Cos'è il Bring Your Own Key (BYOK)?

By Matthew Kosinski , Gregg Lindemulder

Che cos'è il BYOK?

Il Bring Your Own Key (BYOK) è un approccio di gestione delle chiavi di crittografia dove i clienti di un Cloud Service Provider (CSP) generano le proprie chiavi. Negli ambienti di cloud computing il BYOK offre alle organizzazioni un maggiore controllo sulla sicurezza dei dati, sulla visibilità e sui requisiti di conformità.

Spesso, un fornitore di servizi cloud controlla le chiavi di crittografia che garantiscono la protezione dei dati per gli asset ospitati sul cloud da un'organizzazione. Tuttavia, in un modello BYOK, l'organizzazione controlla le proprie chiavi di crittografia in modo che nessuna entità esterna possa accedere ai propri dati cloud senza la sua autorizzazione.

Le chiavi di crittografia trasformano il normale testo in testo cifrato illeggibile per proteggere i dati sensibili da accessi non autorizzati. Possono anche decifrare il testo crittografato in forma leggibile per gli utenti autorizzati.

Il BYOK aiuta a garantire che le chiavi di crittografia siano gestite secondo le politiche di sicurezza dell'organizzazione e siano allineate agli standard di settore come le linee guida NIST e FIPS 140-2, indipendentemente dal provider di cloud.

La maggior parte dei principali provider di cloud, inclusi IBM Cloud, Microsoft Azure, Amazon Web Services (AWS) e Google cloud, offre il BYOK ai propri clienti.

Il tuo team sarebbe in grado di rilevare in tempo il prossimo zero-day?

Unisciti ai leader della sicurezza che si affidano alla newsletter Think per ricevere notizie selezionate su AI, cybersecurity, dati e automazione. Impara velocemente da tutorial e articoli informativi consegnati direttamente nella tua casella di posta. Leggi l'Informativa sulla privacy IBM.

Come funziona il BYOK?

Il BYOK segue in genere un processo chiamato "envelope encryption", che utilizza una gerarchia di chiavi per proteggere i dati. Questa funzione è gestita dal sistema di gestione delle chiavi (KMS) del provider di cloud, un servizio sicuro che crea, memorizza e controlla l'accesso alle chiavi di crittografia.

Ecco i passaggi fondamentali per il BYOK.

Genera una chiave master

Il cliente genera una chiave master nel proprio ambiente, spesso utilizzando un modulo di sicurezza hardware (HSM) on-premise per una maggiore sicurezza. L'HSM è un dispositivo resistente alle manomissioni che genera e memorizza in modo sicuro le chiavi crittografiche.

Trasferisci la chiave

Utilizzando una chiave pubblica fornita dal provider di cloud, il cliente crittografa la propria chiave principale per proteggerla durante il transito. La chiave master viene poi importata nel servizio di gestione delle chiavi del provider cloud attraverso un'application programming interface (API) sicura. La chiave è tipicamente memorizzata nel modulo di sicurezza hardware del provider di cloud.

Crittografare i dati dei clienti

Il provider di cloud KMS genera una chiave temporanea di crittografia dei dati (DEK) monouso. Questa chiave viene utilizzata per crittografare i dati del cliente. La chiave master del cliente viene quindi utilizzata per crittografare il DEK e il risultato è un DEK crittografato (EDEK). L'EDEK viene memorizzato insieme ai dati crittografati, mentre il DEK viene eliminato dalla memoria.

Decrittografare i dati

Quando il cliente ha bisogno di accedere ai dati, il processo viene invertito. Il provider di cloud recupera i dati criptati e l'EDEK. Il KMS del provider di cloud utilizza la chiave principale del cliente per decriptare l'EDEK, recuperando il DEK. Il DEK viene poi utilizzato per decifrare i dati affinché il cliente possa accedervi.

Esempio: BYOK in azione

Consideriamo una società di servizi finanziari che vuole spostare la cronologia delle transazioni dei clienti, i dettagli dei conti e altri documenti sensibili su un cloud pubblico. Tuttavia, a causa di rigide normative dei settori come il Payment Card Industry Data Security Standard (PCI DSS), non può cedere il controllo delle proprie chiavi di crittografia a terze parti.

