Bulut altyapısı ve uyumluluk düzenlemeleri daha karmaşık hale geldikçe şirketler, hassas verilerin daha kapsamlı bir şekilde şifrelenmesini benimseyerek ve anahtar yönetimini tek bir havuzda veya hizmette birleştirerek veri güvenliğini basitleştirmenin yollarını arıyor.
22 Mart’ta e-posta ve dosya güvenliği şirketi Virtru, Google Workspace, Google Cloud ve şirketin diğer ürünleriyle çalışan özel bir anahtar deposunu duyurarak müşterilere anahtar yönetimi için tek bir kasa sunan en son veri koruma şirketi oldu. Ürün, şifreleme anahtarlarını yönetir, ilkeleri yapılandırır ve şifrelenmiş verilere erişim denetimlerine izin verir.
Virtru zaten e-posta ve bulutta depolanan dosyalar için şifreleme sunmuştu, ancak verilerin hassasiyeti ve hükümet gerekliliklerine uyma ihtiyacı, müşterilerin “kendi anahtarını tut” veya HYOK yeteneği istemesine neden oldu, diyor Kıdemli Başkan Yardımcısı Mike Morper. Virtru’da ürün başkanı.
“Bize gelen müşterilerimiz var, onlar… amaçlanan alıcıdan başka hiçbir varlığın erişime sahip olmadığından emin olmak istiyorlar. [a particular piece of] Morper, “Bunun köklerini ilk olarak, özellikle Avrupa’daki bazı müşterilerimizle yaptığımız birçok veri egemenliği konuşmasında duymaya başladık … ve kendi özel bilgilerini yönetebilme becerisine sahip olmaları onlar için çok önemliydi.” anahtarlar.”
Şirketler, verileri yaygın şifreleme ile korumaya giderek daha fazla önem verirken, birleştirilmiş anahtar yönetimi de kendine yer buluyor. 2021’de %50’den bu yana şu anda şirketlerin %62’sinin tutarlı bir şekilde uygulanan bir şifreleme politikası var, ancak şirketlerin yarısından fazlası hala tüm hassas verileri belirlemede sorun yaşıyor ve işletmelerin %59’u anahtar yönetimini çok sancılı buluyor. ile Entrust’un 2022 Küresel Şifreleme Trendleri Çalışması.
Kevin, ayrıca, anahtarların yönetilmesi, verilere kimlerin erişebileceğinin sınırlandırılması ve bu erişimin denetlenmesi gibi bir dizi baş ağrısının, şirketlerin birden çok ülkenin gizlilik düzenlemelerine uyması ve birden çok bulutta verilerin güvenliğini sağlaması gerektiğinden yalnızca daha şiddetli hale geldiğini söylüyor. Entrust’ta veri koruma çözümlerinden sorumlu ürün yönetimi başkan yardımcısı McKeogh.
“Verileri şifrelemek kolaydır — verileri şifrelemek için kullanılan anahtarları yönetmek, operasyonları ölçeklendiren kuruluşlar için giderek daha zor hale gelen şeydir” diyor. “Şu anda dağıtılmış sistemlerde (şirket içi ve çoklu bulut ortamlarında) işlenen artan veri hacmiyle birlikte, kuruluşların verilerin korunmasını ve verileri kullanması gereken uygulamalar tarafından kullanılabilir olmasını sağlamak ve uyumlu kalmak için anahtarların kontrolünü elinde tutması gerekiyor. düzenlemelere.”
Anahtar Yönetimi Artı Granüler Erişim Kontrolü
Veri koruma sistemleri için önemli bir operasyonel zorluk olan birden çok buluta geçiş yapın. 2024 yılına kadar, uluslararası veri yerleşimi ve gizlilik gereksinimleri, kuruluşların %40’ından fazlasını, birçok bulut sağlayıcısı tarafından sunulan ısmarlama anahtar yönetimi hizmetlerine güvenmek yerine, üçüncü taraf bir hizmet olarak çoklu bulut anahtar yönetimi (KMaaS) teklifini benimsemeye zorlayacak. KMaaS teklifleri hakkında Gartner raporu veri koruma sağlayıcısı Thales tarafından görevlendirildi.
Birden çok bulutta ve bunlarla ilişkili anahtar yönetim sistemlerinde şifrelenmiş verileri, izinleri ve erişim listelerini yönetmenin zorluğu, şirketlerin en az yarısının hassas verilerinin %40’ından daha azını bulutta şifrelemesiyle sonuçlandı.2022 Thales Veri Tehdit Raporu.”
