Cloud encryptie en key management strategie

Standaard cloud-encryption beschermt tegen disk-diefstal, niet tegen cloud-provider-toegang. Voor regulated workloads is customer-managed-keys plus HSM een serieuze eis. Welke modellen er zijn.

Provider-managed versus customer-managed

Provider-managed: cloud-provider beheert keys. Default, simpel, geschikt voor low-risk data. Customer-managed: u beheert keys via Azure Key Vault, AWS KMS, GCP Cloud KMS. Provider heeft toegang tot keys maar niet tot key-material direct. Voor most-regulated-data het standaardmodel.

Bring Your Own Key (BYOK) en Hold Your Own Key (HYOK)

BYOK: u genereert key in eigen HSM, exporteert encrypted naar cloud key vault. HYOK: key blijft compleet in uw eigen HSM, cloud-services authenticeren tegen uw HSM. HYOK voor strengste regulatory eisen (defensie, sommige overheid). HSM-integratie via on-prem Thales, Utimaco of Entrust.

Encryption-at-rest, in-transit en in-use

At-rest: standaard via key vault. In-transit: TLS 1.2+ overal. In-use (zelden): Azure Confidential Computing of AWS Nitro Enclaves voor gevoelige data tijdens verwerking. Voor specifieke compliance-cases (defensie, financieel) de extra laag.

Key rotation en lifecycle

Auto-rotation op customer-managed keys: jaarlijks of vaker. Audit-trail per key-usage. Key-revocation procedures bij incident. Compliance-frameworks (NEN 7510, BIO) hebben eigen rotation-eisen; wij maken die expliciet.

Verwant: Cloud specialist, Soevereine cloud.