Ir al contenido

BYOK

Con la estrategia BYOK(Bring Your Own Key), es posible transportar de forma segura las claves generadas en el HSM a los servicios de gestión de claves (KMS) de los proveedores de la nube. Esta funcionalidad permite mantener el control sobre las claves criptográficas al tiempo que se aprovecha la infraestructura de la nube.

HSM admite BYOK para los principales proveedores de nubes:

  • Bóveda de claves de Microsoft Azure
  • KMS de Amazon Web Services (AWS)

El modelo BYOK mejora la seguridad y el cumplimiento, permitiendo a las empresas mantener un control total sobre sus datos sensibles, incluso cuando utilizan servicios de nube pública. BYOK ofrece mayor flexibilidad, mayor visibilidad sobre el uso de las claves y una postura más firme contra la dependencia de un proveedor y las posibles violaciones de datos, en comparación con depender únicamente de la gestión de claves del proveedor de la nube.

Beneficios

  • Mayor control y seguridad: las organizaciones conservan la propiedad y el control sobre sus claves criptográficas, garantizando que sólo ellas tienen acceso.
  • Cumplimiento: ayuda a las organizaciones a cumplir los requisitos normativos de seguridad de datos y gestión de claves.
  • Flexibilidad y agilidad: admite estrategias de adopción de la nube en escenarios multicloud sin sacrificar el control ni la seguridad.
  • Al controlar sus propias claves, las organizaciones dependen menos de la gestión de la infraestructura de un proveedor de nube concreto.
  • Visibilidad: los usuarios obtienen una visibilidad completa de cómo se utilizan sus claves en el entorno de la nube.

Funcionamiento general

  1. Generación de claves: la organización crea su clave maestra de cifrado a nivel local, normalmente utilizando HSM para una mayor seguridad y cumplimiento.
  2. Transferencia de claves: esta clave maestra se transfiere de forma segura al sistema de gestión de claves (KMS) del proveedor de la nube.
  3. Cifrado de datos: El proveedor de la nube utiliza la clave maestra de la organización para proteger las claves de cifrado de datos (DEK), que son las claves que cifran directamente los datos en la nube.
  4. Gestión de claves: la organización conserva el control último y la propiedad de la clave maestra, lo que le permite gestionar su ciclo de vida, incluida la rotación, y revocar el acceso a sus datos en caso necesario.

Funcionamiento de la consola

La operación BYOK en HSM puede realizarse a través de la consola administrativa.

Consulte el tema Partición/Exportación para más detalles.