HSM - Moduli ya Usalama wa Vifaa

Cloud HSM ni kifaa cha vifaa vilivyothibitishwa na FIPS 140 kiwango cha pili kwa uhifadhi salama wa funguo za kryptografia (tambua kuwa CloudHSM ni kifaa cha vifaa, sio huduma iliyovirtualishwa). Ni kifaa cha SafeNetLuna 7000 kilicho na toleo la 5.3.13 lililopakiwa. Kuna toleo mbili za firmware na ni ipi unayochagua inategemea mahitaji yako halisi. Moja ni kwa kufuata FIPS 140-2 na kulikuwa na toleo jipya linaloweza kutumika.

Sifa isiyo ya kawaida ya CloudHSM ni kwamba ni kifaa cha kimwili, na kwa hivyo hakishirikiwa na wateja wengine, au kama inavyoitwa kawaida, multi-tenant. Ni kifaa cha mpangilio wa mpangilio mmoja kinachopatikana kipekee kwa mzigo wako.

Kawaida, kifaa kinapatikana ndani ya dakika 15 ikizingatiwa kuna uwezo, lakini katika baadhi ya maeneo huenda hakuna.

Kwa kuwa hii ni kifaa cha kimwili kilichowekwa kipekee kwako, funguo zimehifadhiwa kwenye kifaa. Funguo lazima zireplikiwe kwenye kifaa kingine, zihifadhiwe kwenye uhifadhi wa nje, au zipelekwe kwenye kifaa cha akiba. Kifaa hiki hakisaidiwi na S3 au huduma nyingine yoyote kwenye AWS kama KMS.

Katika CloudHSM, unapaswa kupanua huduma mwenyewe. Lazima upatie vifaa vya kutosha vya CloudHSM kushughulikia mahitaji yako ya kryptografia kulingana na algorithm za kryptografia ulizochagua kutekeleza suluhisho lako. Upanuzi wa Huduma ya Usimamizi wa Funguo unafanywa na AWS na hupanuka moja kwa moja kulingana na mahitaji, hivyo kadri matumizi yako yanavyoongezeka, idadi ya vifaa vya CloudHSM vinavyohitajika inaweza kuongezeka. Kumbuka hili unapopanua suluhisho lako na ikiwa suluhisho lako lina uwezo wa kujipanua, hakikisha upeo wako wa juu unazingatiwa na vifaa vya kutosha vya CloudHSM kuhudumia suluhisho.

Kama ilivyo kwa upanuzi, utendaji upo kwako na CloudHSM. Utendaji hutofautiana kulingana na algorithm ya kryptografia inayotumiwa na jinsi mara ngapi unahitaji kupata au kurejesha funguo za kuficha data. Utendaji wa huduma ya usimamizi wa funguo unashughulikiwa na Amazon na hupanuka moja kwa moja kulingana na mahitaji. Utendaji wa CloudHSM unapatikana kwa kuongeza vifaa zaidi na ikiwa unahitaji utendaji zaidi unaweza kuongeza vifaa au kubadilisha njia ya kryptografia kwa algorithm ambayo ni haraka.

Ikiwa suluhisho lako ni la mikoa mingi, unapaswa kuongeza vifaa vya CloudHSM kadhaa katika mkoa wa pili na kufanya mawasiliano ya msingi ya mikoa kwa kutumia uunganisho wa VPN ya kibinafsi au njia nyingine kuhakikisha trafiki daima inalindwa kati ya kifaa katika kila safu ya uhusiano. Ikiwa una suluhisho la mikoa mingi unahitaji kufikiria jinsi ya kuhakikisha funguo zinareplikiwa na kuweka vifaa vya CloudHSM vingine katika mikoa unayofanya kazi. Unaweza haraka kuingia kwenye hali ambapo una vifaa sita au nane vilivyosambazwa katika mikoa mingi, ikiruhusu redundansi kamili ya funguo zako za kryptografia.

