T-Systems-Claim-Logo
Zoeken
Wolk met tie-wraps

Cloudencryptie voor AWS schept mogelijkheden

Beveilig je gevoelige gegevens in AWS met onze managed service voor extern sleutelbeheer (External Key Management, EKM), die is gekoppeld aan de AWS KMS

11. april 2023John Mathew George

Extern sleutelbeheer voor meer veiligheid: AWS Key Management Services

Hoe kun jij wettelijke beveiligingsvereisten in de cloud implementeren zonder de bedrijfsprocessen te belemmeren? Encryptie maakt dit mogelijk. Met extern sleutelbeheer kunnen gebruikers de maximale controle over hun sleutels behouden.

Er is geen ontkomen aan: op naar de cloud!

Vrouw zittend voor een computerscherm

De cloud is de nieuwe standaard; zonder flexibele platforms is digitalisering praktisch ondenkbaar. Zelfs bedrijven die op traditionele IT-leveringsmodellen blijven vertrouwen, voelen steeds meer de druk om naar de cloud te migreren. Dit komt vooral door het feit dat veel concurrenten de cloud gebruiken om een marktvoordeel op het gebied van bedrijfsflexibiliteit te behalen. Wie wil er nu terrein prijsgeven aan de concurrentie? Naarmate de behoefte aan zakelijke wendbaarheid toeneemt, neemt ook het cloudgebruik toe en groeit de cloudmarkt. In oktober 2022 voorspelde Gartner een groei van bijna 19 procent tot 490 miljard dollar in 2022, waarbij hij aangaf dat "de cloud nog altijd het grootste deel van de IT-uitgaven voor zijn rekening neemt".  

Hoe werken veilige cloud-omgevingen?

De cloud biedt nieuwe zakelijke mogelijkheden, maar IT-managers zijn vaak sceptisch: de veiligheid in de cloud blijft een belangrijk punt, zoals uit talloze onderzoeken naar voren is gekomen. Maar bedenkingen over de veiligheid zijn niet in de eerste plaats te wijten aan een gebrek aan vertrouwen in hyperscalers. De best practices op het gebied van veiligheid die in het platform zijn geïntegreerd, zijn bijvoorbeeld zeer overtuigend: "We kunnen dit veiligheidsniveau in onze eigen datacenters niet bereiken", is een veelgehoorde uitspraak. De bedenkingen met betrekking tot cloudbeveiliging zijn eerder te wijten aan een gebrek aan interne expertise. Deskundige beveiligingskennis is zeldzaam en zeer gewild in de markt. Maar het concept van gedeelde verantwoordelijkheid betekent dat ook de gebruikers een bijdrage aan de veiligheid moeten leveren.

Security als bedrijfsprioriteit

Aandacht voor cloudbeveiliging is van essentieel belang en het loont de moeite om dit goed in ogenschouw te nemen. De processen in de cloud moeten immers minstens zo betrouwbaar en veilig zijn als in het datacenter van het bedrijf zelf. Dit is beslist niet alleen een technische kwestie, want het bedrijfsleven ondervindt er vooral de gevolgen van als clouddiensten niet beschikbaar zijn. Cloudbeveiliging wordt daarom een beslissende factor voor toekomstig zakelijk succes en er dient hoge prioriteit te worden gegeven aan beveiligingsconcepten.  

Encryptie vervult een sleutelrol

Encryptie speelt een fundamentele rol in cloudbeveiligingsarchitecturen. Bij zowel ervaren cloudgebruikers als nieuwkomers roept dit de vraag op welke encryptiemogelijkheden er zijn. Hoewel encryptie geen wondermiddel is, biedt het wel een oplossing voor een hele reeks beveiligingsvereisten. Vereisten waaraan een bedrijf moet voldoen, zowel in zijn eigen belang als op grond van externe eisen, bijvoorbeeld van toezichthoudende autoriteiten.  

Gegevensencryptie: AWS Key Management Services

Leveranciers zoals Amazon Web Services (AWS) bieden een ruim assortiment aan beveiligingsdiensten die de hele levenscyclus van de beveiliging bestrijken: identificatie, beveiliging, detectie, reactie en herstel. Hieronder vallen ook encryptieoplossingen. De encryptie van gegevens "in beweging" is relatief eenvoudig: in het bedrijfsleven worden deze gegevens vaak versleuteld. Beproefde oplossingen als Transport Layer Security (TLS) worden gebruikt tussen datacenters, servers en eindapparaten. Om gegevevens in ruste te versleutelen, zijn platformspecifieke diensten nodig. Bij AWS is encryptie beschikbaar voor de meeste services, waaronder alle soorten opslagoplossingen en veel databases, Amazon EBS, Amazon S3, Amazon RDS, Amazon Redshift, Amazon ElastiCache, AWS Lambda en Amazon SageMaker. Met Nitro Compute-instanties biedt AWS ook confidential computing om gegevens tijdens de verwerking te versleutelen. 