Con il BYOK, l'azienda può utilizzare le proprie chiavi di crittografia per mantenere un controllo rigoroso sui propri dati, anche se sono memorizzati sull'infrastruttura del provider di cloud. Poiché un malintenzionato non avrebbe accesso alla chiave principale necessaria per decifrare i dati, il rischio di violazione dei dati è ridotto al minimo. L'azienda può anche dimostrare agli enti normativi di avere il pieno controllo sulle chiavi che proteggono i dati dei clienti.

Benefici del BYOK

Protezione dei dati

La crittografia dei dati è uno strumento fondamentale per proteggere le informazioni sensibili, soprattutto quelle memorizzate e processate nel cloud. Secondo il Report Cost of a Data Breach di IBM®, le organizzazioni che utilizzano la crittografia possono ridurre l'impatto finanziario di una violazione dei dati di oltre 200.000 USD.

Il BYOK migliora ulteriormente la protezione dei dati offrendo alle organizzazioni il controllo diretto sulle chiavi di crittografia utilizzate per proteggere i dati sensibili nel cloud. Questo controllo riduce il rischio di accesso non autorizzato ai dati crittografati impedendo ai provider di cloud o a terze parti di decrittografare i dati.

Molte aziende utilizzano il BYOK per proteggere i dati sensibili dei clienti archiviati su una piattaforma software-as-a-service (SaaS) come Salesforce.

Conformità normativa

Regolamenti come l'Health Insurance Portability and Accountability Act (HIPAA), il regolamento generale sulla protezione dei dati (RGPD) e il PCI DSS spesso richiedono un rigoroso controllo sulle pratiche di accesso ai dati e di crittografia. Utilizzando le proprie chiavi, le organizzazioni contribuiscono a garantire il rispetto di questi standard e a mantenere le tracce di controllo per l'accesso e l'utilizzo delle chiavi.

Gli operatori sanitari spesso utilizzano il BYOK per criptare i dati dei pazienti, il che li aiuta a dimostrare la conformità all'HIPAA assicurandosi che solo le parti autorizzate possano decriptare i dati.

Gestione delle chiavi multicloud

In ambienti multicloud e hybrid cloud, il BYOK aiuta le organizzazioni a centralizzare la gestione delle chiavi su tutte le piattaforme, mantenendo coerenza e controllo senza dipendere dal sistema di chiavi separato di ogni fornitore di servizi cloud.

Ad esempio, un'azienda che utilizza AWS, Azure e Google cloud può gestire centralmente le chiavi di crittografia per tutte le piattaforme, riducendo la complessità e migliorando il livello di sicurezza.

Maggiore fiducia

Per le aziende SaaS e altri fornitori, offrire il BYOK invia un segnale ai clienti che prendono sul serio la privacy dei dati. Questo segnale è importante per i clienti aziendali e settori regolamentati dove la trasparenza è un componente critico della sicurezza.

Attività in corso per il BYOK

Poiché il cliente possiede la chiave master in un modello BYOK, è responsabile della gestione dell'intero ciclo di vita. Questo ciclo di vita comprende una serie di attività continue che aiutano a mantenere la sicurezza e l'integrità della chiave. Le organizzazioni spesso automatizzano queste attività per ridurre il sovraccarico operativo e minimizzare il rischio di errore umano.

Rotazione delle chiavi

Le organizzazioni sostituiscono regolarmente le chiavi di crittografia con altre nuove per ridurre il rischio di accesso non autorizzato, esposizione o furto. Limitare la durata di una chiave aiuta a migliorare la sicurezza del cloud.

Backup delle chiavi

Il backup sicuro delle chiavi master è essenziale per prevenire la perdita di dati nel caso in cui la chiave originale venga persa o danneggiata. Senza una chiave master valida, i dati criptati possono diventare inaccessibili per sempre.

