AWS - CloudHSM Enum
HSM - Υλικό Ασφαλείας Μονάδα
Το Cloud HSM είναι μια επαλήθευση επιπέδου δύο του FIPS 140 για ασφαλή αποθήκευση κρυπτογραφικών κλειδιών (σημειώστε ότι το CloudHSM είναι μια υλική συσκευή, δεν είναι ένα εικονικό υπηρεσία). Είναι μια συσκευή SafeNetLuna 7000 με προεγκατεστημένη την έκδοση 5.3.13. Υπάρχουν δύο εκδόσεις firmware και η επιλογή σας βασίζεται πραγματικά στις ακριβείς σας ανάγκες. Μια είναι για συμμόρφωση με το FIPS 140-2 και υπήρχε μια νεότερη έκδοση που μπορεί να χρησιμοποιηθεί.
Η ασυνήθιστη λειτουργία του CloudHSM είναι ότι είναι μια φυσική συσκευή και επομένως δεν μοιράζεται με άλλους πελάτες, ή όπως συνήθως αναφέρεται, πολυ-ενοικιασμένη. Είναι μια αφιερωμένη μονο-ενοικιασμένη συσκευή που διατίθεται αποκλειστικά για τους φορτίους εργασίας σας.
Συνήθως, μια συσκευή είναι διαθέσιμη εντός 15 λεπτών υποθέτοντας ότι υπάρχει χωρητικότητα, αλλά σε ορισμένες ζώνες ενδέχεται να μην υπάρχει.
Δεδομένου ότι πρόκειται για μια φυσική συσκευή αφιερωμένη σε εσάς, τα κλειδιά αποθηκεύονται στη συσκευή. Τα κλειδιά πρέπει είτε να αντιγραφούν σε μια άλλη συσκευή, να αντιγραφούν σε αποθήκευση εκτός σύνδεσης, ή να εξαχθούν σε μια εφεδρική συσκευή. Αυτή η συσκευή δεν υποστηρίζεται από το S3 ή οποιαδήποτε άλλη υπηρεσία στο AWS όπως το KMS.
Στο CloudHSM, πρέπει να κλιμακώσετε την υπηρεσία μόνοι σας. Πρέπει να παρέχετε αρκετές συσκευές CloudHSM για να αντιμετωπίσετε τις ανάγκες κρυπτογράφησης σας βασισμένες στους αλγόριθμους κρυπτογράφησης που έχετε επιλέξει να υλοποιήσετε για τη λύση σας. Η κλιμάκωση της υπηρεσίας Key Management γίνεται από το AWS και κλιμακώνεται αυτόματα κατά παραγγελία, έτσι ώστε όσο μεγαλώνει η χρήση σας, τόσες περισσότερες συσκευές CloudHSM που απαιτούνται. Να έχετε αυτό υπόψη καθώς κλιμακώνετε τη λύση σας και αν η λύση σας έχει αυτόματη κλιμάκωση, βεβαιωθείτε ότι η μέγιστη κλίμακα σας λαμβάνεται υπόψη με αρκετές συσκευές CloudHSM για την εξυπηρέτηση της λύσης.
Όπως και με την κλιμάκωση, η απόδοση εξαρτάται από εσάς με το CloudHSM. Η απόδοση ποικίλλει ανάλογα με τον αλγόριθμο κρυπτογράφησης που χρησιμοποιείται και με τη συχνότητα που χρειάζεται να έχετε πρόσβαση ή να ανακτήσετε τα κλειδιά για να κρυπτογραφήσετε τα δεδομένα. Η απόδοση της ϥπηρεσίας διαχείρισης κλειδιών χειρίζεται από την Amazon και κλιμακώνεται αυτόματα όπως απαιτείται από τη ζήτηση. Η απόδοση του CloudHSM επιτυγχάνεται προσθέτοντας περισσότερες συσκευές και αν χρειάζεστε περισσότερη απόδοση, είτε προσθέτετε συσκευές είτε αλλάζετε τη μέθοδο κρυπτογράφησης σε έναν αλγόριθμο που είναι πιο γρήγορος.
Αν η λύση σας είναι πολυ-περιοχή, πρέπει να προσθέσετε αρκετές συσκευές CloudHSM στη δεύτερη περιοχή και να εργαστείτε στη συνδεσιμότητα διασυνοριακά με μια ιδιωτική σύνδεση VPN ή κάποιον τρόπο για να διασφαλίσετε ότι η κίνηση προστατεύεται πάντα μεταξύ της συσκευής σε κάθε επίπεδο της σύνδεσης. Αν έχετε μια πολυ-περιοχή λύση, πρέπει να σκεφτείτε πώς να αντιγράψετε τα κλειδιά και να δημιουργήσετε επιπλέον συσκευές CloudHSM στις περιοχές όπου λειτουργείτε. Μπορείτε πολύ γρήγορα να βρεθείτε σε μια κατάσταση όπου έχετε έξι ή οκτώ συσκευές διασκορπισμένες σε πολλαπλές περιοχές, ενεργοποιώντας πλήρη αντιγραφή ασφάλειας των κλειδιών κρυπτογράφησης σας.
