Bring Your Own Key (BYOK)
¿Qué es Bring Your Own Key (BYOK)?
Bring Your Own Key (BYOK)Modelo de gestión de claves en el que el cliente genera o importa sus propias claves de cifrado en el KMS del proveedor cloud, en lugar de usar las generadas por este.
BYOK permite al cliente controlar el ciclo de vida de las claves maestras que protegen sus datos en la nube, aunque el proveedor las custodie y opere dentro de su KMS o HSM. Las claves se suelen generar en un HSM local y se envuelven criptográficamente para importarlas a la nube. El cliente puede rotar, deshabilitar o programar el borrado del material clave, lo que aporta un mejor registro de auditoría y una vía rápida para revocar el acceso del proveedor. BYOK por sí solo no impide que el proveedor utilice las claves, ya que siguen residiendo en su infraestructura: para eso se necesita HYOK o un almacén externo. Implementaciones típicas: AWS KMS con material importado, Azure Key Vault BYOK y Google Cloud EKM.
● Ejemplos
- 01
Importar material de clave a AWS KMS desde un HSM local.
- 02
Azure Key Vault BYOK con un HSM FIPS 140-2 para la ceremonia de envoltura.
● Preguntas frecuentes
¿Qué es Bring Your Own Key (BYOK)?
Modelo de gestión de claves en el que el cliente genera o importa sus propias claves de cifrado en el KMS del proveedor cloud, en lugar de usar las generadas por este. Pertenece a la categoría de Seguridad en la nube en ciberseguridad.
¿Qué significa Bring Your Own Key (BYOK)?
Modelo de gestión de claves en el que el cliente genera o importa sus propias claves de cifrado en el KMS del proveedor cloud, en lugar de usar las generadas por este.
¿Cómo defenderse de Bring Your Own Key (BYOK)?
Las defensas contra Bring Your Own Key (BYOK) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Bring Your Own Key (BYOK)?
Nombres alternativos comunes: BYOK, Claves aportadas por el cliente.