Thales’in şifreleme ürünlerinden sorumlu başkan yardımcısı Todd Moore, “Tipik bir kuruluşta konuşlandırılmış en az beş farklı anahtar yönetici vardır, bu nedenle anahtarın yayılması bir sorundur,” diyor. “Bu, anahtar rotasyonu ve kullanımdan kaldırılan anahtarlar gibi şeyleri karmaşık hale getiriyor. En iyi uygulama, anahtar yönetimi operasyonlarınızın büyük çoğunluğunu destekleyebilen tek bir merkezi anahtar yönetimi platformuna sahip olmaktır.”
Hassas anahtarlar için merkezi bir kasa, karmaşık durumları bile basitleştirmeye yardımcı olabilir. Örneğin, bu yıl, şirketlerin en az %81’inin çoklu bulut altyapısı kullanması bekleniyor (2022’de bu oran %60’a yükseldi). Forrester Research’ün “Multicloud’un Operasyonel Potansiyelini Ortaya Çıkarma” raporu sır yönetimi şirketi HashiCorp tarafından görevlendirildi. Bu şirketler için, verileri bulut hizmetleri genelinde şifrelemek ve bu verilere erişimi anahtarlar aracılığıyla yönetmek için merkezi bir kasa kullanmak daha fazla kontrol sağlar.
Ayrıca, tek bir bulut sağlayıcının anahtar yönetim çözümüne güvenen şirketler daha büyük risk altında olabilir. Avrupa Genel Veri Koruma Yönetmeliği (GDPR) veya Ödeme Kartı Endüstrisinin Veri Güvenliği Standardı (PCI-DSS) gibi gizlilik ve veri koruma düzenlemeleri, hassas verilerin şifrelenmesinin gerekli olduğunu ve kendi kendine gözetim altında tutulmasını açıkça gerektirir veya büyük ölçüde ima eder. HashiCorp’ta kriptografi ve güvenlikten sorumlu ana ürün müdürü Andy Manoske, anahtar sayısının tercih edildiğini söylüyor.
“Bu, özellikle bir müşterinin bulut hizmeti altyapısı içindeki ayrıcalıklı bir düşmana karşı koruma sağlamaya çalışan veri egemenliği gereksinimleri söz konusu olduğunda geçerlidir” diyor. “Bir düşman bu anahtar yönetim sisteminden taviz veremese de, hem veri şifrelemeyi hem de anahtar yönetimini barındıran tek bir bulutta ayrıcalığa sahiplerse sistemi çalışmaz hale getirebilirler.”
Özel Anahtar Deposu mu yoksa Hizmet Olarak Anahtar Yönetimi mi?
Özel anahtar deposu bir çözüm olsa da tek çözüm değildir. HYOK’u sağlayan anahtar yönetimi hizmetleri, şirketlere karmaşık bir görevi yönetmeleri için ihtiyaç duydukları uzmanlığı ve desteği sağlarken devlet düzenlemelerini ve iş güvenliği gereksinimlerini karşılayabilir. Anahtarların korunması gerekir, ancak savunucular, uygun şifreleme teknolojilerini en iyi şekilde seçmek için şirketin tehdit modelini ve ne tür saldırıların olası olduğunu anlamalıdır.
Manoske, şifrelemeyi dağıtmanın ve özel bir anahtar deposunu sürdürmenin bir şirket içinde derin bir uzmanlık gerektirdiğini söylüyor.
Manoske, “Özel anahtar depoları, genellikle anahtarların kriptografi için nasıl alındığı ve kullanıldığı konusunda esneklik sağlar – bu, genellikle önemli otomasyona sahip yüksek performanslı uygulamalarda kriptografiyi dağıtırken gerekli olan bir esnekliktir.” “Bu esneklik, yan kanal saldırılarına (anahtarları kurcalamak veya çalmak için kriptografinin matematiksel korumalarını ‘etraf eden’ saldırılar) karşı korumada genellikle savunucudan daha fazla karmaşıklık gerektirmesi pahasına gelir.”
Virtru’dan Morper, bir şirket kritik anahtarların sahipliğini elinde tutabilirken, bazı KMaaS tekliflerinin işletmenin veri güvenliğini basitleştirebileceğini ve erişim kontrolü ve denetlenebilirlik gibi gerekli yetenekleri sağlayabileceğini söylüyor.
“Zor kısım bu ve açıkçası, muhtemelen benimseme ve sürtüşmenin üstünlüğünün devreye girdiği yer burası” diyor. “Dolayısıyla, kuruluşlar için gerçekten bir denge haline gelmeye başlıyor. Bu bir güvenlik politikası kararı ve vermeleri gereken bir iş kararı – ne düzeyde bir sürtüşme uygun ve hangi derecede riske karşı?”