HSM - हार्डवेयर सुरक्षा मॉड्यूल

क्लाउड HSM एक FIPS 140 स्तर दो सत्यापित हार्डवेयर उपकरण है जो सुरक्षित औरिक्त कुंजी भंडारण के लिए है (ध्यान दें कि CloudHSM एक हार्डवेयर उपकरण है, यह एक वर्चुअलाइज्ड सेवा नहीं है)। यह एक SafeNetLuna 7000 उपकरण है जिसमें 5.3.13 पूर्व लोड है। दो फर्मवेयर संस्करण हैं और आपकी वास्तविक आवश्यकताओं पर निर्भर करता है कि आप किसे चुनते हैं। एक FIPS 140-2 अनुपालन के लिए एक है और एक नए संस्करण है जो उपयोग किया जा सकता है।

CloudHSM की असामान्य विशेषता यह है कि यह एक भौतिक उपकरण है, और इसलिए यह अन्य ग्राहकों के साथ साझा नहीं किया जाता है, या जैसा कि यह सामान्य रूप से कहा जाता है, मल्टी-टेनेंट है। यह आपके वर्कलोड के लिए विशेष एकल किरायेदार उपकरण है

सामान्यत: यदि क्षमता है, तो 15 मिनट के भीतर एक उपकरण उपलब्ध होता है, लेकिन कुछ क्षेत्रों में ऐसा नहीं हो सकता।

क्योंकि यह आपके लिए एक भौतिक उपकरण है, कुंजी उपकरण पर संग्रहीत होती है। कुंजियों को या तो दूसरे उपकरण पर नकल करना होगा, ऑफलाइन संग्रहण के लिए बैकअप करना होगा, या एक स्टैंडबाय उपकरण में निर्यात करना होगा। यह उपकरण S3 या KMS जैसी किसी अन्य सेवा द्वारा समर्थित नहीं है।

CloudHSM में, आपको सेवा को स्केल करना होगा। आपको अपनी समाधान के लिए चुने गए एन्क्रिप्शन एल्गोरिदम के आधार पर जितने भी चाबी उपकरण आवश्यक हैं, उन्हें प्राविष्ट करना होगा। कुंजी प्रबंधन सेवा को AWS द्वारा प्रदान किया जाता है और स्वचालित रूप से मांग के अनुसार स्केल करता है, इसलिए जैसे ही आपका उपयोग बढ़ता है, उसी प्रमाण में आवश्यक होने वाले CloudHSM उपकरणों की संख्या भी बढ़ सकती है। जब आप अपने समाधान को स्केल करते हैं, तो इसे ध्यान में रखें और यदि आपके समाधान में ऑटो-स्केलिंग है, तो सुनिश्चित करें कि आपके समाधान के लिए पर्याप्त CloudHSM उपकरण हैं।

स्केलिंग की तरह, प्रदर्शन CloudHSM पर आपके ऊपर है। प्रदर्शन उस एन्क्रिप्शन एल्गोरिदम पर निर्भर करता है जिसका उपयोग किया जाता है और यह कि आप डेटा को एन्क्रिप्ट करने के लिए कुंजियों को कितनी बार एक्सेस या पुनः प्राप्त करने की आवश्यकता है। कुंजी प्रबंधन सेवा प्रदर्शन को अमेज़न द्वारा संभाला जाता है और मांग के अनुसार स्वचालित रूप से स्केल होता है। CloudHSM का प्रदर्शन अधिक उपकरण जोड़कर प्राप्त किया जाता है और यदि आपको अधिक प्रदर्शन चाहिए तो आप उपकरण जोड़ सकते हैं या एन्क्रिप्शन विधि को उस एल्गोरिदम की ओर बदल सकते हैं जो अधिक तेज है।

यदि आपका समाधान मल्टी-रीजन है, तो आपको दूसरे क्षेत्र में कई CloudHSM उपकरण जोड़ने चाहिए और एक निजी VPN कनेक्शन के साथ क्रॉस-रीजन कनेक्टिविटी को सुनिश्चित करना चाहिए या किसी तरह से यह सुनिश्चित करना होगा कि यातायात हमेशा सुरक्षित रहे उपकरण के हर स्तर पर। यदि आपका मल्टी-रीजन समाधान है तो आपको सोचना होगा कि कैसे कुंजियों की नकल करें और उन्हें उन क्षेत्रों में अतिरिक्त CloudHSM उपकरण सेटअप करें। आप बहुत तेजी से एक स्थिति में पहुंच सकते हैं जहां आपके पास कई क्षेत्रों में फैले छह या आठ उपकरण हो सकते हैं, जो आपकी एन्क्रिप्शन कुंजी की पूरी पुनरावृत्ति को सक्षम करते हैं।