Το CloudHSM είναι μια υπηρεσία επιχειρηματικής κλάσης για ασφαλή αποθήκευση κλειδιών και μπορεί να χρησιμοποιηθεί ως ρίζα εμπιστοσύνης για μια επιχείρηση. Μπορεί να αποθηκεύσει ιδιωτικά κλειδιά σε PKI και κλειδιά αρχής πιστοποίησης σε υλοποιήσεις X509. Επιπλέον, το KMS αποθηκεύει και προστατεύει φυσικά μόνο συμμετρικά κλειδιά (δεν μπορεί να λειτουργήσει ως αρχή πιστοποίησης), οπότε αν χρειάζεστε να αποθηκεύσετε κλειδιά PKI και CA ένα CloudHSM ή δύο ή τρία θα μπορούσε να είναι η λύση σας.
Το CloudHSM είναι σημαντικά πιο ακριβό από την ϥπηρεσία Διαχείρισης Κλειδιών. Το CloudHSM είναι μια υλική συσκευή, οπότε έχετε σταθερά κόστη για την παροχή της συσκευής CloudHSM, έπειτα υπάρχει μια ωριαία χρέωση για τη λειτουργία της συσκευής CloudHSM που αυτή τη στιγμή είναι στα $1.88 ανά ώρα λειτουργίας, ή περίπου $1,373 ανά μήνα.
Ο πιο συνηθισμένος λόγος για τη χρήση του CloudHSM εί
Τι είναι ένα Υλικό Μονάδας Ασφάλειας
Μια μονάδα υλικού ασφάλειας (HSM) είναι μια αφιερωμένη κρυπτογραφική συσκευή που χρησιμοποιείται για τη δημιουργία, αποθήκευση και διαχείριση κρυπτογραφικών κλειδιών και την προστασία ευαίσθητων δεδομένων. Σχεδιάστηκε για να παρέχει ένα υψηλό επίπεδο ασφάλειας με τη φυσική και ηλεκτρονική απομόνωση των κρυπτογραφικών λειτουργιών από το υπόλοιπο σύστημα.
Ο τρόπος λειτουργίας ενός HSM μπορεί να διαφέρει ανάλογα με το συγκεκριμένο μοντέλο και κατασκευαστή, αλλά γενικά συμβαίνουν τα ακόλουθα βήματα:
Δημιουργία κλειδιού: Το HSM δημιουργεί ένα τυχαίο κρυπτογραφικό κλειδί χρησιμοποιώντας έναν ασφαλή γεννήτρια τυχαίων αριθμών.
Αποθήκευση κλειδιού: Το κλειδί αποθηκεύεται με ασφάλεια μέσα στο HSM, όπου μπορεί να το προσπελάσουν μόνο εξουσιοδοτημένοι χρήστες ή διαδικασίες.
Διαχείριση κλειδιού: Το HSM παρέχει μια σειρά λειτουργιών διαχείρισης κλειδιών, συμπεριλαμβανομένης της περιστροφής κλειδιών, αντιγράφων ασφαλείας και ανάκλησης.
Κρυπτογραφικές λειτουργίες: Το HSM εκτελεί μια σειρά κρυπτογραφικών λειτουργιών, συμπεριλαμβανομένης της κρυπτογράφησης, αποκρυπτογράφησης, ψηφιακής υπογραφής και ανταλλαγής κλειδιών. Αυτές οι λειτουργίες εκτελούνται μέσα στο ασφαλές περιβάλλον του HSM, το οποίο προστατεύει από μη εξουσιοδοτημένη πρόσβαση και παρεμβολές.
Καταγραφή ελέγχου: Το HSM καταγράφει όλες τις κρυπτογραφικές λειτουργίες και προσπάθειες πρόσβασης, οι οποίες μπορούν να χρησιμοποιηθούν για σκοπούς συμμόρφωσης και ελέγχου ασφάλειας.
Τα HSM μπορούν να χρησιμοποιηθούν για μια ευρεία γκάμα εφαρμογών, συμπεριλαμβανομένων ασφαλών online συναλλαγών, ψηφιακών πιστοποιητικών, ασφαλών επικοινωνιών και κρυπτογράφησης δεδομένων. Χρησιμοποιούνται συχνά σε βιομηχανίες που απαιτούν υψηλό επίπεδο ασφάλειας, όπως οι χρηματοοικονομικές υπηρεσίες, η υγεία και η κυβέρνηση.
Συνολικά, το υψηλό επίπεδο ασφάλειας που παρέχουν τα HSM καθιστά πολύ δύσκολη την εξαγωγή ωμών κλειδιών από αυτά, και η προσπάθεια να γίνει αυτό συχνά θεωρείται παραβίαση της ασφάλειας. Ωστόσο, μπορεί να υπάρχουν συγκεκριμένα σενάρια όπου ένα ωμό κλειδί θα μπορούσε να εξαχθεί από εξουσιοδοτημένο προσωπικό για συγκεκριμένους σκοπούς, όπως στην περίπτωση μιας διαδικασίας ανάκτησης κλειδιού.
Απαρίθμηση
Last updated