gerenciar e não é compatível com todos os serviços em nuvem.

O BYOK oferece conveniência com controle, enquanto o HYOK oferece controle máximo, porém com mais responsabilidade.