CloudHSM एक उच्च श्रेणी की सेवा है जो सुरक्षित कुंजी भंडारण के लिए है और इसे एक उद्यम के लिए विश्वास की जड़ के रूप में उपयोग किया जा सकता है। यह PKI में निजी कुंजी और X509 कार्याधिकारी कुंजी जैसे प्रमाणपत्र प्राधिकरण कुंजियों को संग्रहित कर सकता है। सममित एल्गोरिदम जैसे AES में उपयोग की जाने वाली सममित कुंजियों को केवल संग्रहित करता है (प्रमाणपत्र प्राधिकरण के रूप में कार्य नहीं कर सकता), इसलिए यदि आपको PKI और CA कुंजियों को संग्रहित करने की आवश्यकता है तो एक CloudHSM या दो या तीन आपका समाधान हो सकता है।

CloudHSM Key Management Service से काफी अधिक महंगा है। CloudHSM एक हार्डवेयर उपकरण है इसलिए आपको अपने उपकरण को प्राविष्ट करने के लिए निश्चित लागत होती है, फिर उपकरण चलाने के लिए प्रति घंटे की लागत होती है जो वर्तमान में $1.88 प्रति घंटे ऑपरेशन है, या लगभग $1,373 प्रति माह।

CloudHSM का सबसे सामान्य कारण है विनियामक कारणों के लिए जो आपको पूरा करना होता है। KMS असिमेट्रिक कुंजियों के लिए डेटा समर्थन नहीं प्रदान करता है। CloudHSM आपको असिमेट्रिक कुंजियों को सुरक्षित रूप से संग्रहित करने देता है।

**स

क्या है हार्डवेयर सुरक्षा मॉड्यूल

एक हार्डवेयर सुरक्षा मॉड्यूल (HSM) एक विशेष यांत्रिक उपकरण है जो यांत्रिकीय कुंजी उत्पन्न, संग्रहित और प्रबंधित करने और संवेदनशील डेटा की सुरक्षा करने के लिए उपयोग किया जाता है। यह यहाँ तक कि यह यांत्रिकीय कार्यों को सिस्टम के बाकी हिस्से से भौतिक और इलेक्ट्रॉनिक रूप से अलग करके उच्च स्तर की सुरक्षा प्रदान करने के लिए डिज़ाइन किया गया है।

HSM का काम करने का तरीका विशेष मॉडल और निर्माता के आधार पर भिन्न हो सकता है, लेकिन सामान्य रूप से निम्नलिखित चरण होते हैं:

1. कुंजी उत्पन्न करना: HSM एक सुरक्षित यादृच्छिक संख्या उत्पन्नकर्ता का उपयोग करके एक यांत्रिकीय कुंजी उत्पन्न करता है।

2. कुंजी संग्रहण: कुंजी HSM के भीतर सुरक्षित रूप से संग्रहीत की जाती है, जहाँ केवल अधिकृत उपयोगकर्ताओं या प्रक्रियाओं द्वारा ही पहुंचा जा सकता है।

3. कुंजी प्रबंधन: HSM कुंजी प्रबंधन कार्यों की एक श्रेणी प्रदान करता है, जिसमें कुंजी परिवर्तन, बैकअप, और रद्दीकरण शामिल हैं।

4. यांत्रिकीय कार्य: HSM एन्क्रिप्शन, डिक्रिप्शन, डिजिटल हस्ताक्षर, और कुंजी विनिमय सहित विभिन्न यांत्रिकीय कार्यों का अभ्यास करता है। ये कार्य HSM के सुरक्षित वातावरण के भीतर किए जाते हैं, जो अनधिकृत पहुंच और हस्तक्षेप से सुरक्षित रखता है।

5. ऑडिट लॉगिंग: HSM सभी यांत्रिकीय कार्यों और पहुंच प्रयासों का लॉग करता है, जिसका उपयोग अनुपालन और सुरक्षा ऑडिटिंग के उद्देश्यों के लिए किया जा सकता है।

HSM कई प्रकार के एप्लिकेशन्स में उपयोग किए जा सकते हैं, जैसे सुरक्षित ऑनलाइन लेन-देन, डिजिटल सर्टिफिकेट, सुरक्षित संचार, और डेटा एन्क्रिप्शन। वे अक्सर उच्च स्तर की सुरक्षा की आवश्यकता रखने वाले उद्योगों में उपयोग किए जाते हैं, जैसे वित्त, स्वास्थ्य सेवा, और सरकार।

समग्र रूप से, HSM द्वारा प्रदान की गई उच्च स्तर की सुरक्षा के कारण इसे उनसे कठिनाई से कुंजी निकालना बहुत मुश्किल होता है, और ऐसा करने का प्रयास सुरक्षा का उल्लंघन माना जाता है। हालांकि, निश्चित परिस्थितियों में एक कुंजी को निकाला जा सकता है अधिकृत कर्मचारियों द्वारा विशेष उद्देश्यों के लिए, जैसे कुंजी पुनर्प्राप्ति प्रक्रिया के मामले में।

गणना

TODO