HSM - Hardeware Sekuriteitsmodule

Cloud HSM is 'n FIPS 140 vlak twee gevalideerde hardeware-toestel vir veilige kriptografiese sleutelberging (let wel dat CloudHSM 'n hardeware-toestel is, dit is nie 'n gevirtualiseerde diens nie). Dit is 'n SafeNetLuna 7000-toestel met 5.3.13 voorgelaai. Daar is twee firmware-weergawes en watter een jy kies is werklik gebaseer op jou presiese behoeftes. Een is vir FIPS 140-2-nakoming en daar was 'n nuwer weergawe wat gebruik kan word.

Die ongewone kenmerk van CloudHSM is dat dit 'n fisiese toestel is, en dus word dit nie gedeel met ander kliënte nie, of soos dit algemeen genoem word, multi-huurder. Dit is 'n toegewyde enkelhuurder-toestel wat eksklusief beskikbaar gestel word vir jou werklade.

Gewoonlik is 'n toestel binne 15 minute beskikbaar, mits daar kapasiteit is, maar in sommige sones mag dit nie wees nie.

Aangesien dit 'n fisiese toestel is wat aan jou toegewy is, word die sleutels op die toestel gestoor. Sleutels moet óf gerepliseer word na 'n ander toestel, rugsteun na afgesonderde berging, of uitgevoer na 'n stand-by-toestel. Hierdie toestel word nie ondersteun deur S3 of enige ander diens by AWS soos KMS nie.

In CloudHSM moet jy die diens self skaal. Jy moet genoeg CloudHSM-toestelle voorsien om te hanteer wat ook al jou kriptering behoeftes is gebaseer op die kriptering algoritmes wat jy gekies het om vir jou oplossing te implementeer. Skaal van die Sleutelbestuursdiens word deur AWS uitgevoer en skaleer outomaties op aanvraag, dus soos jou gebruik groei, mag die aantal CloudHSM-toestelle wat benodig word, ook toeneem. Hou hierdie in gedagte terwyl jy jou oplossing skaal en as jou oplossing outomaties skaal, maak seker jou maksimum skaal is verreken met genoeg CloudHSM-toestelle om die oplossing te bedien.

Net soos skaal, is die prestasie tot jou met CloudHSM. Prestasie wissel op grond van watter kriptering algoritme gebruik word en hoe gereeld jy die sleutels moet benader of terugwin om die data te kripteer. Sleutelbestuursdiens-prestasie word hanteer deur Amazon en skaleer outomaties soos die aanvraag dit vereis. CloudHSM se prestasie word bereik deur meer toestelle by te voeg en as jy meer prestasie benodig, voeg jy óf toestelle by óf verander die kripteringmetode na die algoritme wat vinniger is.

As jou oplossing multi-streek is, moet jy verskeie CloudHSM-toestelle in die tweede streek byvoeg en die kruis-streek-konnektiwiteit met 'n privaat VPN-verbinding uitwerk of 'n metode om te verseker dat die verkeer altyd beskerm is tussen die toestel op elke laag van die verbinding. As jy 'n multi-streek-oplossing het, moet jy dink aan hoe om sleutels te repliseer en addisionele CloudHSM-toestelle in die streke waar jy bedryf op te stel. Jy kan vinnig in 'n scenario beland waar jy ses of agt toestelle oor verskeie streke versprei het, wat volledige redundansie van jou kripteringssleutels moontlik maak.

CloudHSM is 'n diens van ondernemingsklas vir beveiligde sleutelberging en kan gebruik word as 'n vertrouenswortel vir 'n onderneming. Dit kan privaatsleutels in PKI en sertifikaatautoriteitsleutels in X509-implementasies berg. Boonop berg KMS slegs simmetriese sleutels wat in simmetriese algoritmes soos AES gebruik word en beskerm fisies (kan nie as 'n sertifikaatautoriteit optree nie), dus as jy PKI- en CA-sleutels moet berg, kan 'n CloudHSM of twee of drie jou oplossing wees.

CloudHSM is aansienlik duurder as Sleutelbestuursdiens. CloudHSM is 'n hardeware-toestel, dus jy het vaste koste om die CloudHSM-toestel te voorsien, dan 'n uurlikse koste om die toestel te bedryf. Die koste word vermenigvuldig met soveel CloudHSM-toestelle wat benodig word om aan jou spesifieke vereistes te voldoen. Daar moet ook oorweging geskenk word aan die aankoop van derdeparty sagteware soos SafeNet ProtectV sagtewarepakette en integrasie-tyd en -moeite. Sleutelbestuursdiens is 'n gebruik-gebaseerde diens en hang af van die aantal sleutels wat jy het en die inset- en uitsetbedrywighede. Aangesien sleutelbestuur naadloos integreer met baie AWS-diens, behoort integrasiekoste aansienlik laer te wees. Koste moet as 'n sekondêre faktor in kripteringoplossings oorweeg word. Kriptering word tipies vir sekuriteit en nakoming gebruik.

Met CloudHSM het slegs jy toegang tot die sleutels en sonder om te veel in detail te gaan, met CloudHSM bestuur jy jou eie sleutels. Met KMS bestuur jy en Amazon saam jou sleutels. AWS het baie beleidsbeskerming teen misbruik en kan steeds nie toegang tot jou sleutels in enige van die oplossings kry nie. Die hoofonderskeid is nakoming soos dit betrekking het op sleuteleienaarskap en -bestuur, en met CloudHSM, is dit 'n hardeware-toestel wat jy bestuur en instandhou met eksklusiewe toegang tot jou en slegs jou.

