클라우드 서비스 공급자가 조직의 클라우드 호스팅 자산에 대한 데이터 보호를 제공하는 암호화 키를 제어하는 경우가 많습니다. 그러나 BYOK 모델에서는 조직이 자체 암호화 키를 제어하므로 어떤 외부 엔티티도 승인 없이는 클라우드 데이터에 액세스할 수 없습니다.
암호화 키는 평문을 읽을 수 없는 암호문으로 변환하여 민감한 데이터를 무단 접근으로부터 보호합니다. 또한 암호문을 복호화하여 권한이 있는 사용자가 읽을 수 있는 형태로 복원할 수도 있습니다.
BYOK는 클라우드 제공업체에 관계없이 암호화 키가 조직의 보안 정책에 따라 관리되고 NIST 지침 및 FIPS 140-2와 같은 업계 표준에 부합하도록 보장합니다.
IBM® Cloud, Microsoft Azure, Amazon Web Services(AWS), Google Cloud 등 대부분의 주요 클라우드 제공업체에서 고객에게 BYOK를 제공합니다.
Think 뉴스레터
Think 뉴스레터를 통해 AI, 사이버 보안, 데이터 및 자동화에 대한 선별된 뉴스를 제공하는 보안 리더들과 함께하세요. 받은 편지함으로 직접 제공되는 전문가 튜토리얼과 설명서를 통해 빠르게 배울 수 있습니다. IBM 개인정보 보호정책을 참고하세요.
구독한 뉴스레터는 영어로 제공됩니다. 모든 뉴스레터에는 구독 취소 링크가 있습니다. 여기에서 구독을 관리하거나 취소할 수 있습니다. 자세한 정보는 IBM 개인정보 보호정책 을 참조하세요.
고객은 보안 강화를 위해 온프레미스 하드웨어 보안 모듈(HSM)을 사용하여 자체 환경에서 마스터 키를 생성하는 경우가 많습니다. HSM은 암호화 키를 안전하게 생성하고 저장하는 변조 방지 디바이스입니다.
고객은 클라우드 제공업체가 제공한 공개 키를 사용하여 마스터 키를 암호화하여 전송 중에 보호합니다. 그런 다음 보안 애플리케이션 프로그래밍 인터페이스(API)를 통해 마스터 키를 클라우드 공급자의 키 관리 서비스로 가져옵니다. 이 키는 일반적으로 클라우드 제공업체의 자체 하드웨어 보안 모듈에 저장됩니다.
클라우드 제공업체의 KMS는 임시 일회용 데이터 암호화 키(DEK)를 생성합니다. 이 키는 고객의 데이터를 암호화하는 데 사용됩니다. 그런 다음 고객의 마스터 키를 사용하여 DEK를 암호화합니다. 그 결과 암호화된 DEK(EDEK)가 생성됩니다. EDEK는 암호화된 데이터와 함께 저장되고 DEK는 메모리에서 삭제됩니다.
고객이 데이터에 액세스해야 하는 경우 프로세스를 역으로 진행합니다. 클라우드 제공업체는 암호화된 데이터와 EDEK를 검색합니다. 클라우드 제공업체의 KMS는 고객의 마스터 키를 사용하여 EDEK를 해독하고 DEK를 검색합니다. 그런 다음 DEK는 고객이 데이터에 액세스할 수 있도록 데이터를 해독하는 데 사용됩니다.
고객 거래 내역, 계정 세부 정보 및 기타 민감한 기록을 퍼블릭 클라우드로 이동하려는 금융 서비스 회사를 생각해 보세요. 그러나 결제 카드 산업 데이터 보안 표준(PCI DSS)과 같은 엄격한 업계 규정으로 인해 암호화 키에 대한 제어권을 제3자에게 양도할 수 없습니다.
BYOK를 사용하면 회사는 데이터가 클라우드 제공업체의 인프라에 저장되어 있더라도 자체 암호화 키를 사용하여 데이터를 엄격하게 제어할 수 있습니다. 공격자는 데이터를 해독하는 데 필요한 마스터 키에 액세스할 수 없기 때문에 데이터 유출 위험이 최소화됩니다. 또한 규제 기관에 고객 데이터를 보호하는 키를 완벽하게 제어하고 있음을 증명할 수 있습니다.
데이터 암호화는 민감한 정보, 특히 클라우드에 저장되고 처리되는 정보를 보호하기 위한 핵심 도구입니다. IBM 데이터 유출 비용(CODB) 보고서에 따르면 암호화를 사용하는 조직은 데이터 유출로 인한 재정적 영향을 20만 달러 이상 줄일 수 있습니다.
