Von Kund*innen verwaltete Verschlüsselungsschlüssel

Keine Sorge um die Sicherheit.

Customer-Managed Encryption-Keys

Warum wurden CMEK veröffentlicht?

CMEK sind für Organisationen gedacht, die über sensible oder regulierte Daten verfügen, für die sie ihren eigenen Verschlüsselungsschlüssel verwalten müssen. CMEK ermöglichen es Organisationen, Cloud-SaaS-Anwendungen zu verwenden und gleichzeitig eine Datenkontrolle aufrechtzuerhalten, die mit der einer lokalen Installation vergleichbar ist. CMEK erhöhen durch eine zusätzliche Verschlüsselungsebene, die der Kunde selbst verwaltet, die Datensicherheit und Richtlinienkonformität der Datenspeicherung in Smartsheet.

Smartsheet verwendet CMEK, um die Daten einer Organisation so zu verschlüsseln, dass sie jederzeit unter ihrer Kontrolle bleiben. Genauer gesagt speichert oder kontrolliert Smartsheet diese Verschlüsselungsschlüssel nicht und muss solche Schlüssel vom AWS Key Management Service (KMS) des Kunden anfordern und abrufen, wenn auf die Sheetdaten zugegriffen werden muss.

Da die Organisation den im AWS Key Management System (KMS) gespeicherten CMEK kontrolliert, kann sie Smartsheet den Zugriff auf den CMEK und damit den Zugriff auf ihre Daten jederzeit verweigern. Durch die Zerstörung der Hauptschlüssel im AWS Key Management System (KMS) kann die Organisation ihre Daten effektiv aus den Smartsheet-Systemen löschen. Eine böswillige Partei könnte mit CMEK verschlüsselte Daten auch mit einer Kopie der Datenbank, des Quellcodes und der Cloud-Verschlüsselungsschlüssel von Smartsheet nicht lesen.

Welche Probleme löst CMEK?

  • Problem: Organisationen in stark regulierten Branchen hatten Probleme, Smartsheet für Projekte mit sensiblen Daten zu verwenden, da die Notwendigkeit eines eigenen Verschlüsselungsschlüssels ein unerlässlicher Teil ihrer Compliance-Anforderungen ist.
  • Lösung: Organisationen mit höchsten Sicherheitsanforderungen können Smartsheet nun für ihre sensiblen Daten nutzen. CMEK erfüllt die Sicherheitsanforderungen ihrer Organisation und gibt Kunden die volle Kontrolle über die Verwaltung ihres eigenen Schlüssels.

Wie funktioniert CMEK?

Zwischen der Endbenutzererfahrung eines Kunden, der nicht über CMEK verfügt, und einem Kunden, der CMEK aktiviert hat, gibt es keinen Unterschied. Die Verschlüsselung und Einrichtung von CMEK erfolgt auf Ebene der Backend-Datenbank. Der Kunde richtet ein AWS KMS-Konto ein, erstellt einen Verschlüsselungsschlüssel mit bestimmten Richtlinien, die Smartsheet Zugriff auf den Schlüssel gewähren, und leitet Smartsheet die ARN für den Schlüssel weiter. Smartsheet verwendet den Schlüssel, um die Daten des Kunden zu verschlüsseln, und überwacht den kontinuierlichen Zugriff auf den Schlüssel, um die Daten zu verschlüsseln und zu entschlüsseln. Das liegt daran, dass die Datenverschlüsselung und -entschlüsselung auf Ebene der Backend-Datenbank stattfindet.

Wie ist der Aktivierungsprozess aufgebaut?

  1. Wenn ein*e Kund*in mit Zugriff auf CMEK diese aktivieren möchte, fügt das Smartsheet-Team unserem CMEK-Kunden-Onboarding-Sheet einen neuen Eintrag hinzu.
  2. Das Smartsheet-Team für das Onboarding von Kund*innen sendet eine Anfrage an den Kunden bzw. die Kundin, um die ARN und Kontaktinformationen des*der AWS-Admins zu erhalten, und aktualisiert das Sheet für das Onboarding von CMEK-Kund*innen mit diesen Informationen.
    • Smartsheet stellt dem Kunden ein AWS Cloud Formation-Skript zur Verfügung und gibt an, dass der Kunde es mit seiner AWS-Konto-ID ausführen muss. Durch die Ausführung des Cloud Formation-Skripts wird eine AWS KMS-ARN generiert.
    • Smartsheet sendet dem Kunden eine Anfrage zur Aktualisierung der AWS KMS-ARN und der Kontaktinformationen des AWS-Administrators.
    • Smartsheet aktualisiert das Sheet für das Onboarding von CMEK-Kunden mit den oben genannten Informationen.
  3. Das Smartsheet-Team für das Onboarding von Kunden weist intern darauf hin, dass ein neuer CMEK-Kunde aktiviert werden muss.
  4. Das Smartsheet-Team für Grid-Speicher erstellt die neue Datenbankinstanz und der Engineering DBA aktualisiert das Sheet für das Onboarding von CMEK-Kunden, um den Abschluss der neuen Instanzeinstellung anzuzeigen (dies sieht wie folgt aus: CMEK – Erstellt = TRUE).
  5. Sobald „CMEK – Erstellt“ auf „TRUE“ gesetzt ist, benachrichtigen wir mithilfe von Smartsheet-Automatisierung unsere Teams, dass wir bereit sind, fortzufahren.
  6. Sobald unsere Teams benachrichtigt wurden, richtet das Fulfillment-Team das Feature-Flag in unserem internen Aktivierungssystem ein.
  7. Sobald ein Auftrag, der CMEK enthält, aktiviert wurde, sendet das Fulfillment-Team eine Fulfillment-E-Mail an den protokollierten Kundenkontakt, in der er darüber informiert wird, dass der CMEK aktiviert wurde.

Was müssen Kunden über CMEK wissen?

  1. CMEK-Benutzer müssen über AWS KMS-Zugriff und zugehörige Governance-Richtlinien verfügen, um ihre Verschlüsselungsschlüssel verwalten zu können.
  2. CMEK-Benutzer müssen Smartsheet über einen Amazon-Ressourcennamen (ARN) Zugriff auf den Verschlüsselungsschlüssel gewähren.
  3. Der Verschlüsselungsschlüssel muss so eingerichtet sein, dass Smartsheet bestimmte Richtlinien für den Zugriff auf den Schlüssel erhält.
  4. Smartsheet kann ein Cloud Formation-Skript bereitstellen, das das Einrichten des Schlüssels erleichtert.
  5. Die CMEK-Aktivierung kann aufgrund von Terminen sowohl auf Kunden- als auch auf Smartsheet-Seite 2–4 Wochen dauern.
  6. Mit CMEK werden nur Sheetdaten verschlüsselt. Andere Daten wie Anlagen, Berichte, Dashboards, WorkApps usw. werden mit der aktuellen Verschlüsselung von Smartsheet verschlüsselt.
  7. Vorhandene Daten, die Kund*innen möglicherweise in Smartsheet haben, werden im Laufe der Zeit zur CMEK-Verschlüsselung migriert.
  8. CMEK ist Kund*innen vorbehalten, die CMEK vor dem 16. August 2024 entweder als eigenständiges Angebot oder im Rahmen eines Pakets erworben haben. Wir arbeiten derzeit daran, den CMEK-Implementierungsprozess zu optimieren und werden CMEK in keiner Form anbieten, bis diese Arbeit abgeschlossen ist.