Chạy các mô-đun bảo mật phần cứng không được quản lý (HSM) trong đám mây

Tôi phải thừa nhận rằng chưa bao giờ hỏi, hoặc được hỏi, câu hỏi nếu có thể có Mô-đun bảo mật phần cứng trong đám mây công cộng, theo ý tôi là Google, Amazon hoặc Azure. Có ai tìm thấy bất kỳ kỹ thuật nào để cho phép các tổ chức sử dụng HSM mà họ quản lý đầy đủ không?

Dường như với tôi, hai khái niệm, Cloud và HSM, về cơ bản là bất hòa với nhau - bởi vì đám mây thường liên quan đến việc "thuê ngoài" hoặc chuyển rủi ro vận hành phần cứng cho nhà cung cấp dịch vụ đám mây.

Rõ ràng có một nền tảng trung gian về các HSM được quản lý hoàn toàn như bạn tìm thấy trong Azure và AWS:

Azure KeyVault : Sử dụng Key Vault và bạn không cần phải cung cấp, định cấu hình, vá và bảo trì HSM và phần mềm quản lý khóa. Cung cấp kho tiền và khóa mới (hoặc nhập khóa từ HSM của riêng bạn) trong vài phút và quản lý tập trung các khóa, bí mật và chính sách.
AWS CloudHSM : AWS CloudHSM là mô-đun bảo mật phần cứng dựa trên đám mây (HSM) cho phép bạn dễ dàng tạo và sử dụng các khóa mã hóa của riêng mình trên Đám mây AWS. Với CloudHSM, bạn có thể quản lý các khóa mã hóa của riêng mình bằng cách sử dụng các HSM được xác thực của Trin 140-2 Cấp 3.

Ngoài ra, có một số giải pháp không dựa trên HSM để quản lý khóa:

Cloud Key Management (Google) : Cloud KMS là dịch vụ quản lý khóa được lưu trữ trên đám mây cho phép bạn quản lý mã hóa cho các dịch vụ đám mây của mình giống như cách bạn làm tại chỗ. Bạn có thể tạo, sử dụng, xoay và hủy các khóa mã hóa AES256. Cloud KMS được tích hợp với IAM và Cloud Audit Logging để bạn có thể quản lý các quyền trên các khóa riêng lẻ và theo dõi cách sử dụng các khóa này. Sử dụng Cloud KMS để bảo vệ bí mật và dữ liệu nhạy cảm khác mà bạn cần lưu trữ trong Google Cloud Platform.
Thiết bị bảo mật khác nhau có sẵn trong tất cả các thị trường đám mây.

Có ai tìm thấy bất kỳ kỹ thuật nào để cho phép các tổ chức sử dụng HSM mà họ quản lý đầy đủ không?

security cloud key-management

— Richard Slater
nguồn

Tôi không chắc chắn để nhận được câu hỏi, chạy trên AWs hoặc GCE, bạn có thể quản lý HSM của mình như bạn chỉ làm tiền đề bằng cách sử dụng IAAS ... Tôi có thể đã bỏ lỡ một điểm trong câu hỏi nhưng sẽ đánh giá cao một con trỏ đến nó.

— Tensibai

Chắc chắn điểm của Mô-đun bảo mật phần cứng là phần cứng, chứ không phải phần mềm để bạn có được sự bảo vệ vật lý của các phím. Đám mây trừu tượng tin vật lý từ người tiêu dùng để bạn không còn có quyền truy cập trực tiếp vào phần cứng, bao gồm cả HSM. Hầu hết các nhà cung cấp dường như đang cung cấp các giải pháp quản lý chính dựa trên HSM nhưng theo tôi có thể nói rằng bạn không thể thuê và quản lý một HSM bên ngoài mô hình trừu tượng hóa KeyVault / CloudHSM.

— Richard Slater

Toàn bộ bài đăng được bật nhiều hơn trên các phím Quản lý so với việc giữ bảo mật của họ, tôi đã nhầm. Với nhận xét này, rõ ràng không phải là nhà cung cấp đám mây, bạn phải lưu trữ nó ở một nơi khác nơi bạn sở hữu phần cứng hoặc sử dụng dịch vụ và tự tin vào quản lý của nó. (Cá nhân tôi tin tưởng aws để định cấu hình và vá Kms nhiều hơn một thiết bị hsm trên tiền đề)

— Tensibai

"Được quản lý hoàn toàn" thường có nghĩa là nhà cung cấp dịch vụ quản lý nó, điều này trái ngược với những gì bạn đang hỏi về; Tôi gọi đây là một HSM không được quản lý .

