Cos'è il Bring Your Own Key (BYOK)?

Spesso, un fornitore di servizi cloud controlla le chiavi di crittografia che garantiscono la protezione dei dati per gli asset ospitati sul cloud da un'organizzazione. Tuttavia, in un modello BYOK, l'organizzazione controlla le proprie chiavi di crittografia in modo che nessuna entità esterna possa accedere ai propri dati cloud senza la sua autorizzazione.

Le chiavi di crittografia trasformano il normale testo in testo cifrato illeggibile per proteggere i dati sensibili da accessi non autorizzati. Possono anche decifrare il testo crittografato in forma leggibile per gli utenti autorizzati.

Il BYOK aiuta a garantire che le chiavi di crittografia siano gestite secondo le politiche di sicurezza dell'organizzazione e siano allineate agli standard di settore come le linee guida NIST e FIPS 140-2, indipendentemente dal provider di cloud.

La maggior parte dei principali provider di cloud, inclusi IBM Cloud, Microsoft Azure, Amazon Web Services (AWS) e Google cloud, offre il BYOK ai propri clienti.

Il BYOK segue in genere un processo chiamato "envelope encryption", che utilizza una gerarchia di chiavi per proteggere i dati. Questa funzione è gestita dal sistema di gestione delle chiavi (KMS) del provider di cloud, un servizio sicuro che crea, memorizza e controlla l'accesso alle chiavi di crittografia.

Ecco i passaggi fondamentali per il BYOK.

Il cliente genera una chiave master nel proprio ambiente, spesso utilizzando un modulo di sicurezza hardware (HSM) on-premise per una maggiore sicurezza. L'HSM è un dispositivo resistente alle manomissioni che genera e memorizza in modo sicuro le chiavi crittografiche.

Utilizzando una chiave pubblica fornita dal provider di cloud, il cliente crittografa la propria chiave principale per proteggerla durante il transito. La chiave master viene poi importata nel servizio di gestione delle chiavi del provider cloud attraverso un'application programming interface (API) sicura. La chiave è tipicamente memorizzata nel modulo di sicurezza hardware del provider di cloud.

Il provider di cloud KMS genera una chiave temporanea di crittografia dei dati (DEK) monouso. Questa chiave viene utilizzata per crittografare i dati del cliente. La chiave master del cliente viene quindi utilizzata per crittografare il DEK e il risultato è un DEK crittografato (EDEK). L'EDEK viene memorizzato insieme ai dati crittografati, mentre il DEK viene eliminato dalla memoria.

Quando il cliente ha bisogno di accedere ai dati, il processo viene invertito. Il provider di cloud recupera i dati criptati e l'EDEK. Il KMS del provider di cloud utilizza la chiave principale del cliente per decriptare l'EDEK, recuperando il DEK. Il DEK viene poi utilizzato per decifrare i dati affinché il cliente possa accedervi.

Consideriamo una società di servizi finanziari che vuole spostare la cronologia delle transazioni dei clienti, i dettagli dei conti e altri documenti sensibili su un cloud pubblico. Tuttavia, a causa di rigide normative dei settori come il Payment Card Industry Data Security Standard (PCI DSS), non può cedere il controllo delle proprie chiavi di crittografia a terze parti.

Con il BYOK, l'azienda può utilizzare le proprie chiavi di crittografia per mantenere un controllo rigoroso sui propri dati, anche se sono memorizzati sull'infrastruttura del provider di cloud. Poiché un malintenzionato non avrebbe accesso alla chiave principale necessaria per decifrare i dati, il rischio di violazione dei dati è ridotto al minimo. L'azienda può anche dimostrare agli enti normativi di avere il pieno controllo sulle chiavi che proteggono i dati dei clienti.

La crittografia dei dati è uno strumento fondamentale per proteggere le informazioni sensibili, soprattutto quelle memorizzate e processate nel cloud. Secondo il Report Cost of a Data Breach di IBM®, le organizzazioni che utilizzano la crittografia possono ridurre l'impatto finanziario di una violazione dei dati di oltre 200.000 USD.

