Przechowywanie wrażliwych lub krytycznych danych w chmurze to idea, która zgodnie z powszechną opinią specjalistów nie jest dobrym pomysłem. Firma Box, znany dostawca usług chmurowej pamięci masowej próbuje zmienić tą opinię wprowadzając nową usługę Box EKM (Enterprise Key Management), która ma zapewnić szczególnie wysokie bezpieczeństwo informacji przechowywanych w chmurze, a jednocześnie zmniejszyć koszty i odciążyć firmy od problemów związanych z wdrażaniem systemów do zarządzania prawami dostępu i kluczami szyfrującymi. Usługa jest adresowana m.in. do banków, instytucji medycznych itp., a więc organizacji dla których bezpieczeństwo danych oraz możliwości kontroli i audytu dostępu do nich są szczególnie ważne.

Jak działa Box EKM

Rozwiązanie oferowane przez Box składa się z pamięci masowej w chmurze Box, urządzenia sprzętowego HSM zainstalowanego w innej chmurze (obecnie tylko AWS - Amazon Web Services), które szyfruje i zapisuje klucze dostępu oraz przechowuje logi, a także urządzenia przechowującego zapasową kopię danych z HSM w firmowym centrum danych.

Zobacz również:

• Naukowcy odblokowali "Świętego Graala" technologii pamięci
• Cyfrowa transformacja z AI - co nowego na Google Cloud Next 24

Gdy użytkownik chce zapisać plik w chmurze udostępnianej przez Box jest on szyfrowany przy wykorzystaniu klucza, który z kolei jest przesyłany do urządzenia w chmurze AWS, ponownie szyfrowany i zapisywany w dobrze zabezpieczonej pamięci. Dodatkowo, urządzenie to zapisuje logi zawierające informacje o każdym dostępie do danych. Logów tych nie można modyfikować.

Jeśli pojawia się żądanie dostępu do pliku, system Box przesyła żądanie udostępnienia klucza do urządzenia HSM w innej chmurze, które zapisuje odpowiednie informacje w logu i przesyła klucz.

Jest to więc wielowarstwowy model zabezpieczeń. Choć dane nie są zaszyfrowane przy wykorzystaniu klucza należącego do użytkownika, ale ma on pełną kontrolę nad procesem ich odszyfrowywania i udostępniania. Aby odszyfrować plik, Box musi uzyskać odszyfrowaną przez HSM wersję klucza.

Użytkownik może zdefiniować, jakie żądania dostępu będą obsługiwane przez system automatycznie.

Z punktu widzenia użytkownika wszystkie te operacje są przezroczyste i po prostu otwiera on żądany dokument.

Jeśli nawet haker zdobyłby dane pozwalające na dostęp do konta Box EKM, to musi jeszcze uzyskać klucze przechowywane w innej chmurze (np. AWS), bo inaczej zobaczy tylko nieczytelne, zaszyfrowane pliki.

Urządzenie obsługujące usługę EKM to Gemalto SafeNet HSM (Hardware Security Module). Jest super bezpieczne, gdyż nawet wtedy gdy ktoś je fizycznie ukradnie i próbuje przy nim manipulować, to specjalny mechanizm wymaże wszystkie dane przechowywane w jego pamięci. HSM są już wykorzystywane m.in. przez agencje rządowe w USA oraz współpracujące z nimi firmy.

Moduły HSM są elementem usług AWS CloudHSM. W odróżnieniu od innych usług chmurowych Amazon, użytkownik ma jednak do dyspozycji dedykowany element sprzętowy podłączony do jego prywatnej chmury w tej firmie.

Firma korzystająca z usługi Box EKM będzie też miała własne urządzenie sprzętowe przechowujące kopię danych z HSM.

W przypadku dużych firm, istnieje możliwość zakupu urządzenia Gemalto na własność, a Box rozważa możliwość wprowadzenia do oferty usługi ich integracji ze swoją pamięcią masową w chmurze.

Obecnie Box EKM jest w fazie beta. Komercyjna wersja usług ma być dostępna na wiosnę bieżącego roku. Ich ceny nie zostały jeszcze oficjalnie ujawnione, ale najprawdopodobniej będą wynosić około 5000 USD za AWS HSM plus abonament kosztujący 1300 USD miesięcznie.

Wszystko w chmurze

Box EKM umożliwia firmom zachowanie pełnej kontroli oraz możliwości zarządzania prawami dostępu i kluczami szyfrującymi, a jednocześnie jest rozwiązaniem zapewniającym łatwość użytkowania jaką oferują usługi pamięci masowej w chmurach.

Nie ulega wątpliwości, że centralne, firmowe systemy do zarządzania i kontroli dostępu do wrażliwych i krytycznych danych mogą zapewnić ich bezpieczeństwo na wymaganym poziomie. Problemem są często jednak koszty ich utrzymania i zapewnienia by pod względem uniwersalności (dostęp przy wykorzystaniu różnych urządzeń) oraz łatwości użytkowania dorównywały rozwiązaniom chmurowym oferowanym przez takich usługodawców jak Box lub Dropbox.

"Wielu użytkowników chciałoby skorzystać z usług przechowywania danych w chmurze, ale pod warunkiem, że zapewni to pełną kontrolę nad dostępem do najbardziej wrażliwych informacji” mówi Eand Wacker, wiceprezes Box ds. produktów korporacyjnych.

Rozwiązanie nie tylko odseparowuje system przechowywania zaszyfrowanych danych (chmura Box) od systemu do zarządzania kluczami (AWS CloudHSM), ale tworzy również nieusuwalny log z informacjami o wszystkich próbach dostępu, który użytkownicy mogą przeglądać, analizować i poddawać audytowi.

Należy zauważyć, że podobne rozwiązania są już dostępne na rynku, na przykład oferują je WatchDox, nCrypted Cloud, SafeMonk, Sookasa, PKWARE Viivo. Ale Box jest znacznie większą firmą, która ma obecnie już ok. 44 tys. użytkowników korzystających z jego systemów do współpracy online.