CloudHSM Voorstelle

1. Implementeer CloudHSM altyd in 'n HA-opstelling met ten minste twee toestelle in afsonderlike beskikbaarheidsone, en indien moontlik, implementeer 'n derde óf op perseel óf in 'n ander streek by AWS.

2. Wees versigtig wanneer jy 'n CloudHSM inisialiseer. Hierdie aksie sal die sleutels vernietig, so hê óf 'n ander kopie van die sleutels of wees absoluut seker dat jy nie en nooit, ooit hierdie sleutels nodig sal hê om enige data te ontsluit nie.

3. CloudHSM ondersteun slegs sekere weergawes van firmware en sagteware. Voordat enige opdatering uitgevoer word, maak seker dat die firmware en/of sagteware deur AWS ondersteun word. Jy kan altyd AWS-ondersteuning kontak om te verifieer of die opgraderingsgids onduidelik is.

4. Die netwerkkonfigurasie moet nooit verander word nie. Onthou, dit is in 'n AWS-data sentrum en AWS monitor basishardeware vir jou. Dit beteken dat as die hardeware misluk, sal hulle dit vir jou vervang, maar net as hulle weet dat dit misluk het.

5. Die SysLog deurstuurder moet nie verwyder of verander word nie. Jy kan altyd 'n SysLog deurstuurder byvoeg om die logboeke na jou eie versamelingsinstrument te rig.

6. Die SNMP-konfigurasie het dieselfde basiese beperkings as die netwerk en SysLog-vouer. Dit moet nie verander of verwyder word nie. 'n Addisionele SNMP-konfigurasie is aanvaarbaar, maak net seker dat jy nie die een wat reeds op die toestel is, verander nie.

7. 'n Ander interessante beste praktyk van AWS is om nie die NTP-konfigurasie te verander nie. Dit is nie duidelik wat sou gebeur as jy dit wel doen nie, so hou in gedagte dat as jy nie dieselfde NTP-konfigurasie vir die res van jou oplossing gebruik nie, kan jy twee tydbronne hê. Wees net bewus hiervan en weet dat die CloudHSM by die bestaande NTP-bron moet bly.

Die aanvanklike aanvangskoste vir CloudHSM is $5,000 om die hardeware-toestel wat toegewys is vir jou gebruik, toe te ken, dan is daar 'n uurlikse koste wat verband hou met die bedryf van CloudHSM wat tans $1.88 per uur van bedryf is, of ongeveer $1,373 per maand.

Die mees algemene rede om CloudHSM te gebruik, is nakomingsstandaarde wat jy moet nakom vir regulatoriese redes. KMS bied nie data-ondersteuning vir asimmetriese sleutels nie. CloudHSM laat jou toe om asimmetriese sleutels veilig te berg.

Die openbare sleutel word op die HSM-toestel geïnstalleer tydens voorsiening sodat jy toegang tot die CloudHSM-instantie via SSH kan verkry.

Wat is 'n Hardeware Sekuriteitsmodule

'n Hardeware sekuriteitsmodule (HSM) is 'n toegewyde kriptografiese toestel wat gebruik word om kriptografiese sleutels te genereer, stoor, en bestuur en sensitiewe data te beskerm. Dit is ontwerp om 'n hoë vlak van sekuriteit te bied deur die kriptografiese funksies fisies en elektronies te isoleer van die res van die stelsel.

Die manier waarop 'n HSM werk kan wissel afhangende van die spesifieke model en vervaardiger, maar oor die algemeen vind die volgende stappe plaas:

1. Sleutelgenerering: Die HSM genereer 'n ewekansige kriptografiese sleutel met behulp van 'n veilige ewekansige nommergenerator.

2. Sleutelstoor: Die sleutel word veilig binne die HSM gestoor, waar dit slegs deur gemagtigde gebruikers of prosesse benader kan word.

3. Sleutelbestuur: Die HSM bied 'n verskeidenheid sleutelbestuursfunksies, insluitend sleutelrotasie, rugsteun, en herroeping.

4. Kriptografiese operasies: Die HSM voer 'n verskeidenheid kriptografiese operasies uit, insluitend enkripsie, dekripsie, digitale handtekening, en sleuteluitruiling. Hierdie operasies word binne die veilige omgewing van die HSM uitgevoer, wat teen ongemagtigde toegang en manipulasie beskerm.

5. Ouditlogging: Die HSM registreer alle kriptografiese operasies en toegangspogings, wat gebruik kan word vir nakomings- en sekuriteitsouditeringdoeleindes.

HSMs kan vir 'n wye verskeidenheid toepassings gebruik word, insluitend veilige aanlyntransaksies, digitale sertifikate, veilige kommunikasie, en data-enkripsie. Dit word dikwels gebruik in bedrywe wat 'n hoë vlak van sekuriteit vereis, soos finansies, gesondheidsorg, en regering.

Oor die algemeen maak die hoë vlak van sekuriteit wat deur HSMs gebied word dit baie moeilik om rou sleutels daaruit te onttrek, en 'n poging om dit te doen word dikwels beskou as 'n sekuriteitskending. Daar kan egter sekere scenario's wees waar 'n rou sleutel deur gemagtigde personeel onttrek kan word vir spesifieke doeleindes, soos in die geval van 'n sleutelherwinningprosedure.

Enumerasie

TODO