很多公司正在实施云访问安全代理(CASB)技术来保护存储在云应用程序中的关键企业数据。在许多其他预防和检测控制中,CASBs的一个关键特性是能够加密存储在云应用中的数据。在最高层次上,这个概念非常简单——从组织中流出的数据是加密的,因为它存储在云中。然而,在实践中,配置选项中存在细微差别,可能会影响您在云中实现加密的方式。本文概述了在通过CASB实现加密解决方案之前要做出的重要体系结构决策。
提供网关、自带密钥(BYOK)或供应商加密
基于云的加密有三种通用方法。
网关提供的加密—在此模型中,CASB可以通过密钥管理互操作性协议(KMIP)与组织现有的密钥管理解决方案集成,或提供基于云的密钥管理解决方案。无论哪种情况,用于加密数据的密钥都不会离开CASB。
数据在离开您的环境之前被加密,并存储在供应商处,你控制钥匙,供应商无法访问您的数据
BYOK加密–在这个模型中,密钥由您的组织生成和管理,然后提供给供应商。BYOK允许您管理密钥的生命周期,然后与供应商共享密钥。这包括撤销和旋转关键点。然后将密钥提供给供应商并由其用于解密所请求的数据以供授权用户使用。CASB可以作为密钥的代理,通过允许您直接在CASB用户界面(UI)中执行此管理,来简化、集中和优化密钥管理过程。这也可以通过将KMIP与现有的密钥管理解决方案结合使用来完成。或者,如果没有CASB,您仍然可以享受使用自己的密钥加密的好处,但管理将是基于应用程序的手动操作。
数据在供应商处加密,你可以控制钥匙,供应商保留访问您的数据的能力
供应商提供的加密–在这个模型中,供应商提供密钥和密钥管理。可通过供应商提供的用户界面提供管理。不涉及木桶。
数据在供应商处加密,供应商控制钥匙,供应商保留访问您的数据的能力
重要考虑因素
没有一种“最佳”方式来管理云应用的加密。为公司做出最佳决策的一个重要考虑因素是你的动机。您最关心的是法规遵从性、降低供应商泄露风险、保护数据不被盲目传唤披露,这三个方面都是吗?
法规遵从性—这三种方法中的任何一种都可以很容易地满足法规遵从性的加密要求,而且使用供应商提供的加密最简单。
降低供应商泄露的风险—使用加密来降低供应商泄露的风险意味着需要管理您自己的密钥,因为没有密钥您的数据将无法访问。网关提供的加密是一种可以提供最高级别的风险缓解(由于供应商的危害),因为您的密钥永远不会离开您的环境。网络攻击者窃取你的数据将无法解密它不使用你的密钥或打破你的加密。风险也可以通过BYOK来缓解,但必须与供应商达成协议,以便及时沟通违规行为。然后,您必须在密钥管理过程中采取适当的吊销操作。
保护数据不在传票/盲传票中被披露——使用加密保护数据不在传票中被披露也意味着需要管理自己的密钥。网关提供的加密是一种可以通过完全技术手段从盲目传票中提供最高级别风险缓解的方法,因为检索您的数据的第三方在没有您的密钥的情况下将无法对其进行解密。风险也可以通过BYOK得到缓解,但必须与供应商签订协议,以便及时与第三方沟通您的数据请求。然后,您必须在密钥管理过程中采取适当的吊销操作。
非结构化和结构化数据
为了进一步解释这些方法,我们必须找出云中流行的两种截然不同的数据类型:非结构化数据和结构化数据。非结构化数据是指作为唯一文件生成和存储的数据,通常通过最终用户应用程序(例如Microsoft Word文档)提供服务。结构化数据是指符合数据模型的数据,通常通过关系数据库和用户界面(UI)提供服务,例如Salesforce UI。
结构化数据
