המפתח בידיים שלכם: על חשיבות העצמאות וההצפנה בעולמות המולטי קלאוד

כמחצית (48%) מכלל הנתונים הארגוניים מאוחסנים בענן, על פי מחקר שערכה תאלס (Thales) בשיתוף מכון המחקר פונימון. ארגונים שיתפו בו כי בממוצע, רק כמחצית מהנתונים בענן מאובטחים באמצעות פתרונות הצפנה ורק שליש סבורים כי הגנת הנתונים בענן נמצאת במסגרת אחריותם.

הענן יצר אתגרים, בהם היכן מאוחסנים נתונים, למי יש גישה אליהם וכיצד ניתן לאבטח אותם בצורה הטובה ביותר. זרז מרכזי להתמודדות עם אתגרי אבטחת הענן הוא תקנות ממשלתיות חדשות ודרישות תאימות שהופכות אסטרטגיות לאבטחת מולטי קלאוד למורכבת יותר.

השאלה היא: מי אחראי על אבטחת הענן – הספק או הארגונים שצורכים את שירותיו? על פי מודל האבטחה המשותף, התשובה היא גם וגם – הן ספקי הענן והן הארגונים אחראים על האבטחה.

הצפנת נתונים בענן

עבור ארגונים שבוחרים להשתמש בהצפנה על מנת להגן על הנתונים שלהם יש חשיבות עליונה לאבטחת מפתחות ההצפנה שבהם הם משתמשים. חברות רוצות למנף את כל היתרונות שיש לענן להציע, אך לחלק מהיתרונות האלה יש מחיר. בתמורה לגמישות, מדרגיות ואוטומציה, הבעלות על מפתח ההצפנה ניתנת לעתים קרובות לספק שירותי הענן, מה שמגדיל אף יותר את מורכבות התאימות.

כשמדובר במפתחות הצפנה, הכול קם ונופל על שליטה. כברירת מחדל, ספק הענן מייצר מפתחות הצפנה בשם הלקוחות ומנהל את מחזור החיים של אותם מפתחות. עבור ארגונים רבים המארחים נתונים רגישים וקריטיים בענן, העדר השליטה והבעלות על מפתחות ההצפנה יוצר בעיה של אי עמידה בדרישות התאימות או דרישות האבטחה הפנימיות. זאת, בעוד שארגונים רוצים שליטה מלאה על כיצד ומתי משתמשים במפתחות ההצפנה על מנת להגן ולגשת לנתונים מוצפנים.

המפתחות בפנים – BYOK vs HYOK

ה-BYOK (ר"ת Bring Your Own Key – הבא.הביאי את המפתח שלך) מאפשר לארגונים להצפין את הנתונים ולשמור על שליטה וניהול מפתחות ההצפנה שלהם. עם זאת, כמה מתוכניות ה-BYOK מאפשרות להעלות את מפתחות ההצפנה לתשתית ספקי הענן. במקרים אלה, הארגון שוב מפסיד את השליטה במפתחות ההצפנה שלו.

בעוד שה-BYOK מאפשר לארח את המפתח בספק הענן, ה-HYOK מאפשר לארגון לשמור על הבעלות הפיזית והשליטה במפתחות ההצפנה.

כניסה למנהל המפתחות החיצוני של גוגל קלאוד

בשנה שעברה, גוגל חשפה את מנהל המפתחות החיצוני שלה – Cloud EKM, המאפשר לארגונים למנף את שירותי הענן של החברה, ולעמוד בתקנות ובדרישות מדיניות מורכבות – מבלי לוותר על הבעלות בשליטה על מפתחות ההצפנה שלהם. הפתרון מאפשר לארגונים לחבר מערכת לניהול מפתחות הצפנה משלהם, למערכת ניהול מפתחות של גוגל – ה-KMS – ולאבטח כראוי את עומסי העבודה.

תאלס

תאלס פועלת בשיתוף גוגל במטרה לספק את היכולת הזו. השילוב בין KMS לתאלס מאפשר לארגונים לאחסן מפתחות הצפנה און-פרמיס – ב-Colo או ב-FIPS 140-2 level 3 HSMs מבוסס הענן, בניגוד לאחסון מפתחות בפלטפורמה של גוגל קלאוד (Google Cloud) או ב-KMS. כתוצאה מכך, הגישה לנתונים פנימיים ורגישים ביותר השייכים לשירותים שמציעה גוגל קלאוד, כמו Google Compute Engine או BigQuery, נמצאת בשליטה מלאה של הארגונים.

יתר על כן, כאשר שירות כמו BigQuery מעוניין לפענח נתונים ל-Query job, הוא יבקש שה-DEK המשמש להגנת הנתונים בתשתית גוגל יפתח את ההצפנה באמצעות שירות המפתח שינהל את ה-KEK.

הגישה ל-KEK מתאפשרת באמצעות כתובת URL גלובלית ונתיב המפתח שלה. ה-key URL מאפשר לשירותי הענן לבצע בקשה ל-"Wrapping" ול-"Unwrapping" של Payload, שביישומי ענן נייטיב הם בדרך כלל סודיים או מפתח Payload.

באמצעות הארכיטקטורה והיכולות של ה-HYOK, הארגון יכול בכל עת לבטל את הגישה לכתובת ה-URL ובאופן מיידי לבטל את הגישה ל-KEK המגן על ה-DEK בענן, ובכך להפוך את הנתונים במנוחה (Data at rest) בענן ל-Crypto shredded או לבלתי נגישים, עד שהארגון יהיה מעוניין להחזיר את זמינות המפתח הזה.

רוצים לדעת איך גם אתם תוכלו לנהל באופן פשוט, יעיל וחלק את מחזור חיי מפתחות ההצפנה הארגוניים? מעוניינים בשליטה ושקיפות? רוצים להכיר את הסיכונים? ללמוד כיצד לחזק את אבטחת הענן? הצטרפו אלינו לוובינר מומחים מקצועי, שייערך ביום ד', ה-5 במאי, בשעה 10:30. הוובינר חינמי, אך ההשתתפות מותנית בהרשמה מראש. לפרטים נוספים ולהרשמה לוובינר לחצו כאן.