Vom Kunden verwaltete Verschlüsselungsschlüssel

Keine Sorge um die Sicherheit.

Was sind CMEK?

  • Smartsheet verwendet Verschlüsselung, um die Daten von Kunden zu schützen und ihnen zu helfen, die Kontrolle über sie zu behalten.
  • Smartsheet ermöglicht es Kunden auch, vom Kunden verwaltete Verschlüsselungsschlüssel (Customer Managed Encryption Keys, CMEK) zu verwenden, um Sheetdaten mit einem in Key Management Service (KMS) von Amazon Web Services gespeicherten Verschlüsselungsschlüssel zu verschlüsseln.
  • Dieser Verschlüsselungsschlüssel ist im Besitz des Kunden und wird von diesem innerhalb von AWS verwaltet, sodass der Kunde den Zugriff auf seine Daten steuern kann.
Customer-Managed Encryption-Keys

Warum wurden CMEK veröffentlicht?

CMEK sind für Organisationen gedacht, die über sensible oder regulierte Daten verfügen, für die sie ihren eigenen Verschlüsselungsschlüssel verwalten müssen. CMEK ermöglichen es Organisationen, Cloud-SaaS-Anwendungen zu verwenden und gleichzeitig eine Datenkontrolle aufrechtzuerhalten, die mit der einer lokalen Installation vergleichbar ist. CMEK erhöhen durch eine zusätzliche Verschlüsselungsebene, die der Kunde selbst verwaltet, die Datensicherheit und Richtlinienkonformität der Datenspeicherung in Smartsheet.

Smartsheet verwendet CMEK, um die Daten einer Organisation so zu verschlüsseln, dass sie jederzeit unter ihrer Kontrolle bleiben. Genauer gesagt speichert oder kontrolliert Smartsheet diese Verschlüsselungsschlüssel nicht und muss solche Schlüssel vom AWS Key Management Service (KMS) des Kunden anfordern und abrufen, wenn auf die Sheetdaten zugegriffen werden muss.

Da die Organisation den im AWS Key Management System (KMS) gespeicherten CMEK kontrolliert, kann sie Smartsheet den Zugriff auf den CMEK und damit den Zugriff auf ihre Daten jederzeit verweigern. Durch die Zerstörung der Hauptschlüssel im AWS Key Management System (KMS) kann die Organisation ihre Daten effektiv aus den Smartsheet-Systemen löschen. Eine böswillige Partei könnte mit CMEK verschlüsselte Daten auch mit einer Kopie der Datenbank, des Quellcodes und der Cloud-Verschlüsselungsschlüssel von Smartsheet nicht lesen.

Welche Probleme löst CMEK?

  • Problem: Organisationen in stark regulierten Branchen hatten Probleme, Smartsheet für Projekte mit sensiblen Daten zu verwenden, da die Notwendigkeit eines eigenen Verschlüsselungsschlüssels ein unerlässlicher Teil ihrer Compliance-Anforderungen ist.
  • Lösung: Organisationen mit höchsten Sicherheitsanforderungen können Smartsheet nun für ihre sensiblen Daten nutzen. CMEK erfüllt die Sicherheitsanforderungen ihrer Organisation und gibt Kunden die volle Kontrolle über die Verwaltung ihres eigenen Schlüssels.

Wie funktioniert CMEK?

Zwischen der Endbenutzererfahrung eines Kunden, der nicht über CMEK verfügt, und einem Kunden, der CMEK aktiviert hat, gibt es keinen Unterschied. Die Verschlüsselung und Einrichtung von CMEK erfolgt auf Ebene der Backend-Datenbank. Der Kunde richtet ein AWS KMS-Konto ein, erstellt einen Verschlüsselungsschlüssel mit bestimmten Richtlinien, die Smartsheet Zugriff auf den Schlüssel gewähren, und leitet Smartsheet die ARN für den Schlüssel weiter. Smartsheet verwendet den Schlüssel, um die Daten des Kunden zu verschlüsseln, und überwacht den kontinuierlichen Zugriff auf den Schlüssel, um die Daten zu verschlüsseln und zu entschlüsseln. Das liegt daran, dass die Datenverschlüsselung und -entschlüsselung auf Ebene der Backend-Datenbank stattfindet.

