¿Qué es bring your own key (BYOK)?

A menudo, un proveedor de servicios en la nube controla las claves de cifrado que protegen los datos de los activos alojados en la nube de una organización. Sin embargo, en un modelo BYOK, la organización controla sus propias claves de cifrado para que ninguna entidad externa pueda acceder a sus datos en la nube sin su autorización.

Las claves de cifrado transforman el texto sin formato en texto cifrado ilegible para proteger los datos confidenciales del acceso no autorizado. También pueden descifrar el texto cifrado en un formato legible para los usuarios autorizados.

BYOK ayuda a garantizar que las claves de cifrado se gestionen de acuerdo con las políticas de seguridad de una organización y estén alineadas con los estándares de la industria, como las pautas del NIST y FIPS 140-2, independientemente del proveedor de la nube.

La mayoría de los principales proveedores de la nube, incluidos IBM Cloud, Microsoft Azure, Amazon Web Services (AWS) y Google Cloud, ofrecen BYOK a sus clientes.

BYOK generalmente sigue un proceso llamado “cifrado de envolvente”, que utiliza una jerarquía de claves para proteger los datos. Esta función es gestionada por el sistema de gestión de claves (KMS) del proveedor de la nube, que es un servicio seguro que crea, almacena y controla el acceso a las claves de cifrado.

Estos son los pasos básicos para BYOK.

El cliente genera una clave maestra en su propio entorno, a menudo mediante el uso de un módulo de seguridad de hardware (HSM) on premises para mejorar la seguridad. El HSM es un dispositivo a prueba de manipulaciones que genera y almacena claves criptográficas de forma segura.

Con una clave pública proporcionada por el proveedor de la nube, el cliente cifra su clave maestra para protegerla durante el tránsito. A continuación, la clave maestra se importa al servicio de gestión de claves del proveedor de la nube a través de una interfaz de programación de aplicaciones (API) segura. La clave suele almacenarse en el propio módulo de seguridad de hardware del proveedor de la nube.

El KMS del proveedor de la nube genera una clave de cifrado de datos (DEK) temporal y de un solo uso. Esta clave se utiliza para cifrar los datos del cliente. A continuación, se utiliza la clave maestra del cliente para cifrar la DEK. El resultado es una DEK cifrada (EDEK). La EDEK se almacena junto con los datos cifrados, mientras que la DEK se descarta de la memoria.

Cuando el cliente necesita acceder a los datos, el proceso se invierte. El proveedor de la nube recupera los datos cifrados y la EDEK. El KMS del proveedor de la nube utiliza la clave maestra del cliente para descifrar la EDEK, recuperando la DEK. A continuación, se utiliza la DEK para descifrar los datos, de modo que el cliente pueda acceder a ellos.

Consideremos una empresa de servicios financieros que desea trasladar los historiales de transacciones de sus clientes, los detalles de sus cuentas y otros registros confidenciales a una nube pública. Sin embargo, debido a las estrictas regulaciones de la industria como el Payment Card Industry Data Security Standard (PCI DSS), no puede ceder el control de sus claves de cifrado a un tercero.

Con BYOK, la empresa puede usar sus propias claves de cifrado para mantener un control estricto sobre sus datos, aunque estén almacenados en la infraestructura del proveedor de la nube. Dado que un atacante no tendría acceso a la clave maestra necesaria para descifrar los datos, el riesgo de una filtración de datos se reduce al mínimo. La empresa también puede demostrar a los organismos reguladores que tiene control total sobre las claves que protegen los datos de los clientes.

El cifrado de datos es una herramienta fundamental para proteger la información confidencial, especialmente la información almacenada y procesada en la nube. Según el Informe del costo de una filtración de datos de IBM, las organizaciones que usan cifrado pueden reducir el impacto financiero de una filtración de datos en más de 200 000 USD.

BYOK mejora aún más la protección de datos al brindar a las organizaciones un control directo sobre las claves de cifrado utilizadas para proteger los datos confidenciales en la nube. Este control reduce el riesgo de acceso no autorizado a los datos cifrados al evitar que los proveedores de la nube o terceros descifren los datos.

Muchas empresas utilizan BYOK para proteger datos confidenciales de clientes almacenados en una plataforma de software como servicio (SaaS) como Salesforce.

Las regulaciones como la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA), el Reglamento General de Protección de Datos (RGPD) y el PCI DSS a menudo requieren un control estricto sobre el acceso a los datos y las prácticas de cifrado. Al utilizar sus propias claves, las organizaciones pueden garantizar el cumplimiento de estas normas y mantener registros de auditoría sobre el acceso y el uso de las claves.

Los proveedores de atención médica a menudo utilizan BYOK al cifrar los registros de los pacientes, lo que les ayuda a demostrar el cumplimiento de la HIPAA al garantizar que solo las partes autorizadas puedan descifrar los datos.

En entornos multinube y de nube híbrida, BYOK ayuda a las organizaciones a centralizar la gestión de claves entre plataformas, manteniendo la coherencia y el control sin depender del sistema de claves separado de cada proveedor de servicio en la nube.

Por ejemplo, una empresa que utiliza AWS, Azure y Google Cloud puede gestionar de forma centralizada las claves de cifrado para todas las plataformas, lo que reduce la complejidad y mejora la postura de seguridad.

Para las empresas de SaaS y otros proveedores, ofrecer BYOK envía una señal a los clientes de que se toman en serio la privacidad y la propiedad de los datos. Esta señal es importante para los clientes empresariales y las industrias reguladas donde la transparencia es un componente crítico de la seguridad.

Debido a que el cliente posee la clave maestra en un modelo BYOK, es responsable de la gestión completa de su ciclo de vida. Este ciclo de vida incluye una serie de tareas continuas para ayudar a mantener la seguridad e integridad de la clave. Las organizaciones a menudo automatizan estas tareas para reducir la sobrecarga operativa y minimizar el riesgo de error humano.

Las organizaciones sustituyen periódicamente las claves de cifrado por otras nuevas para reducir el riesgo de acceso no autorizado, exposición o robo. Limitar la vida útil de una clave ayuda a mejorar la seguridad en la nube.

Hacer una copia de seguridad de las claves maestras es esencial para evitar la pérdida de datos en caso de que la clave original se pierda o se dañe. Sin una clave maestra válida, los datos cifrados pueden volverse inaccesibles de forma permanente.

El monitoreo del uso de claves a través de registros de auditoría ayuda a detectar el acceso no autorizado a los datos o el uso indebido. La auditoría de las políticas de gestión de claves también ayuda a verificar el cumplimiento de los requisitos reglamentarios como el RGPD y la HIPAA.

Tener un plan claro y documentado ayuda a las organizaciones a prepararse para situaciones como la eliminación accidental de una clave, fallas de hardware o ciberataques. Dado que los proveedores de la nube no pueden recuperar la clave maestra, la organización debe estar preparada.

Bring your own key (BYOK) y hold your own key (HYOK) brindan a las organizaciones más control sobre el cifrado, pero difieren en cómo y dónde se almacenan y gestionan las claves.

Con BYOK, la organización crea y posee las claves de cifrado, pero las carga en el sistema de gestión de claves del proveedor de la nube para usarlas con los servicios en la nube.

Con HYOK, la organización mantiene las claves de cifrado en su propio entorno y nunca las comparte con el proveedor de la nube. Esta configuración ofrece un mayor nivel de control y privacidad, pero es más compleja de gestionar y no es compatible con todos los servicios en la nube.

BYOK ofrece comodidad con control, mientras que HYOK ofrece máximo control, pero con más responsabilidad.