Главни аргумент против рачунарства у облаку који су изнели његови противници је безбедност. БИОЕ осигурава сигурност свих ваших услуга у облаку. Да видимо како.
У рачунарству у облаку, власник података нема директну контролу над њима и приморан је да се ослони на провајдера услуга у облаку да их заштити од неовлашћеног приступа. Најчешће прихваћено решење за заштиту информација које се налазе у облацима је њихово шифровање.
Проблем са шифровањем података је у томе што не само да спречава неовлашћене кориснике да приступе подацима, већ и додаје компликације у коришћењу података за легитимно овлашћене кориснике.
Претпоставимо да компанија хостује своје податке у шифрованом облику на инфраструктури добављача услуга у облаку (ЦСП). У том случају, потребан је неки ефикасан облик дешифровања који корисницима не отежава коришћење података и апликација, нити негативно утиче на њихово корисничко искуство.
Многи провајдери у облаку нуде својим клијентима опцију да своје податке задрже шифрованим, дајући им алате да дешифровање учине транспарентним и непримећеним од стране овлашћених корисника.
Међутим, свака робусна шема шифровања захтева кључеве за шифровање. А када шифровање података врши исти ЦСП који држи податке, кључеве за шифровање такође држи тај ЦСП.
Дакле, као корисник ЦСП-а, не можете имати потпуну контролу над својим подацима, јер не можете веровати да ће ваш ЦСП чувати кључеве за шифровање у потпуности безбедним. Свако цурење ових кључева може оставити ваше податке потпуно изложеним неовлашћеном приступу.
Преглед садржаја
Зашто вам треба БИОЕ
БИОЕ (донесите сопствену енкрипцију) се такође може назвати БИОК (донесите сопствене кључеве), иако су ово прилично нови концепти, различите компаније могу сваком акрониму дати другачије значење.
БИОЕ је безбедносни модел посебно прилагођен рачунарству у облаку, који омогућава корисницима услуга у облаку да користе сопствене алате за шифровање и управљају сопственим кључевима за шифровање.
У БИОЕ моделу, корисници ЦСП-а примењују виртуелизовану инстанцу сопственог софтвера за шифровање, заједно са апликацијом коју хостују у облаку.
Апликација је конфигурисана на такав начин да се све њене информације обрађују софтвером за шифровање. Овај софтвер шифрује податке и складишти их у облику шифрованог текста у физичком репозиторију података добављача услуга у облаку.
Важна предност БИОЕ је то што омогућава компанијама да користе услуге у облаку за хостовање својих података и апликација уз поштовање критеријума приватности података које намећу регулатори у одређеним индустријама. Чак иу окружењима са више закупаца, трећих страна.
Овај приступ омогућава компанијама да користе технологију шифровања која најбоље одговара њиховим потребама, без обзира на ИТ инфраструктуру добављача услуга у облаку.
Предности БИОЕ
Главне предности које можете добити од коришћења БИОЕ су:
- Повећана сигурност података који се налазе на инфраструктури трећих страна.
- Потпуна контрола шифровања података, укључујући алгоритам и кључеве.
- Мониторинг и контрола приступа као додатна вредност.
- Транспарентно шифровање и дешифровање како не би утицало на искуство коришћења података.
- Могућност појачања безбедности хардверским сигурносним модулима.
Уобичајено се верује да је довољно да информације буду шифроване да би биле безбедне од ризика, али то није случај. Ниво безбедности шифрованих података је онолико висок колико је и безбедност кључева који се користе за њихово дешифровање. Ако су кључеви откривени, подаци ће бити изложени, чак и ако су шифровани.
БИОЕ је начин да спречите да безбедност кључева за шифровање буде препуштена случају и безбедности коју спроводи трећа страна, односно ваш ЦСП.
БИОЕ је коначно закључавање шеме заштите података која би иначе имала опасно кршење. Са БИОЕ, чак и ако су кључеви за шифровање вашег ЦСП-а компромитовани, ваши подаци неће бити.
Како БИОЕ ради
БИОЕ безбедносна шема захтева од ЦСП-а да понуди својим клијентима могућност коришћења сопствених алгоритама за шифровање и кључева за шифровање.
