Traiga su propia clave (BYOK) es un enfoque de gestión de claves de cifrado donde los clientes de un servicio en la nube generan y gestionan sus propias claves de cifrado. En entornos de cloud computing, BYOK ofrece a las organizaciones un mayor control sobre la seguridad de datos, la visibilidad y los requisitos de cumplimiento.
A menudo, un proveedor de servicios en la nube controla las claves de cifrado que proporcionan protección de datos para los activos alojados en la nube de una organización. Sin embargo, en un modelo BYOK, la organización controla sus propias claves de cifrado para que ninguna entidad externa pueda acceder a sus datos en la nube sin su autorización.
Las claves de cifrado transforman el texto plano en texto cifrado ilegible para proteger los datos sensibles de accesos no autorizados. También pueden volver a descifrar el texto cifrado para que los usuarios autorizados puedan leerlo.
BYOK ayuda a garantizar que las claves de cifrado se gestionen de acuerdo con las políticas de seguridad de una organización y estén alineadas con los estándares del sector, como las directrices del NIST y FIPS 140-2, independientemente del proveedor de servicios en la nube.
La mayoría de los principales proveedores de servicios en la nube, incluidos IBM® Cloud, Microsoft Azure, Amazon Web Services (AWS) y Google Cloud, ofrecen BYOK a sus clientes.
Únase a los líderes de seguridad que confían en el boletín Think para obtener noticias seleccionadas sobre IA, ciberseguridad, datos y automatización. Aprenda rápidamente de tutoriales de expertos y artículos explicativos, directamente en su bandeja de entrada. Consulte la Declaración de privacidad de IBM.
BYOK suele seguir un proceso llamado "cifrado de sobre", que utiliza una jerarquía de claves para proteger los datos. Esta función está gestionada por el sistema de gestión de claves (KMS) del proveedor de servicios en la nube, que es un servicio seguro que crea, almacena y controla el acceso a las claves de cifrado.
Estos son los pasos básicos para BYOK.
El cliente genera una clave maestra en su propio entorno, a menudo utilizando un módulo de seguridad de hardware (HSM) on-premises para mejorar la seguridad. El HSM es un dispositivo a prueba de manipulaciones que genera y almacena claves criptográficas de forma segura.
Con una clave pública proporcionada por el proveedor de servicios en la nube, el cliente cifra su clave maestra para protegerla durante el tránsito. A continuación, la clave maestra se importa al servicio de gestión de claves del proveedor de servicios en la nube a través de una interfaz de programación de aplicaciones (API) segura. La clave suele almacenarse en el propio módulo de seguridad de hardware del proveedor de servicios en la nube.
El KMS del proveedor de servicios en la nube genera una clave temporal de cifrado de datos (DEK) de un solo uso. Esta clave se utiliza para cifrar los datos del cliente. La clave maestra del cliente se utiliza entonces para cifrar el DEK. El resultado es una DEK cifrada (EDEK). La EDEK se almacena junto con los datos cifrados, mientras que la DEK se descarta de la memoria.
Cuando el cliente necesita acceder a los datos, el proceso se invierte. El proveedor de servicios en la nube recupera los datos cifrados y la EDEK. El KMS del proveedor de servicios en la nube utiliza la clave maestra del cliente para descifrar la EDEK, recuperando la DEK. A continuación, se utiliza la DEK para desencriptar los datos y que el cliente pueda acceder a ellos.
Piense en una empresa de servicios financieros que quiere mover a una nube pública los historiales de transacciones de sus clientes, los detalles de sus cuentas y otros registros sensibles. Sin embargo, debido a las estrictas regulaciones de la industria, como el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), no puede ceder el control de sus claves de cifrado a un tercero.
Con BYOK, la empresa puede utilizar sus propias claves de cifrado para mantener un control estricto sobre sus datos, aunque estén almacenados en la infraestructura del proveedor de servicios en la nube. Dado que un atacante no tendría acceso a la clave maestra necesaria para descifrar los datos, se minimiza el riesgo de una vulneración de datos. La empresa también puede demostrar a los reguladores que tiene pleno control sobre las claves que aseguran los datos de los clientes.
