Anche se a qualcuno non piace, il cloud computing è ormai la norma. Quasi il 94% delle aziende utilizza servizi cloud, circostanza che ha costretto le organizzazioni a riconsiderare il proprio approccio alla sicurezza. Invece di concentrarsi sulla protezione del perimetro di un database locale, un approccio “cloud-first” richiede la salvaguardia dei dati stessi prescindendo dal precedente ristretto perimetro cui si era abituati.
Abbiamo imparato negli anni che le soluzioni di crittografia possono proteggere i dati inattivi o in movimento, ma il cloud computing solleva problemi di sicurezza relativi alle chiavi di crittografia. Infatti le aziende spesso hanno difficoltà con la proprietà e la visibilità delle chiavi di crittografia, chiavi che in genere sono controllate dal fornitore di servizi cloud. I clienti sono quindi comprensibilmente preoccupati per la sicurezza delle proprie informazioni, poiché qualcun altro potrebbe potenzialmente accedere alle loro chiavi di crittografia.
A questo punto salta fuori l’approccio Bring-Your-Own-Key (BYOK), di cui è bene conoscere il funzionamento ed esplorarne vantaggi aziendali e sfide associate alla tecnologia.
BYOK è un metodo di sicurezza dei dati che consente alle organizzazioni di portare le proprie chiavi di crittografia in un ambiente cloud, fornendone un certo livello di controllo e gestione.
Questa tecnica aiuta ad affrontare le preoccupazioni relative alla visibilità e alla proprietà delle chiavi, impedendo ai fornitori di infrastrutture e ai fornitori di servizi cloud (CSP Cloud Service Provider) di accedere a tali chiavi non crittografate.
Normalmente aziende ed enti archiviano e salvaguardano tali chiavi BYOK nell’ambiente cloud, il che limita il controllo fornito da un ambiente BYOK. Tuttavia, i fornitori di servizi cloud integrano le loro funzionalità BYOK con un tradizionale modulo di sicurezza hardware (HSM Hardware Security Module), in modo da essere protetti da accessi non autorizzati.
Volendo prendere in considerazione i vantaggi di BYOK, va subito detto che questo metodo consente alle organizzazioni di utilizzare i dati secondo necessità, inclusa l’analisi dei dati nel cloud e la condivisione interna, preservando al tempo stesso i più elevati standard di sicurezza. Questo significa che BYOK può essere un potenziale meccanismo di controllo per le normative di conformità come il GDPR, che impongono pratiche avanzate di protezione dei dati, incluso il “diritto all’oblio”.
In precedenza, i dati archiviati nel cloud venivano crittografati con chiavi di proprietà dei CSP, lasciando le aziende prive di un reale ed efficace controllo sui propri dati. Non è certo un segreto che una simile architettura si profila come particolarmente preoccupante per i settori altamente regolamentati come la finanza e la sanità. Il discorso cambia radicalmente con il BYOK perché le organizzazioni possono gestire direttamente ed autonomamente le proprie chiavi e di conseguenza riprendere il controllo sui propri dati.
BYOK offre maggiore flessibilità per le organizzazioni che operano in più aree geografiche poiché consente l’uso delle stesse chiavi per salvaguardare i dati indipendentemente dal fornitore di servizi cloud. Se non bastasse, consente la personalizzazione dei sistemi di gestione delle chiavi per soddisfare specifici requisiti di sicurezza.
Non sempre chi tratta dati attribuisce la dovuta priorità al rischio di violazione dei propri archivi elettronici, ma BYOK può ridurre al minimo l’impatto di eventuali “sorprese”.
Siccome le chiavi root sono controllate dal cliente, i dati protetti tramite BYOK diventano illeggibili e inutilizzabili sia per eventuali dipendenti infedeli o per altri attaccanti interni al CSP, sia per gli immancabili hacker che arrivano da fuori.
E’ una sorta di talismano per scongiurare multe e risarcimenti: BYOK può anche prevenire potenziali sanzioni per conformità e perdita di affari che una violazione può creare. In termini pratici può comportare anche risparmi sui sempre fastidiosi costi indiretti.
L’implementazione di BYOK richiede un trasferimento del controllo dal fornitore al proprietario dei dati, cui rimpalla una maggiore responsabilità su dati e chiavi. Il CSP deve consentire la generazione di chiavi e fornire un meccanismo affidabile per proteggere i dati nell’ambiente cloud.
Naturalmente il significato di BYOK varia tra i diversi CSP e non tutte le opzioni BYOK potrebbero essere completamente compatibili con i tanti provider di servizi Cloud. Occorre esaminare la situazione e procedere ad una attenta analisi per evitare di perdere tempo in incontri con fornitori che potrebbero non soddisfare le proprie esigenze.
Ma i costi? Nessuno regala nulla. Va detto che sono previste spese aggiuntive associate all’impostazione e alla gestione di BYOK. In ragione del livello di servizio fornito dal fornitore, potrebbe essere necessario personale aggiuntivo per la manutenzione del sistema.