网关提供的加密——由于CASB位于最终用户和应用程序之间,结构化数据可能对可用性构成挑战。从可用性的角度来看,每当应用程序供应商更改字段结构时,必须解决加密问题以保持可用性。从安全角度来看,应用程序必须解密并显示一些信息,以便允许搜索、排序和提前键入字段在云应用程序UI中正常工作。这被称为“格式保持”、“顺序保持”和“顺序显示”加密,可以降低总体标准。越来越多的研究正在挑战这种方法,并暴露出可能导致妥协的弱点。例如,如果要在一个字段中键入“JO”,并且它显示了名称以JO开头的所有人员,则必须对这些数据进行检索和解密以支持UI。
BYOK加密–由于您向供应商提供密钥,因此加密/解密在供应商应用程序体系结构中进行。这降低了使用加密时出现可用性问题的风险,因为解密是在供应商控制下进行的。从安全的角度来看,BYOK不会像网关提供的加密那样,在“泄露”中遭受同样的泄露风险。
供应商提供的加密–由于供应商拥有密钥,因此加密/解密在供应商应用程序体系结构中进行。这降低了使用加密时出现可用性问题的风险,因为解密是在供应商控制下进行的。从安全角度来看,供应商提供的加密不会像网关提供的加密那样,在“泄露”中遭受相同的泄露风险。
非结构化数据
网关提供的加密—云存储中非结构化数据的可用性问题风险很低。然而,一个重要的考虑因素是关键轮换。在一组密钥下加密的数据只能用这些密钥打开。密钥可能需要在存档中保持可用,以便读取,即使它们已经失效。
BYOK加密–由于密钥是提供给供应商的,因此加密/解密在供应商应用程序体系结构中进行,密钥轮换和管理也是如此。
供应商提供的加密–由于供应商拥有密钥,因此加密/解密在供应商应用程序体系结构中进行。这降低了使用加密时出现可用性问题的风险,因为解密是在供应商控制下进行的。关键管理流程将取决于供应商。
行业方向
大多数主要的云供应商正朝着支持BYOK模型的方向发展。其中包括Salesforce、ServiceNow、Box、amazonwebservices(AWS)和microsoftazure等。随着越来越多的供应商提供这种功能,Cedrus相信这是云加密的发展方向。
意见
网关提供的加密—这是云应用加密所能提供的最高安全级别,但可能会对业务的可用性问题产生影响,尤其是应用于结构化数据时。在这种配置中,高风险的应用程序和数据是最安全的,需要最多的照顾和喂养。
BYOK加密–这种实现可以提供非常高的安全级别,而不会受到网关加密的影响。通过与作为密钥代理的CASB集成来集中此管理,此解决方案为高风险应用程序和数据提供了保护和可用性之间的极好平衡。
供应商提供的加密—这种实现比不实现加密提供了更高级别的安全性。此解决方案可能最适合于重要性较低或仅满足法规遵从性要求的应用程序和数据。
建议
与所有安全决策一样,风险和合规性必须是任何决策的标准。因为我们不知道您的业务的行业、应用程序或风险;这是一个通用的建议。
在可能的情况下,始终利用您自己的密钥而不是供应商提供的密钥。记住,对低风险应用程序的破坏可能会提供破坏其他应用程序的线索。
当作为一个选项提供时,安全性和可用性之间的最佳权衡是BYOK。对于主动沟通,获得供应商的同意是非常重要的。如果不提供BYOK,则必须在供应商提供的加密和网关提供的加密之间仔细权衡风险,尤其是对于结构化数据。
在考虑转向网关加密时,应用程序和数据的风险分析至关重要。妥协的风险应该是明确的,并且是危险的。这是因为对结构化数据进行网关加密的决定意味着对管理和维护的承诺要比BYOK或供应商提供的加密更高。这并不是反对学习这门课程的建议,而是建议您仔细考虑这条道路,并规划维持这类实现所需的资源。在最近与一位客户的交流中,他们明确提出了挑战:“我们使用CASB为Salesforce实例提供字段级加密。有许多问题需要大量支持,我们计划不再使用它,而是利用Salesforce平台的加密功能。”