Bring Your Own Key (BYOK)
Что такое Bring Your Own Key (BYOK)?
Bring Your Own Key (BYOK)Модель управления ключами, при которой клиент сам генерирует или импортирует собственные ключи шифрования в KMS облачного провайдера, не используя его сгенерированные ключи.
BYOK даёт клиенту контроль над жизненным циклом мастер-ключей, защищающих данные в облаке, при этом сами ключи по-прежнему хранятся и используются в KMS или HSM провайдера. Обычно ключ создаётся в локальном HSM клиента, упаковывается криптографически и безопасно импортируется в облако. Клиент может вращать, отключать или планировать удаление ключевого материала, получая более полный аудит и быстрый способ отзыва доступа провайдера. Сам по себе BYOK не мешает провайдеру использовать ключи, поскольку они остаются в его инфраструктуре, — для этого нужны HYOK или внешние хранилища. Типичные реализации: импорт ключей в AWS KMS, Azure Key Vault BYOK и Google Cloud EKM.
● Примеры
- 01
Импорт ключевого материала в AWS KMS из локального HSM.
- 02
Azure Key Vault BYOK с HSM, сертифицированным по FIPS 140-2, для церемонии оборачивания.
● Частые вопросы
Что такое Bring Your Own Key (BYOK)?
Модель управления ключами, при которой клиент сам генерирует или импортирует собственные ключи шифрования в KMS облачного провайдера, не используя его сгенерированные ключи. Относится к категории Облачная безопасность в кибербезопасности.
Что означает Bring Your Own Key (BYOK)?
Модель управления ключами, при которой клиент сам генерирует или импортирует собственные ключи шифрования в KMS облачного провайдера, не используя его сгенерированные ключи.
Как защититься от Bring Your Own Key (BYOK)?
Защита от Bring Your Own Key (BYOK) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Bring Your Own Key (BYOK)?
Распространённые альтернативные названия: BYOK, Клиентские ключи.