BYOK는 조직이 클라우드의 민감한 데이터를 보호하는 데 사용되는 암호화 키를 직접 제어할 수 있도록 하여 데이터 보호를 더욱 강화합니다. 이 제어는 클라우드 제공업체나 제3자가 데이터를 해독하는 것을 방지하여 암호화된 데이터에 대한 무단 액세스의 위험을 줄입니다.
많은 기업들이 Salesforce와 같은 서비스형 소프트웨어(SaaS) 플랫폼에 저장된 민감한 고객 데이터를 보호하기 위해 BYOK를 사용합니다.
건강 보험 양도 및 책임에 관한 법률(HIPAA), 일반 데이터 보호 규정(GDPR), PCI DSS와 같은 규정은 데이터 접근 및 암호화 관행에 대한 엄격한 통제를 요구하는 경우가 많습니다. 조직은 자체 키를 사용하여 이러한 표준을 충족하고 키 액세스 및 사용에 대한 감사 추적을 유지할 수 있습니다.
의료 서비스 제공자는 환자 기록을 암호화할 때 BYOK를 사용하는 경우가 많으며, 이를 통해 승인된 당사자만 데이터를 해독할 수 있어 HIPAA 준수를 입증할 수 있습니다.
멀티클라우드 및 하이브리드 클라우드 환경에서 BYOK는 조직이 플랫폼 전반에 걸쳐 키 관리를 중앙 집중화하여 각 클라우드 서비스 제공업체의 별도 키 시스템에 의존하지 않고 일관성과 제어를 유지할 수 있도록 지원합니다.
예를 들어, AWS, Azure, Google Cloud를 사용하는 기업은 모든 플랫폼의 암호화 키를 중앙에서 관리할 수 있어 복잡성을 줄이고 보안 태세를 개선할 수 있습니다.
SaaS 회사 및 기타 공급업체의 경우 BYOK를 제공하면 고객에게 데이터 프라이버시 및 소유권을 중요하게 생각한다는 신호를 보낼 수 있습니다. 이러한 신호는 투명성이 보안의 핵심 요소인 기업 고객과 규제 대상 산업에서 중요합니다.
고객은 BYOK 모델의 마스터 키를 소유하기 때문에 전체 라이프사이클 관리에 대한 책임이 있습니다. 이 라이프사이클에는 키의 보안과 무결성을 유지하는 데 도움이 되는 일련의 지속적인 작업이 포함되어 있습니다. 조직은 운영 오버헤드를 줄이고 인적 오류의 위험을 최소화하기 위해 이러한 작업을 자동화하는 경우가 많습니다.
조직은 무단 액세스, 노출 또는 도난의 위험을 줄이기 위해 정기적으로 암호화 키를 새로운 키로 교체합니다. 키의 수명을 제한하면 클라우드 보안을 개선하는 데 도움이 됩니다.
원본 키가 손실되거나 손상된 경우 데이터 손실을 방지할 수 있도록 마스터 키를 안전하게 백업하는 것이 필수적입니다. 유효한 마스터 키가 없으면 암호화된 데이터에 영구적으로 액세스할 수 없게 될 수 있습니다.
감사 로그를 통해 키 사용을 모니터링하면 무단 데이터 접근 또는 오용을 탐지하는 데 도움이 됩니다. 키 관리 정책을 감사하면 GDPR 및 HIPAA와 같은 규제 요구 사항을 준수하는지 확인하는 데도 도움이 됩니다.
명확하고 문서화된 계획을 마련하면 조직이 실수로 인한 키 삭제, 하드웨어 장애 또는 사이버 공격과 같은 상황에 대비하는 데 도움이 됩니다. 클라우드 제공업체는 마스터 키를 복구할 수 없기 때문에 대비하는 것은 조직의 몫입니다.
BYOK(Bring Your Own Key)와 HYOK(Hold Your Own Key)는 모두 조직에 암호화를 더 잘 제어할 수 있는 권한을 부여하지만 키가 저장되고 관리되는 방법과 위치가 다릅니다.
BYOK의 경우 조직은 암호화 키를 생성하고 소유하지만 클라우드 서비스에 사용할 수 있도록 이를 클라우드 공급자의 키 관리 시스템에 업로드합니다.
HYOK의 경우 조직은 암호화 키를 완전히 자체 환경에 보관하고 클라우드 제공업체와 공유하지 않습니다. 이 방식은 더 높은 수준의 제어와 프라이버시를 제공하지만, 관리가 더 복잡하며 모든 클라우드 서비스에서 지원하는 것은 아닙니다.
BYOK는 제어 기능을 통해 편리함을 제공하는 반면, HYOK는 최대한의 제어 기능을 제공하지만 더 많은 책임이 따릅니다.