Bring Your Own Key (BYOK)
Was ist Bring Your Own Key (BYOK)?
Bring Your Own Key (BYOK)Schlüsselverwaltungsmodell, bei dem der Kunde eigene Verschlüsselungsschlüssel erzeugt oder importiert und in das KMS des Cloud-Anbieters einbringt, statt anbietergenerierte zu nutzen.
BYOK gibt dem Kunden Kontrolle über den Lebenszyklus der Hauptschlüssel, die Cloud-Daten schützen, während der Anbieter diese weiterhin in seinem KMS oder HSM speichert und betreibt. Schlüssel werden typischerweise in einem kundeneigenen HSM erzeugt, kryptografisch verpackt und dann sicher in die Cloud importiert. Der Kunde kann Schlüsselmaterial rotieren, deaktivieren oder zur Löschung planen — das verbessert den Audit-Trail und ermöglicht einen schnellen Entzug des Anbieterzugriffs. BYOK allein verhindert nicht, dass der Anbieter die Schlüssel verwendet, da sie weiterhin in dessen Infrastruktur liegen; dafür wird HYOK oder ein externer Keystore benötigt. Übliche Umsetzungen: AWS KMS mit importiertem Material, Azure Key Vault BYOK und Google Cloud EKM.
● Beispiele
- 01
Import von Schlüsselmaterial aus einem On-Prem-HSM in AWS KMS.
- 02
Azure Key Vault BYOK mit FIPS-140-2-HSM für die Wrap-Zeremonie.
● Häufige Fragen
Was ist Bring Your Own Key (BYOK)?
Schlüsselverwaltungsmodell, bei dem der Kunde eigene Verschlüsselungsschlüssel erzeugt oder importiert und in das KMS des Cloud-Anbieters einbringt, statt anbietergenerierte zu nutzen. Es gehört zur Kategorie Cloud-Sicherheit der Cybersicherheit.
Was bedeutet Bring Your Own Key (BYOK)?
Schlüsselverwaltungsmodell, bei dem der Kunde eigene Verschlüsselungsschlüssel erzeugt oder importiert und in das KMS des Cloud-Anbieters einbringt, statt anbietergenerierte zu nutzen.
Wie schützt man sich gegen Bring Your Own Key (BYOK)?
Schutzmaßnahmen gegen Bring Your Own Key (BYOK) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Bring Your Own Key (BYOK)?
Übliche alternative Bezeichnungen: BYOK, Kundeneigene Schlüssel.