Processo di audit

Monitorare l'utilizzo delle chiavi tramite log di audit aiuta a rilevare accessi o usi impropri non autorizzati ai dati. L'audit delle politiche di gestione principale aiuta anche a verificare la conformità ai requisiti normativi come l'RGPD e l'HIPAA.

Pianificazione del recupero

Avere un piano chiaro e documentato aiuta le organizzazioni a prepararsi a situazioni come la cancellazione accidentale di una chiave, guasti hardware o attacchi informatici. Poiché i provider di cloud non possono recuperare la chiave master, spetta all'organizzazione essere preparata.

BYOK e HYOK a confronto

Il Bring Your Own Key (BYOK) e Hold Your Own Key (HYOK) offrono entrambi un maggiore controllo sulla crittografia alle organizzazioni, ma differiscono nel modo e nel luogo in cui le chiavi vengono memorizzate e gestite.

Con il BYOK, l'organizzazione crea e possiede le chiavi di crittografia ma le carica nel sistema di gestione delle chiavi del provider di cloud per utilizzarle con i servizi cloud.

Con l'HYOK, l'organizzazione mantiene le chiavi di crittografia interamente nel proprio ambiente e non le condivide mai con il provider di cloud. Questa configurazione offre un livello più alto di controllo e privacy, ma è più complessa da gestire e non supportata da tutti i servizi cloud.

Il BYOK offre praticità e controllo, mentre l'HYOK offre il massimo controllo ma con maggiore responsabilità.

Autori

Gregg Lindemulder

Staff Writer

IBM Think

Matthew Kosinski

Staff Editor

IBM Think

Risorse

Agent Ops e AI responsabile

Partecipa a questo webinar per esplorare le strategie pratiche per operare e governare responsabilmente gli agenti AI su larga scala, con gli insight degli esperti su observability, gestione del rischio e operazioni di AI responsabili.
Scopri perché KuppingerCole classifica IBM come azienda leader

Il report sulle piattaforme di sicurezza dei dati di KuppingerCole offre indicazioni e consigli per trovare i prodotti per la protezione e la governance dei dati sensibili che meglio soddisfano le esigenze dei clienti.
Webinar Guardium

Scopri dai nostri webinar come proteggere i dati durante il loro ciclo di vita.
The Total Economic Impact (TEI) di Guardium Data Protection

Scopri i benefici e il ROI di IBM Guardium Data Protection in questo studio TEI di Forrester.
Gartner Market Guide for AI TRiSM

Accedi a questo report di Gartner per scoprire come gestire l'inventario completo dell'AI, proteggere i tuoi workload AI con misure di sicurezza, ridurre i rischi e gestire il processo di governance per ottenere la fiducia nell'AI in tutti i casi d'uso di AI della tua organizzazione.
Espandi le tue competenze con tutorial gratuiti sulla sicurezza

Segui passaggi chiari per completare le attività e imparare a utilizzare efficacemente le tecnologie nei tuoi progetti.
Che cos'è la gestione delle identità e degli accessi (IAM)?

La gestione delle identità e degli accessi (IAM) è una branca di cybersecurity che si occupa dell'accesso degli utenti e delle autorizzazioni delle risorse.
Soluzioni correlate
IBM Guardium

Proteggi i dati più critici: scopri, monitora e proteggi le informazioni sensibili in diversi ambienti, automatizzando la conformità e riducendo i rischi.

         Esplora IBM Guardium
    Soluzioni per la sicurezza dei dati

    Proteggi i dati ovunque si trovino: individua, classifica, monitora e metti in sicurezza le informazioni sensibili in tutto il tuo ambiente.

             Scopri le soluzioni per la sicurezza dei dati
      Servizi per la sicurezza dei dati

      IBM offre servizi completi di sicurezza dei dati per proteggere i dati aziendali, le applicazioni e l'AI.

             Scopri i servizi per la sicurezza dei dati
      Fasi successive

      Proteggi i dati sensibili e rafforza i controlli sulla privacy in ambienti ibridi con monitoraggio centralizzato e riduzione automatica dei rischi.

      1. Esplora IBM Guardium
      2. Scopri le soluzioni per la sicurezza dei dati