— Xiong Chiamiov

@RichardSlater Vậy vấn đề này đã được giải quyết chưa? Nếu đúng, bạn có thể gửi một câu trả lời?

— 030

Câu trả lời:

Vì vậy, đã đi ngược lại và chuyển tiếp điều này trong một vài tuần, Azure đã trực tiếp xác nhận với tôi rằng cách duy nhất để sử dụng các mô-đun bảo mật phần cứng được chứng nhận Trin-140 Cấp 2 trong Microsoft Azure là sử dụng Azure Key Vault .

— Richard Slater
nguồn

Richard, bạn nói đúng rằng Cloud và HSM là hai khái niệm trái ngược nhau.

Để đáp ứng các yêu cầu về tính sẵn sàng và độ co giãn cho quản lý khóa và hoạt động mật mã, một phần mềm trung gian là cần thiết để kiểm soát tất cả phần cứng. Điều này về cơ bản được thực hiện bởi KMS đám mây hiện có.

Với AWS Cloud HSM, không còn tính khả dụng và độ co giãn được quản lý hoàn toàn nữa. Thay vào đó, bạn có thể thêm HSM vào cụm nếu cần (khả năng mở rộng) và nếu chúng nằm ở các vùng khả dụng khác nhau, bạn cũng đạt được một mức độ sẵn có nhất định (nhưng không có SLA được bảo đảm so với KMS). Hơn nữa, AWS đang thực hiện sao lưu. Tuy nhiên, bạn phải tin tưởng AWS và Cavium rằng họ không bao giờ hợp tác và tính toán Khóa mã hóa dự phòng từ AKBK và MKBK (xem trang 10 của whitepaper AWS ) bên ngoài HSM.

Khi bạn thực sự muốn có toàn quyền kiểm soát HSM, bạn phải tự lưu trữ HSM và kết nối nó với đám mây bằng VPN. Tuy nhiên, tùy thuộc vào kết nối Internet của trung tâm dữ liệu của bạn, bạn có thể phải chịu độ trễ thấp và kết nối Internet bên ngoài của bạn có thể dễ bị tấn công DoS. Do đó, các giải pháp như Utimaco CryptoServer Cloudbao gồm các kết nối riêng tư từ trung tâm dữ liệu của họ đến đám mây của bạn. Tùy thuộc vào vị trí của trung tâm dữ liệu và khu vực đám mây, các kết nối này có thể có độ trễ rất thấp. Vì các HSM không thuộc về bất kỳ nhà cung cấp dịch vụ đám mây nào, bạn có thể chuyển đổi CSP dễ dàng hơn vì bạn không phải di chuyển các phím (điều này có thể khá khó với KMS). Hơn nữa, các kịch bản đa đám mây là có thể. Mặt khác, bạn phải chịu tất cả các nhiệm vụ quản lý như sao lưu hoặc nâng cấp firmware. Ngoài ra, để đạt được tính sẵn sàng cao, bạn phải thuê ít nhất hai trong số các HSM và tỷ lệ chi tiết chỉ là một HSM đầy đủ. Nhưng đó là cái giá cho việc rất an toàn bằng cách kiểm soát hoàn toàn HSM.

— dannyM
nguồn

Tôi chỉ muốn chỉ ra cho bạn rằng có những giải pháp ngoài kia để hưởng lợi từ HSM aaS dành riêng. Chúng tôi đang thử nghiệm điều này tại Interxion (nhà cung cấp dịch vụ colocation Châu Âu): https://www.interxion.com/products/key-guardian/

— Patrick Lastennet
nguồn

Mặc dù liên kết này có thể trả lời câu hỏi, tốt hơn là bao gồm các phần thiết yếu của câu trả lời ở đây và cung cấp liên kết để tham khảo. Câu trả lời chỉ liên kết có thể trở nên không hợp lệ nếu trang được liên kết thay đổi

— Romeo Ninov