English English French French Spanish Spanish German German
Geekflare cuenta con el apoyo de nuestra audiencia. Podemos ganar comisiones de afiliados comprando enlaces en este sitio.
Comparte en:

Comprensión Traiga su propio cifrado y claves (BYOE)

Traiga su propio cifrado y claves
Escáner de seguridad de aplicaciones web Invicti – la única solución que ofrece verificación automática de vulnerabilidades con Proof-Based Scanning™.

El principal argumento en contra de la computación en la nube que esgrimen sus detractores es la seguridad. BYOE garantiza la seguridad de todos sus servicios en la nube. Veamos cómo.

En la computación en la nube, el propietario de los datos no tiene control directo sobre ellos y se ve obligado a depender del proveedor de servicios en la nube para mantenerlos a salvo del acceso no autorizado. La solución más comúnmente aceptada para proteger la información que reside en las nubes es cifrarla.

El problema con cifrado de datos es que no solo evita que los usuarios no autorizados accedan a los datos, sino que también agrega complicaciones al uso de los datos para usuarios legítimamente autorizados.

Supongamos que una empresa aloja sus datos en forma cifrada en la infraestructura de un proveedor de servicios en la nube (CSP). En ese caso, necesita alguna forma efectiva de descifrado que no dificulte a los usuarios el uso de los datos y las aplicaciones, ni afecte negativamente su experiencia de usuario.

Muchos proveedores de la nube ofrecen a sus clientes la opción de mantener sus datos cifrados, brindándoles herramientas para que el descifrado sea transparente y desapercibido para los usuarios autorizados.

No BYOE

Sin embargo, cualquier esquema de cifrado sólido requiere claves de cifrado. Y cuando el cifrado de datos lo lleva a cabo el mismo CSP que contiene los datos, ese CSP también conserva las claves de cifrado.

Entonces, como cliente de un CSP, no puede tener control total sobre sus datos, ya que no puede confiar en que su CSP mantendrá las claves de cifrado completamente seguras. Cualquier fuga de estas claves podría dejar sus datos completamente expuestos al acceso no autorizado.

Why you Need BYOE

BYOE (trae tu propia encriptación) también puede denominarse BYOK (trae tus propias claves), aunque como estos son conceptos bastante nuevos, diferentes compañías pueden dar a cada acrónimo un significado diferente.

BYOE es un modelo de seguridad diseñado específicamente para la computación en nube, que permite a los clientes de servicios en la nube utilizar sus propias herramientas de cifrado y gestionar sus propias claves de cifrado.

¿Por qué necesita BYOE?

En el modelo BYOE, los clientes de un CSP implementan una instancia virtualizada de su propio software de cifrado, junto con la aplicación que alojan en la nube.

La aplicación está configurada de tal forma que toda su información es procesada por software de cifrado. Este software cifra los datos y los almacena en forma de texto cifrado en el repositorio de datos físicos del proveedor de servicios en la nube.

Una ventaja importante de BYOE es que permite a las empresas utilizar servicios en la nube para alojar sus datos y aplicaciones mientras cumplen con los criterios de privacidad de datos impuestos por los reguladores en ciertas industrias. Incluso en entornos de terceros de múltiples inquilinos.

Este enfoque permite a las empresas utilizar la tecnología de cifrado que mejor se adapte a sus necesidades, independientemente de la infraestructura de TI del proveedor de servicios en la nube.

Benefits of BYOE

Los principales beneficios que puede obtener al usar BYOE son:

  • Mayor seguridad de los datos alojados en infraestructuras de terceros.
  • Control total del cifrado de datos, incluido el algoritmo y las claves.
  • Vigilancia y control de accesos como valor añadido.
  • Cifrado y descifrado transparente para no afectar la experiencia de uso de datos.
  • Posibilidad de reforzar la seguridad con módulos de seguridad de hardware.

Comúnmente se cree que basta con que la información esté encriptada para estar a salvo de riesgos, pero no es así. El nivel de seguridad de los datos cifrados es tan alto como la seguridad de las claves utilizadas para descifrarlos. Si las claves están expuestas, los datos estarán expuestos, incluso si están encriptados.

BYOE es una forma de evitar que la seguridad de las claves de cifrado se deje al azar y la seguridad la implemente un tercero, es decir, su CSP.

BYOE es el bloqueo final en un esquema de protección de datos que de otro modo tendría una violación peligrosa. Con BYOE, incluso si las claves de cifrado de su CSP se ven comprometidas, sus datos no lo estarán.

How BYOE Works

El esquema de seguridad BYOE requiere que el CSP ofrezca a sus clientes la opción de utilizar sus propios algoritmos de cifrado y claves de cifrado.

Para usar este mecanismo sin afectar la experiencia del usuario, deberá implementar una instancia virtualizada de su software de cifrado junto con las aplicaciones que aloja en su CSP.

