Bring Your Own Key: Control de criptare pentru întreprinderi

Notă: Acest articol descrie arhitectura și designul Mandraki. Unele funcționalități discutate sunt lansate progresiv și este posibil să nu fie încă disponibile în toate planurile.

Pentru multe echipe de securitate din întreprinderi, criptarea este o condiție necesară, dar nu și suficientă. Întrebarea critică nu este dacă datele sunt criptate, ci cine deține cheile. Dacă furnizorul platformei controlează cheile de criptare, atunci furnizorul — sau oricine îl poate constrânge pe furnizor — poate decripta datele. Criptarea există, dar clientul nu o controlează cu adevărat.

Funcționalitatea Bring Your Own Key (BYOK) a Mandraki abordează acest lucru direct. Permite organizațiilor să furnizeze propriile chei de criptare, asigurând că controlul criptografic rămâne în orice moment la client.

Ierarhia de chei pe trei straturi

Pentru a înțelege BYOK, este util să înțelegeți arhitectura generală de criptare a Mandraki. Folosim un model de criptare envelope cu trei straturi.

În vârf se află Master Key, care protejează tot ce se află sub ea. Într-o implementare standard, Mandraki generează și gestionează această cheie. Într-o implementare BYOK, clientul o furnizează.

Al doilea strat constă din chei de organizație (Organisation Keys) — una per organizație. Fiecare Org Key este criptată (împachetată) de Master Key și stocată în baza de date în forma sa împachetată. Când este necesar, Org Key este dezambalată în memorie, utilizată și apoi eliminată. Cheile dezambalate sunt păstrate într-un cache LRU în memorie cu un timp de viață de cinci minute pentru performanță, dar nu sunt niciodată scrise pe disc sau stocate în Redis.

Al treilea strat constă din chei de criptare a datelor (Data Encryption Keys, DEK-uri), una per scop: mesaje, fișiere, înregistrări și transcrieri. Fiecare DEK este împachetată de Org Key a organizației sale. DEK-ul este cel care criptează și decriptează efectiv datele folosind AES-256-GCM.

Această abordare în straturi înseamnă că rotirea unei chei la un nivel nu necesită recriptarea tuturor datelor sub aceasta. Rotirea Org Key necesită reîmpachetarea DEK-urilor, dar nu și recriptarea fiecărui mesaj. Rotirea unui DEK înseamnă că datele noi sunt criptate cu noua cheie, în timp ce datele vechi rămân lizibile cu DEK-ul vechi (care este marcat ca rotit, dar păstrat).

Cum funcționează BYOK în practică

Când o organizație activează BYOK, își furnizează Master Key printr-un proces sigur de import. Mandraki acceptă o cheie AES de 256 de biți furnizată printr-un canal sigur. Organizația este responsabilă pentru ciclul de viață, backup-ul și disponibilitatea cheii. Pentru organizațiile cu propriile HSM-uri sau infrastructură de gestionare a cheilor, cheia poate fi generată extern și importată în Mandraki.

Principiul este simplu: Mandraki nu generează și nu stochează niciodată rădăcina ierarhiei de chei. Clientul o face. Dacă clientul își revocă sau își reține cheia, Mandraki nu mai poate decripta niciuna dintre datele acelei organizații. Textul cifrat rămâne în baza de date, dar este inert.

În mod critic, întregul proces de gestionare a cheilor are loc în interiorul infrastructurii suverane UE. Nu există dependențe de servicii de gestionare a cheilor non-europene — fără furnizori externi de KMS cloud, fără apeluri API către țări terțe. Cheile dvs. de criptare rămân sub controlul dvs., în interiorul granițelor europene.

Implicațiile revocării cheii

Aici BYOK devine un control de securitate cu adevărat puternic și unde organizațiile trebuie să înțeleagă consecințele cu claritate.

Dacă vă revocați cheia BYOK, toate datele criptate ale organizației dvs. devin permanent inaccesibile. Mesajele nu pot fi citite. Atașamentele de fișiere nu pot fi descărcate. Înregistrările apelurilor nu pot fi redate. Transcrierile nu pot fi recuperate. Acest lucru este intenționat — este însăși esența BYOK.

Această capabilitate este deosebit de relevantă pentru industriile reglementate. O firmă de servicii financiare supusă DORA poate demonstra autorităților de reglementare că păstrează capacitatea de a face inaccesibile toate datele de colaborare dacă este necesar. O organizație de sănătate poate asigura că comunicările adiacente pacienților sunt controlate criptografic. Un organism guvernamental poate aplica politici privind ciclul de viață al datelor prin gestionarea cheilor, în loc să se bazeze pe procesele de ștergere ale unui furnizor.

BYOK și funcționalitățile AI

Funcționalitățile AI ale Mandraki — transcriere, sumarizare, răspunsuri inteligente și analiza înregistrărilor — necesită acces server-side la text clar. Când o organizație BYOK folosește funcționalități AI, pipeline-ul de prelucrare decriptează datele folosind ierarhia de chei a organizației, le prelucrează prin modelele noastre AI (care rulează în întregime în infrastructura UE) și criptează rezultatele înapoi cu DEK-ul organizației.

Cu toate acestea, organizațiile BYOK sunt restricționate automat la păstrarea tranzientă a datelor AI. Aceasta înseamnă că textul clar există în memorie doar în timpul prelucrării și nu este persistat pe disc. Rezultatele generate de AI (transcrieri, rezumate) sunt criptate cu cheile organizației înainte de stocare, asigurând că intră sub aceeași protecție BYOK ca și datele sursă.

Dacă organizația își revocă ulterior cheia BYOK, rezultatele AI criptate devin inaccesibile odată cu toate celelalte.

Rotirea cheilor

BYOK nu înseamnă chei statice. Organizațiile ar trebui să-și rotească cheile în mod regulat, iar Mandraki susține acest lucru printr-un proces simplu.

Când o Org Key este rotită, o nouă Org Key este generată și împachetată cu Master Key curentă (sau cheia BYOK). DEK-urile existente sunt reîmpachetate cu noua Org Key. Vechea Org Key este marcată ca rotită și păstrată în formă împachetată pentru accesul la datele istorice. Datele noi folosesc DEK-uri noi împachetate cu noua Org Key.

Procesul de rotire nu este perturbator. Utilizatorii nu experimentează nicio întrerupere, iar datele istorice rămân accesibile prin lanțul de chei păstrat.

Cine ar trebui să folosească BYOK

BYOK adaugă complexitate operațională. Clientul devine responsabil pentru disponibilitatea cheii — dacă cheia este pierdută și nu există backup, datele sunt pierdute permanent. Aceasta este o funcționalitate, nu o eroare, dar necesită practici mature de gestionare a cheilor.

Recomandăm BYOK pentru organizațiile care au echipe de securitate dedicate cu experiență în gestionarea cheilor, operează în industrii reglementate unde controlul criptografic este o cerință de conformitate, au nevoie de capacitatea de a întrerupe criptografic accesul la datele lor sau au investiții existente în HSM-uri sau infrastructură de gestionare a cheilor.

Pentru organizațiile care nu au nevoie de acest nivel de control, criptarea standard a Mandraki — unde noi gestionăm Master Key — oferă protecție puternică cu o supraîncărcare operațională mai redusă. Ambele moduri folosesc aceeași criptare AES-256-GCM subiacentă și aceeași ierarhie de chei pe trei straturi. Singura diferență este cine controlează vârful arborelui.