El cifrado de datos es una herramienta fundamental para proteger la información sensible, especialmente la almacenada y procesada en la nube. Según el informe Cost of a Data Breach de IBM, las organizaciones que utilizan el cifrado pueden reducir el impacto financiero de una vulneración de datos en más de 200 000 USD.
BYOK mejora aún más la protección de datos al otorgar a las organizaciones control directo sobre las claves de cifrado utilizadas para proteger datos sensibles en la nube. Este control reduce el riesgo de acceso no autorizado a los datos cifrados al impedir que los proveedores de servicios en la nube o terceros descifren los datos.
Muchas empresas utilizan BYOK para proteger datos sensibles de clientes almacenados en una plataforma de software como servicio (SaaS) como Salesforce.
Regulaciones como la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA), el Reglamento General de Protección de Datos (RGPD) y el PCI DSS a menudo requieren un control estricto sobre el acceso a los datos y las prácticas de cifrado. Al utilizar sus propias llaves, las organizaciones pueden ayudar a garantizar que cumplen estos estándares y mantener registros de auditoría para el acceso y uso de las claves.
Los proveedores de asistencia sanitaria suelen utilizar BYOK al cifrar los registros de los pacientes, lo que les ayuda a demostrar el cumplimiento de la HIPAA al garantizar que solo las partes autorizadas puedan descifrar los datos.
En entornos multinube y de nube híbrida, BYOK ayuda a las organizaciones a centralizar la gestión de claves entre plataformas, manteniendo la coherencia y el control sin depender del sistema de claves separado de cada proveedor de servicios en la nube.
Por ejemplo, una empresa que utilice AWS, Azure y Google Cloud puede gestionar de forma centralizada las claves de cifrado de todas las plataformas, lo que reduce la complejidad y mejora la posición de seguridad.
Para las empresas de SaaS y otros proveedores, ofrecer BYOK envía una señal a los clientes de que se toman en serio la protección de datos y la propiedad de los datos. Esta señal es importante para los clientes empresariales y los sectores regulados, donde la transparencia es un componente crítico de la seguridad.
Dado que el cliente posee la clave maestra en un modelo BYOK, es responsable de la gestión completa de su ciclo de vida. Este ciclo de vida incluye una serie de tareas continuas para ayudar a mantener la seguridad y la integridad de la clave. Las organizaciones suelen automatizar estas tareas para reducir la sobrecarga operativa y minimizar el riesgo de error humano.
Las organizaciones sustituyen periódicamente las claves de cifrado por otras nuevas para reducir el riesgo de acceso no autorizado, exposición o robo. Limitar la vida útil de una clave ayuda a mejorar la seguridad de la nube.
Hacer una copia de seguridad segura de las claves maestras es esencial para evitar la pérdida de datos en caso de que la clave original se pierda o se corrompa. Sin una clave maestra válida, los datos cifrados pueden volverse permanentemente inaccesibles.
La monitorización del uso de claves a través de registros de auditoría ayuda a detectar el acceso a datos no autorizado o el uso indebido de datos. La auditoría de las políticas de gestión de claves también ayuda a comprobar el cumplimiento de los requisitos reglamentarios, como el RGPD y la HIPAA.
Disponer de un plan claro y documentado ayuda a las organizaciones a prepararse para situaciones como el borrado accidental de una clave, fallos de hardware o ciberataques. Como los proveedores de servicios en la nube no pueden recuperar la clave maestra, la organización debe estar preparada.
Tanto el modelo "traiga su propia clave" (BYOK) como el modelo "conserve su propia clave" (HYOK) proporcionan a las organizaciones un mayor control sobre el cifrado, pero difieren en cómo y dónde se almacenan y gestionan las claves.
Con BYOK, la organización crea y es propietaria de las claves de cifrado, pero las sube al sistema de gestión de claves del proveedor de servicios en la nube para utilizarlas con los servicios cloud.
Con HYOK, la organización conserva las claves de cifrado íntegramente en su propio entorno y nunca las comparte con el proveedor de servicios en la nube. Esta disposición ofrece un mayor nivel de control y privacidad, pero es más compleja de gestionar y no todos los servicios cloud la admiten.
BYOK ofrece comodidad con control, mientras que HYOK ofrece el máximo control pero con más responsabilidad.