Modernizing key management in the transition to public cloud

Thumbnail Image

Files

master_Kuosa_Venla_2025.pdf (585.38 KB)

URL

Journal Title

Journal ISSN

Volume Title

School of Science | Master's thesis
Unless otherwise stated, all rights belong to the author. You may download, display and print this publication for Your own personal use. Commercial use is prohibited.

Authors

Date

2025-09-04

Department

Major/Subject

Security and Cloud Computing

Mcode

Degree programme

Master's Programme in Computer, Communication and Information Sciences

Language

en

Pages

77

Series

Abstract

Cryptography is a core enabler of cybersecurity, but without the effective management of cryptographic keys, the security of services may be compromised. In the financial sector, requirements for cryptography arise from complex regulations and intricate IT environments, demanding robust key management practices. The transition from on-premises datacenters to a public cloud platform represents a fundamental architectural shift, creating opportunities to improve existing practices while introducing new challenges in meeting evolved requirements. The goal of this thesis was to develop evaluation criteria based on requirements in the financial sector, propose architectural approaches for a cloud-based key management system (KMS), and examine their differences against the defined criteria. The proposed designs comprised three options: relying solely on the cloud service provider's platform-native KMSs, combining platform-native and external KMSs, and hosting a self-managed KMS within the cloud platform. The research identified architectural choices that significantly influence resiliency, flexibility, developer experience, and expenses in providing financial services. The findings indicate that all the evaluated approaches can deliver secure and effective key management. Relying on platform-native solutions provides the most seamless user experience and synergies with other platform components but creates a strong dependency on a single service provider and its KMS offerings. Incorporating an external KMS can substantially improve resiliency and flexibility, particularly under uncertain regulatory conditions, but also adds complexity to governance and system integrations. A self-hosted KMS enables greater control over technology choices and customizability but shifts more responsibility to the financial organization and increases operational costs. The study concluded that organizations can determine the optimal approach based on their use cases, risk tolerance, available assets, and technology choices.

Kryptografia on keskeinen osa kyberturvallisuutta, mutta ilman tehokasta avainhallintaa palvelujen turvallisuus voi vaarantua. Finanssialan organisaatioiden avainhallintaan kohdistuu lainsäädännön ja monimutkaisten teknisten ympäristöjen asettamia vaatimuksia, mikä edellyttää luotettavia avainhallintakäytäntöjä. Siirtyminen paikallisista konesaleista julkiselle pilvialustalle merkitsee perustavanlaatuista muutosta organisaation IT-arkkitehtuuriin. Tämä tarjoaa oivan mahdollisuuden parantaa olemassa olevia avainhallintakäytäntöjä luoden kuitenkin samalla uusia haasteita avainhallinnalle vaatimusten muuttuessa ympäristön mukana. Tämän diplomityön tavoitteena oli kehittää vertailukriteeristö arkkitehtuuriratkaisulle tutkimalla avainhallintaan kohdistuvia vaatimuksia finanssialan organisaatioissa, laatia ratkaisuvaihtoehtoja pilvipohjaiselle avainhallinta-arkkitehtuurille sekä arvioida näitä vaihtoehtoja vertailukriteeristöä hyödyntäen. Ehdotetuissa ratkaisuissa huomioitiin kolme vaihtoehtoa: pilvialustan natiivien avainhallintakyvykkyyksien käyttö, natiivien kyvykkyyksien sekä ulkoisen avainhallintajärjestelmän yhdistäminen sekä itse hallinnoidun avainhallintajärjestelmän rakentaminen pilvialustalle. Tutkimus osoitti, että arkkitehtuurivalinnalla voidaan merkittävästi vaikuttaa finanssipalveluiden häiriönsietokykyyn, joustavuuteen, kehittäjäkokemukseen ja kustannuksiin. Tulokset osoittavat, että kaikki esitetyt ratkaisuvaihtoehdot voivat tarjota turvallisen ja tehokkaan avainhallintaratkaisun. Pilvialustan natiivit kyvykkyydet tarjoavat suoraviivaisimman käyttäjäkokemuksen ja synergioita alustan muiden komponenttien kanssa, mutta luovat vahvan riippuvuuden yksittäiseen palveluntarjoajaan. Ulkoisen avainhallintajärjestelmän hyödyntäminen voi parantaa merkittävästi häiriönsietokykyä sekä joustavuutta muuttuvien regulaatiovaatimusten vallitessa, mutta monimutkaistaa hallintotoimia ja järjestelmäintegraatioita. Itse hallinnoitu avainhallintajärjestelmä mahdollistaa vapaamman teknologiavalinnan ja räätälöitävyyden, mutta siirtää enemmän vastuuta organisaatiolle ja kasvattaa operatiivisia kustannuksia. Johtopäätöksenä voidaan todeta, että finanssialan organisaatiot voivat valita itselleen optimaalisen arkkitehtuurin arvioimalla käyttötapauksiaan, riskinsietokykyään, käytettävissä olevia resurssejaan sekä teknologiavalintojaan.

Description

Supervisor

Aura, Tuomas

Thesis advisor

Kauppinen, Janne

Keywords

key management, key management system, cryptography, public cloud, cloud transition, cybersecurity

Other note

Citation

Permanent link to this item

https://urn.fi/URN:NBN:fi:aalto-202510218438

Collections

[dipl] Perustieteiden korkeakoulu / SCI