Wie ist der Aktivierungsprozess aufgebaut?

  1. Wenn ein Kunde mit Platinum Advance-SKU CMEK aktivieren möchte, nimmt das Smartsheet-Team diesen in unser Sheet für das Onboarding von CMEK-Kunden auf.
  2. Das Smartsheet-Team für das Onboarding von Kunden sendet eine Anfrage an den Kunden, um die ARN und Kontaktinformationen des AWS-Administrators zu erhalten, und aktualisiert das Sheet für das Onboarding von CMEK-Kunden mit diesen Informationen.
    • Smartsheet stellt dem Kunden ein AWS Cloud Formation-Skript zur Verfügung und gibt an, dass der Kunde es mit seiner AWS-Konto-ID ausführen muss. Durch die Ausführung des Cloud Formation-Skripts wird eine AWS KMS-ARN generiert.
    • Smartsheet sendet dem Kunden eine Anfrage zur Aktualisierung der AWS KMS-ARN und der Kontaktinformationen des AWS-Administrators.
    • Smartsheet aktualisiert das Sheet für das Onboarding von CMEK-Kunden mit den oben genannten Informationen.
  3. Das Smartsheet-Team für das Onboarding von Kunden weist intern darauf hin, dass ein neuer CMEK-Kunde aktiviert werden muss.
  4. Das Smartsheet-Team für Grid-Speicher erstellt die neue Datenbankinstanz und der Engineering DBA aktualisiert das Sheet für das Onboarding von CMEK-Kunden, um den Abschluss der neuen Instanzeinstellung anzuzeigen (dies sieht wie folgt aus: CMEK – Erstellt = TRUE).
  5. Sobald „CMEK – Erstellt“ auf „TRUE“ gesetzt ist, benachrichtigen wir mithilfe von Smartsheet-Automatisierung unsere Teams, dass wir bereit sind, fortzufahren.
  6. Sobald unsere Teams benachrichtigt wurden, richtet das Fulfillment-Team das Feature-Flag in unserem internen Aktivierungssystem ein.
  7. Sobald ein Auftrag, der CMEK enthält, aktiviert wurde, sendet das Fulfillment-Team eine Fulfillment-E-Mail an den protokollierten Kundenkontakt, in der er darüber informiert wird, dass der CMEK aktiviert wurde.

Was müssen Kunden über CMEK wissen?

  1. CMEK-Benutzer müssen über AWS KMS-Zugriff und zugehörige Governance-Richtlinien verfügen, um ihre Verschlüsselungsschlüssel verwalten zu können.
  2. CMEK-Benutzer müssen Smartsheet über einen Amazon-Ressourcennamen (ARN) Zugriff auf den Verschlüsselungsschlüssel gewähren.
  3. Der Verschlüsselungsschlüssel muss so eingerichtet sein, dass Smartsheet bestimmte Richtlinien für den Zugriff auf den Schlüssel erhält.
  4. Smartsheet kann ein Cloud Formation-Skript bereitstellen, das das Einrichten des Schlüssels erleichtert.
  5. Die CMEK-Aktivierung kann aufgrund von Terminen sowohl auf Kunden- als auch auf Smartsheet-Seite 2–4 Wochen dauern.
  6. Mit CMEK werden nur Sheetdaten verschlüsselt. Andere Daten wie Anlagen, Berichte, Dashboards, WorkApps usw. werden mit der aktuellen Verschlüsselung von Smartsheet verschlüsselt.
  7. Vorhandene Daten, die Kunden möglicherweise in Smartsheet haben, werden im Laufe der Zeit zur CMEK-Verschlüsselung migriert.
  8. CMEK ist nur für Platinum Advance verfügbar.