En wie kan erbij?

Moderne encryptiemethoden ondersteund door een degelijk sleutelbeleid vergroten het vertrouwen in de cloud. Maar bij encryptie blijft er altijd één cruciale vraag: wie heeft de sleutel? Waarschijnlijk heb je de volgende scène wel eens in een film gezien: de hoofdpersoon komt in een chique auto aanrijden bij een hotel. Een elegant geklede hotelbediende springt in de wagen en vangt daarbij de hem toegeworpen autosleutels op. De protagonist gaat het hotel binnen terwijl zijn auto wegrijdt. Deze scène zie je keer op keer. Maar in veel films gaat het er anders aan toe: de bestuurder maakt eerst een ritje met de auto of gaat ermee vandoor zonder dat de eigenaar er iets van merkt. Voor cloudencryptie geldt ongeveer hetzelfde. 

Externe KMS – meer veiligheid

Bedrijven kunnen hun gegevens op drie manieren versleutelen. Het bovenstaande voorbeeld zou puur cloudgebaseerde encryptie zijn, waarbij de encryptieproviders de sleutels op hun platform genereren, beheren en opslaan. Dit werkt goed bij partners (maar niet altijd bij vreemden) en vormt een aanzienlijke vereenvoudiging van de administratie. Ook kunnen bedrijven gebruik maken van de optie 'Bring Your Own Key' (neem je eigen sleutel mee). Hierbij worden de sleutels door de gebruiker aangemaakt en beheerd. De cloudaanbieder krijgt er toegang toe en kan ze gebruiken. De derde optie is dat de gebruiker de sleutels heeft en ze zelf bewaart. In dit geval hebben de gebruikers de volledige controle over hun sleutels - en dus ook over hun inhoud en databases.   

EKM als managed service?

De volledige controle hebben over het sleutelbeheer vergt een aanzienlijke inspanning, die toeneemt naarmate er meer encryptie voor AWS-services wordt gebruikt. Daarom kan er ook gebruik worden gemaakt van extern sleutelbeheer door een betrouwbare EKM-provider ('Management as a Service'). Deze aanpak ligt ten grondslag aan het External Key Management (EKM) van T-Systems voor Amazon Web Services. T-Systems host als jouw sleutelbeheerder de sleutels op hardwarebeveiligingsmodules (HSM gecertificeerd volgens FIPS 140-2 Level 3) in een zeer veilig en zeer beschikbaar datacenter van Telekom. De AWS Key Management Service (AWS KMS) is aan deze backendsystemen gekoppeld. Zo kunnen onze klanten de sleutels op dezelfde manier gebruiken als door AWS-beheerde Customer Master Keys (CMK): de sleutels zijn opgenomen in alle AWS-services die AWS Key Management Services (KMS)KMS ondersteunen.

Meer dan alleen compliance

Met een extern sleutelbeheer KMS verhogen bedrijven op aanzienlijke wijze hun beveiligingsniveau, zodat zelfs streng gereguleerde industrieën hun gevoelige gegevens op AWS kunnen verwerken. Maar EKM voldoet niet alleen aan de compliance-eisen door veilige en controleerbare processen voor sleutelbeheer mogelijk te maken, zoals vereist door PCI-DSS, HIPAA en de EU-DSGVO.  Ook de externe sleutelbeheersystemen vereenvoudigen multi-tenant scenario's, maken het probleemloze gebruik van gedecentraliseerde opslagsystemen mogelijk en ondersteunen sleutelrotatie. Deze best practice voor IT-beveiliging (bijvoorbeeld vereist door PCI-DSS) voor regelmatige sleuteluitwisseling kan worden geautomatiseerd met behulp van externe oplossingen voor sleutelbeheer. 

Samengevat kan worden gezegd ...

Extern sleutelbeheer kan een belangrijke rol spelen in jouw AWS-beveiligingsarchitectuur. Vooral met extern sleutelbeheer creëer je mogelijkheden voor het verwerken van gevoelige gegevens met AWS. Als je onze hulp nodig hebt of een vrijblijvend gesprek wilt om meer te weten te komen over de opties die voor jou gelden, neem dan contact met ons op. 


Informatie over de auteur
IM-George-John-Mathew

John Mathew George

Lead Security Architect voor AWS, T-Systems International GmbH

Alle artikelen en het profiel van de auteur

Dit vind jij misschien ook interessant

Do you visit t-systems.com outside of Netherlands? Visit the local website for more information and offers for your country.