CloudHSM ni huduma ya daraja la biashara kwa uhifadhi salama wa funguo na inaweza kutumika kama msingi wa uaminifu kwa kampuni. Inaweza kuhifadhi funguo za kibinafsi katika PKI na funguo za mamlaka ya vyeti katika utekelezaji wa X509. Mbali na funguo za kufanana zinazotumiwa katika algorithm za kufanana kama AES, KMS inahifadhi na kulinda kimwili funguo za kufanana pekee (haiwezi kutenda kama mamlaka ya vyeti), kwa hivyo ikiwa unahitaji kuhifadhi funguo za PKI na CA CloudHSM moja au mbili au tatu inaweza kuwa suluhisho lako.

CloudHSM ni ghali zaidi kuliko Huduma ya Usimamizi wa Funguo. CloudHSM ni kifaa cha vifaa kwa hivyo una gharama za kufikia kifaa cha CloudHSM, kisha gharama ya kila saa ya kuendesha kifaa cha CloudHSM ambayo kwa sasa ni $1.88 kwa saa ya uendeshaji, au takriban $1,373 kwa mwezi.

Sababu kuu ya kutumia CloudHSM ni viwango vya kufuata ambavyo lazima uzingatie kwa sababu za kisheria. KMS haipatii msaada wa data kwa funguo za kufanana. CloudHSM inakuruhusu kuhifadhi funguo za kufanana kwa usalama.

Funguo ya umma imewekwa kwenye kifaa cha HSM wakati wa utoaji ili uweze kupata kifaa cha CloudHSM kupitia SSH.

Ni nini Hardware Security Module

Hardware security module (HSM) ni kifaa cha kryptografia kilichojitolea ambacho hutumika kuzalisha, kuhifadhi, na kusimamia funguo za kryptografia na kulinda data nyeti. Imetengenezwa kutoa kiwango kikubwa cha usalama kwa kufunga kazi za kryptografia kimwili na kielektroniki kutoka kwa sehemu nyingine ya mfumo.

Jinsi HSM inavyofanya kazi inaweza kutofautiana kulingana na mfano na mtengenezaji maalum, lakini kwa ujumla, hatua zifuatazo hufanyika:

1. Uzalishaji wa funguo: HSM inazalisha funguo la kryptografia la nasibu kwa kutumia jenereta salama ya nambari za nasibu.

2. Uhifadhi wa funguo: Funguo huhifadhiwa kwa usalama ndani ya HSM, ambapo inaweza kufikiwa tu na watumiaji au michakato iliyoruhusiwa.

3. Usimamizi wa funguo: HSM hutoa mbalimbali ya kazi za usimamizi wa funguo, ikiwa ni pamoja na mzunguko wa funguo, nakala rudufu, na kufuta.

4. Operesheni za kryptografia: HSM hufanya mbalimbali ya operesheni za kryptografia, ikiwa ni pamoja na kuficha, kufichua, saini ya kidijitali, na kubadilishana funguo. Operesheni hizi zinafanywa ndani ya mazingira salama ya HSM, ambayo hulinda dhidi ya ufikiaji usioruhusiwa na kuharibu.

5. Kuingiza kumbukumbu: HSM inaingiza kila operesheni za kryptografia na majaribio ya ufikiaji, ambayo yanaweza kutumika kwa madhumuni ya kufuata sheria na ukaguzi wa usalama.

HSMs zinaweza kutumika kwa mbalimbali ya matumizi, ikiwa ni pamoja na shughuli salama za mtandaoni, vyeti vya kidijitali, mawasiliano salama, na kuficha data. Mara nyingi hutumiwa katika viwanda vinavyohitaji kiwango kikubwa cha usalama, kama vile fedha, afya, na serikali.

Kwa ujumla, kiwango kikubwa cha usalama kinachotolewa na HSMs hufanya iwe ngumu sana kutoa funguo za asili kutoka kwao, na jaribio la kufanya hivyo mara nyingi huchukuliwa kama uvunjaji wa usalama. Walakini, kunaweza kuwa na hali fulani ambapo funguo la asili linaweza kutolewa na wafanyakazi walioruhusiwa kwa madhumuni maalum, kama vile katika kesi ya utaratibu wa kupona funguo.

Uthibitishaji

TODO