Las aplicaciones empresariales en el esquema BYOE deben configurarse para que todos los datos que manejan pasen por la aplicación de encriptación.

Adiós

Esta aplicación funciona como un proxy entre el front-end y el back-end de sus aplicaciones comerciales para que en ningún momento se muevan o almacenen datos sin cifrar.

Debe asegurarse de que el back-end de sus aplicaciones comerciales almacene una versión de texto cifrado de sus datos en el repositorio de datos físicos de su CSP.

BYOE Versus Native Encryption

Las arquitecturas que implementan BYOE ofrecen una mayor confianza en la protección de sus datos que las soluciones de cifrado nativas proporcionadas por los CSP. Esto es posible gracias al uso de una arquitectura que protege las bases de datos estructuradas, así como los archivos no estructurados y los entornos de big data.

Mediante el uso de extensiones, las mejores soluciones de su clase de BYOE le permiten usar los datos incluso durante las operaciones de cifrado y cambio de clave. Por otro lado, usar la solución BYOE para monitorear y registrar el acceso a los datos es una forma de anticipar la detección e intercepción de amenazas.

También existen soluciones BYOE que ofrecen, como valor agregado, cifrado AES de alto rendimiento, mejorado con aceleración de hardware y políticas de control de acceso granular.

De esta forma, pueden establecer quién puede acceder a los datos, en qué momentos y a través de qué procesos, sin necesidad de recurrir a herramientas de monitorización específicas.

Key Management

Además de usar su propio módulo de encriptación, necesitará un software de administración de claves de encriptación (EKM) para administrar sus claves de encriptación.

Este software permite a los administradores de TI y de seguridad administrar el acceso a las claves de cifrado, lo que facilita que las empresas almacenen sus propias claves y las mantengan fuera del alcance de terceros.

Existen diferentes tipos de claves de cifrado según el tipo de datos a cifrar. Para ser realmente efectivo, el software EKM que elija debe ser capaz de manejar cualquier tipo de clave.

La gestión de claves de cifrado flexible y eficiente es esencial cuando las empresas combinan sistemas en la nube con sistemas locales y virtuales.

Hardening BYOE with an HSM

Un módulo de seguridad de hardware, o HSM, es un dispositivo de seguridad física que se utiliza para realizar operaciones criptográficas de forma rápida y con la máxima seguridad. Estas operaciones criptográficas incluyen el cifrado, la gestión de claves, el descifrado y la autenticación.

HSM

Los HSM están diseñados para brindar la máxima confianza y solidez y son ideales para proteger datos clasificados. Se pueden implementar como tarjetas PCI Express, dispositivos independientes con interfaces de red Ethernet o simplemente dispositivos USB externos.

Disponen de sus propios sistemas operativos, especialmente diseñados para maximizar la seguridad, y su acceso a la red está protegido por un cortafuegos.

Cuando usa un HSM en combinación con BYOE, el HSM asume el rol de un proxy entre sus aplicaciones comerciales y los sistemas de almacenamiento de su CSP, y se encarga de todo el procesamiento criptográfico necesario.

Al utilizar el HSM para tareas de cifrado, se asegura de que estas tareas no impongan retrasos molestos en el funcionamiento normal de sus aplicaciones. Además, con un HSM minimizas las posibilidades de que usuarios no autorizados interfieran con la gestión de tus claves o algoritmos de cifrado.

En busca de estándares

Al adoptar un esquema de seguridad BYOE, debe considerar lo que puede hacer su CSP. Como hemos visto a lo largo de este artículo, para que sus datos estén verdaderamente seguros en la infraestructura de un CSP, el CSP debe asegurarse de que pueda instalar su propio software de cifrado o HSM junto con sus aplicaciones, que los datos se cifrarán en los repositorios del CSP, y que usted y nadie más tendrá acceso a las claves de cifrado.

También puede explorar algunas de las mejores soluciones de corredor de seguridad de acceso a la nube para ampliar los sistemas de seguridad en las instalaciones de la organización.

Gracias a nuestros patrocinadores
Más lecturas interesantes sobre seguridad
Impulse su negocio
Algunas de las herramientas y servicios para ayudar a que su negocio crezca.
  • Invicti utiliza Proof-Based Scanning™ para verificar automáticamente las vulnerabilidades identificadas y generar resultados procesables en cuestión de horas.
    Prueba Invicti
  • Web scraping, proxy residencial, administrador de proxy, desbloqueador web, rastreador de motores de búsqueda y todo lo que necesita para recopilar datos web.
    Prueba Brightdata
  • Semrush es una solución de marketing digital todo en uno con más de 50 herramientas en SEO, redes sociales y marketing de contenido.
    Prueba Semrush
  • Intruder es un escáner de vulnerabilidades en línea que encuentra debilidades de ciberseguridad en su infraestructura, para evitar costosas filtraciones de datos.
    Trata Intruder