Il BYOK migliora ulteriormente la protezione dei dati offrendo alle organizzazioni il controllo diretto sulle chiavi di crittografia utilizzate per proteggere i dati sensibili nel cloud. Questo controllo riduce il rischio di accesso non autorizzato ai dati crittografati impedendo ai provider di cloud o a terze parti di decrittografare i dati.

Molte aziende utilizzano il BYOK per proteggere i dati sensibili dei clienti archiviati su una piattaforma software-as-a-service (SaaS) come Salesforce.

Regolamenti come l'Health Insurance Portability and Accountability Act (HIPAA), il regolamento generale sulla protezione dei dati (RGPD) e il PCI DSS spesso richiedono un rigoroso controllo sulle pratiche di accesso ai dati e di crittografia. Utilizzando le proprie chiavi, le organizzazioni contribuiscono a garantire il rispetto di questi standard e a mantenere le tracce di controllo per l'accesso e l'utilizzo delle chiavi.

Gli operatori sanitari spesso utilizzano il BYOK per criptare i dati dei pazienti, il che li aiuta a dimostrare la conformità all'HIPAA assicurandosi che solo le parti autorizzate possano decriptare i dati.

In ambienti multicloud e hybrid cloud, il BYOK aiuta le organizzazioni a centralizzare la gestione delle chiavi su tutte le piattaforme, mantenendo coerenza e controllo senza dipendere dal sistema di chiavi separato di ogni fornitore di servizi cloud.

Ad esempio, un'azienda che utilizza AWS, Azure e Google cloud può gestire centralmente le chiavi di crittografia per tutte le piattaforme, riducendo la complessità e migliorando il livello di sicurezza.

Per le aziende SaaS e altri fornitori, offrire il BYOK invia un segnale ai clienti che prendono sul serio la privacy dei dati. Questo segnale è importante per i clienti aziendali e settori regolamentati dove la trasparenza è un componente critico della sicurezza.

Poiché il cliente possiede la chiave master in un modello BYOK, è responsabile della gestione dell'intero ciclo di vita. Questo ciclo di vita comprende una serie di attività continue che aiutano a mantenere la sicurezza e l'integrità della chiave. Le organizzazioni spesso automatizzano queste attività per ridurre il sovraccarico operativo e minimizzare il rischio di errore umano.

Le organizzazioni sostituiscono regolarmente le chiavi di crittografia con altre nuove per ridurre il rischio di accesso non autorizzato, esposizione o furto. Limitare la durata di una chiave aiuta a migliorare la sicurezza del cloud.

Il backup sicuro delle chiavi master è essenziale per prevenire la perdita di dati nel caso in cui la chiave originale venga persa o danneggiata. Senza una chiave master valida, i dati criptati possono diventare inaccessibili per sempre.

Monitorare l'utilizzo delle chiavi tramite log di audit aiuta a rilevare accessi o usi impropri non autorizzati ai dati. L'audit delle politiche di gestione principale aiuta anche a verificare la conformità ai requisiti normativi come l'RGPD e l'HIPAA.

Avere un piano chiaro e documentato aiuta le organizzazioni a prepararsi a situazioni come la cancellazione accidentale di una chiave, guasti hardware o attacchi informatici. Poiché i provider di cloud non possono recuperare la chiave master, spetta all'organizzazione essere preparata.

Il Bring Your Own Key (BYOK) e Hold Your Own Key (HYOK) offrono entrambi un maggiore controllo sulla crittografia alle organizzazioni, ma differiscono nel modo e nel luogo in cui le chiavi vengono memorizzate e gestite.

Con il BYOK, l'organizzazione crea e possiede le chiavi di crittografia ma le carica nel sistema di gestione delle chiavi del provider di cloud per utilizzarle con i servizi cloud.

Con l'HYOK, l'organizzazione mantiene le chiavi di crittografia interamente nel proprio ambiente e non le condivide mai con il provider di cloud. Questa configurazione offre un livello più alto di controllo e privacy, ma è più complessa da gestire e non supportata da tutti i servizi cloud.

Il BYOK offre praticità e controllo, mentre l'HYOK offre il massimo controllo ma con maggiore responsabilità.