ما المقصود بنظام أحضر مفتاح التشفير الخاص بك معك (BYOK)؟

غالبًا ما يتحكم موفر الخدمة السحابية في مفاتيح التشفير التي توفر حماية البيانات للأصول السحابية للمؤسسة. ومع ذلك، في نموذج BYOK، تتحكم المؤسسة في مفاتيح التشفير الخاصة بها حتى لا يتمكن أي كيان خارجي من الوصول إلى البيانات السحابية الخاصة بها دون إذن منها.

تقوم مفاتيح التشفير بتحويل النص العادي إلى نص مشفر غير مفهوم لحماية البيانات الحساسة من الوصول غير المصرح به. كما يمكنها أيضاً فك تشفير النص المشفر وإعادته إلى صيغته المقروءة للمستخدمين المصرح لهم.

يساعد نموذج أحضر مفتاح التشفير الخاص بك معك (BYOK) في ضمان إدارة مفاتيح التشفير وفقاً لسياسات الأمان الخاصة بالمؤسسة، وبما يتماشى مع المعايير الصناعية مثل إرشادات المعهد الوطني للمعايير والتقنية (NIST) ومعيار FIPS 140-2، بغض النظر عن مزود الخدمة السحابية.

معظم مزودي الخدمة السحابية الرئيسيين — بما في ذلك IBM Cloud و Microsoft Azure و Amazon Web Services (AWS) و Google Cloud — يقدمون BYOK لعملائهم.

تتبع سياسة BYOK عادةً عملية تسمى "تشفير المغلف"، والتي تستخدم تسلسلًا هرميًا من المفاتيح لحماية البيانات. تدار هذه الوظيفة من قبل نظام إدارة المفاتيح (KMS) التابع لمزود السحابة، وهو خدمة آمنة تقوم بإنشاء وتخزين والتحكم في الوصول إلى مفاتيح التشفير.

فيما يلي الخطوات الأساسية لنظام BYOK.

يقوم العميل بإنشاء مفتاح رئيسي في بيئته الخاصة، وغالبًا ما يتم ذلك باستخدام وحدة أمن الأجهزة (HSM) في الموقع لتعزيز الأمان. وتُعد وحدة الـ HSM جهازاً مقاومًا للاختراق، يعمل على إنشاء وتخزين المفاتيح التشفيرية بشكل آمن.

باستخدام مفتاح عام يوفره مزود الخدمة السحابية، يقوم العميل بتشفير مفتاحه الرئيسي لحمايته أثناء النقل. يتم بعد ذلك استيراد المفتاح الرئيسي إلى خدمة إدارة المفاتيح الخاصة بمزود الخدمة السحابية من خلال واجهة برمجة تطبيقات (API) آمنة. عادةً ما يتم تخزين المفتاح في وحدة أمن الأجهزة الخاصة بمزود الخدمة السحابية.

يقوم نظام إدارة المفاتيح (KMS) الخاص بمزود الخدمة السحابية بإنشاء مفتاح تشفير بيانات مؤقت للاستخدام الواحد (DEK). يُستخدم هذا المفتاح لتشفير بيانات العميل. ثم يتم استخدام المفتاح الرئيسي للعميل لتشفير DEK. والنتيجة هي DEK مشفر (EDEK). يتم تخزين EDEK جنبًا إلى جنب مع البيانات المشفرة، بينما يتم التخلص من DEK من الذاكرة.

عندما يحتاج العميل إلى الوصول إلى البيانات، يتم عكس العملية. يسترجع مزود الخدمة السحابية البيانات المشفرة و EDEK. يستخدم نظام إدارة المفاتيح (KMS) الخاص بمزود الخدمة السحابية المفتاح الرئيسي للعميل لفك تشفير EDEK، واسترجاع DEK. ثم يتم استخدام DEK لفك تشفير البيانات حتى يتمكن العميل من الوصول إليها.

تخيل شركة خدمات مالية ترغب في نقل سجلات معاملات عملائها وتفاصيل حساباتها وسجلات حساسة أخرى إلى سحابة عامة. ومع ذلك، وبسبب اللوائح الصارمة في هذا القطاع مثل معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS)، لا يمكنها التنازل عن التحكم في مفاتيح التشفير الخاصة بها لطرف ثالث.

من خلال نظام BYOK، يمكن للشركة استخدام مفاتيح التشفير الخاصة بها للحفاظ على رقابة صارمة على بياناتها، على الرغم من تخزينها على البنية التحتية لمزود الخدمة السحابية. نظرًا لأن المهاجم لن يتمكن من الوصول إلى المفتاح الرئيسي اللازم لفك تشفير البيانات، فإن خطر اختراق أمن البيانات يكون في أدنى مستوياته. بإمكان الشركة أيضًا أن تثبت للجهات التنظيمية امتلاكها سيطرة كاملة على المفاتيح التي تؤمن بيانات العملاء.

التشفير هو أداة أساسية لحماية المعلومات الحساسة، خاصة المعلومات المخزنة والمعالجة في السحابة. وفقا لتقرير تكلفة خرق أمن البيانات الصادر عن IBM®، يمكن للمؤسسات التي تستخدم التشفير تقليل الأثر المالي لاختراق أمن البيانات بأكثر من 200000 دولار أمريكي.