Да бисте користили овај механизам без утицаја на корисничко искуство, мораћете да примените виртуелизовану инстанцу вашег софтвера за шифровање поред апликација које хостујете на свом ЦСП-у.
Ентерприсе апликације у БИОЕ шеми морају бити конфигурисане тако да сви подаци којима рукују пролазе кроз апликацију за шифровање.
Ова апликација се налази као прокси између предњег и задњег краја ваших пословних апликација, тако да се подаци ни у једном тренутку не премештају или чувају нешифровани.
Морате осигурати да позадинска страна ваших пословних апликација чува верзију шифрованог текста ваших података у физичком спремишту података вашег ЦСП-а.
БИОЕ у односу на изворно шифровање
Архитектуре које имплементирају БИОЕ нуде веће поверење у заштиту ваших података од изворних решења за шифровање које пружају ЦСП. Ово је омогућено коришћењем архитектуре која штити структуриране базе података, као и неструктуриране датотеке и окружења великих података.
Коришћењем екстензија, БИОЕ-ова најбоља решења у својој врсти омогућавају вам да користите податке чак и током операција шифровања и поновног кључа. С друге стране, коришћење БИОЕ решења за праћење и евиденцију приступа подацима је начин да се предвиди откривање претњи и пресретање.
Постоје и БИОЕ решења која нуде, као додатну вредност, АЕС енкрипцију високих перформанси, побољшану хардверским убрзањем и грануларном политиком контроле приступа.
На овај начин могу утврдити ко може приступити подацима, у које време и кроз које процесе, без потребе да прибегавају посебним алатима за праћење.
Кеи Манагемент
Поред коришћења сопственог модула за шифровање, биће вам потребан софтвер за управљање кључевима за шифровање (ЕКМ) за управљање кључевима за шифровање.
Овај софтвер омогућава ИТ и безбедносним администраторима да управљају приступом кључевима за шифровање, што олакшава компанијама да чувају сопствене кључеве и држе их ван руку трећих страна.
Постоје различите врсте кључева за шифровање у зависности од типа података који се шифрују. Да би био заиста ефикасан, ЕКМ софтвер који одаберете мора бити у стању да ради са било којом врстом кључа.
Флексибилно и ефикасно управљање кључевима за шифровање је неопходно када компаније комбинују системе у облаку са локалним и виртуелним системима.
Учвршћивање БИОЕ помоћу ХСМ
Хардверски сигурносни модул или ХСМ је физички сигурносни уређај који се користи за брзо и са максималном безбедношћу обављање криптографских операција. Такве криптографске операције укључују шифровање, управљање кључевима, дешифровање и аутентификацију.
ХСМ-ови су дизајнирани за максимално поверење и робусност и идеални су за заштиту поверљивих података. Могу се применити као ПЦИ Екпресс картице, самостални уређаји са Етхернет мрежним интерфејсом или једноставно екстерни УСБ уређаји.
Имају сопствене оперативне системе, посебно дизајниране да максимизирају безбедност, а њихов приступ мрежи је заштићен заштитним зидом.
Када користите ХСМ у комбинацији са БИОЕ, ХСМ преузима улогу проксија између ваших пословних апликација и система складиштења вашег ЦСП-а, водећи рачуна о свим неопходним криптографским процесима.
Коришћењем ХСМ-а за задатке шифровања, обезбеђујете да ови задаци не намећу досадне кашњења у нормалном раду ваших апликација. Поред тога, са ХСМ-ом минимизирате шансе да се неовлашћени корисници мешају у управљање вашим кључевима или алгоритмима за шифровање.
У потрази за стандардима
Када усвајате БИОЕ безбедносну шему, требало би да погледате шта ваш ЦСП може да уради. Као што смо видели у овом чланку, да би ваши подаци били заиста безбедни у инфраструктури ЦСП-а, ЦСП мора да обезбеди да можете да инсталирате сопствени софтвер за шифровање или ХСМ заједно са својим апликацијама, да ће подаци бити шифровани у ЦСП-овим репозиторијумима, и да ви и нико други нећете имати приступ кључевима за шифровање.
Такође можете истражити нека најбоља решења брокера за безбедност приступа у облаку да бисте проширили локалне безбедносне системе организације.