يعزز نظام BYOK حماية البيانات بشكل أكبر من خلال منح المؤسسات تحكماً مباشراً في مفاتيح التشفير المستخدمة لتأمين البيانات الحساسة في السحابة. يقلل هذا التحكم من خطر الوصول غير المصرح به إلى البيانات المشفرة من خلال منع مزودي الخدمة السحابية أو الأطراف الثالثة من فك تشفير البيانات.

تستخدم العديد من المؤسسات BYOK لحماية بيانات العملاء الحساسة المخزنة في منصة برمجية كخدمة (SaaS) مثل Salesforce.

غالبًا ما تتطلب اللوائح التنظيمية مثل قانون إخضاع التأمين الصحي لقابلية النقل والمساءلة (HIPAA)، واللائحة العامة لحماية البيانات (GDPR)، ومعيار أمن بيانات صناعة بطاقات الدفع (PCI DSS) رقابة صارمة على ممارسات الوصول إلى البيانات وتشفيرها. من خلال استخدام مفاتيح التشفير الخاصة بها، يمكن للمؤسسات المساعدة في ضمان تلبية هذه المعايير والاحتفاظ بسجلات التدقيق للوصول إلى المفاتيح واستخدامها.

غالباً ما يستخدم مقدمو الرعاية الصحية نظام BYOK عند تشفير سجلات المرضى، مما يساعدهم على إثبات الامتثال لقانون HIPAA من خلال ضمان أن الأطراف المصرح لها فقط هي من يمكنها فك تشفير البيانات.

في بيئات السحابة المتعددة والسحابة الهجينة، يساعد نظام "أحضر مفتاح التشفير الخاص بك معك (BYOK) المؤسسات على توحيد إدارة المفاتيح عبر المنصات المختلفة، مما يحافظ على الاتساق والتحكم دون الاعتماد على أنظمة المفاتيح المنفصلة لكل مزود خدمة سحابية.

على سبيل المثال، يمكن للشركة التي تستخدم AWS و Azure و Google Cloud إدارة مفاتيح التشفير لجميع المنصات بشكل مركزي، مما يقلل التعقيد ويحسن الوضع الأمني.

بالنسبة لشركات البرمجيات كخدمة وغيرها من البائعين، فإن تقديم BYOK يرسل إشارة إلى العملاء بأنهم يأخذون خصوصية البيانات وملكيتها على محمل الجد. هذه الإشارة مهمة لعملاء المؤسسات والصناعات الخاضعة للوائح التنظيمية حيث تعتبر الشفافية عنصرًا أساسيًا في الأمن.

نظرًا لأن العميل يمتلك المفتاح الرئيسي في نموذج BYOK، فإنه يتحمل المسؤولية عن إدارة دورة حياته بالكامل. تتضمن دورة الحياة هذه سلسلة من المهام المستمرة للمساعدة في الحفاظ على أمان المفتاح وسلامته. غالباً ما تقوم المؤسسات بأتمتة هذه المهام لتقليل النفقات التشغيلية والحد من مخاطر الأخطاء البشرية.

تقوم المؤسسات باستبدال مفاتيح التشفير بانتظام بأخرى جديدة لتقليل مخاطر الوصول غير المصرح به أو الكشف عنها أو سرقتها. تحديد عمر المفتاح يساعد في تحسين أمن السحابة.

يُعد النسخ الاحتياطي الآمن للمفاتيح الرئيسية أمراً ضرورياً لمنع فقدان البيانات في حال ضياع المفتاح الأصلي أو تلفه. بدون مفتاح رئيسي صالح، يمكن أن تصبح البيانات المشفرة غير قابلة للوصول بشكل دائم.

تساعد مراقبة استخدام المفاتيح عبر سجلات التدقيق في اكتشاف الوصول غير المصرح به للبيانات أو إساءة استخدامها. كما يساعد تدقيق سياسات إدارة المفاتيح في التحقق من الامتثال للمتطلبات التنظيمية مثل GDPR وقانون HIPAA.

إن وجود خطة واضحة وموثقة يساعد المؤسسات على الاستعداد لمواقف مثل الحذف غير المقصود للمفاتيح، أو أعطال الأجهزة، أو الهجمات السيبرانية. نظرا لأن مزودي الخدمة السحابة لا يمكنهم استعادة المفتاح الرئيسي، فإن الاستعداد يقع على عاتق المؤسسة.

أحضِر مفتاح التشفير الخاص بك معك (BYOK) وحمّل مفتاح التشفير الخاص بك (HYOK) كلاهما يمنح المؤسسات تحكماً أكبر في التشفير، لكنهما يختلفان، في كيفية ومكان تخزين وإدارة المفاتيح.

من خلال BYOK، تقوم المؤسسة بإنشاء وامتلاك مفاتيح التشفير، ولكنها ترفعها إلى نظام إدارة المفاتيح الخاص بمزود الخدمة السحابية لاستخدامها مع الخدمات السحابية.

من خلال HYOK، تحتفظ المؤسسة بمفاتيح التشفير بالكامل في بيئتها الخاصة ولا تشاركها أبداً مع مزود الخدمة السحابية. يوفر هذا الترتيب مستوى أعلى من التحكم والخصوصية، لكنه أكثر تعقيداً في الإدارة ولا تدعمه جميع الخدمات السحابية.

يوفر نظام أحضِر مفتاح التشفير الخاص بك معك (BYOK) الراحة مع التحكم ، بينما يوفر نظام حمّل مفتاح التشفير الخاص بك (HYOK) أقصى قدر من التحكم ولكن بمزيد من المسؤولية.