Ejecución de módulos de seguridad de hardware (HSM) no administrados en la nube

8

Tengo que admitir que nunca he preguntado, o me han preguntado, la pregunta de si es posible tener un Módulo de seguridad de hardware en una nube pública, por lo que me refiero a Google, Amazon o Azure. ¿Alguien ha encontrado alguna técnica para permitir que las organizaciones utilicen HSM que administran completamente?

Me parece que los dos conceptos, Cloud y HSM, están fundamentalmente en desacuerdo entre sí, porque la nube generalmente implica "externalizar" o transferir el riesgo de operar hardware al proveedor de servicios en la nube.

Claramente, hay un término medio en términos de HSM totalmente administrados como lo encuentra en Azure y AWS:

  • Azure KeyVault : use Key Vault y no necesita aprovisionar, configurar, parchear y mantener HSM y software de administración de claves. Aprovisione nuevas bóvedas y claves (o importe claves de sus propios HSM) en minutos y administre claves, secretos y políticas de forma centralizada.
  • AWS CloudHSM : AWS CloudHSM es un módulo de seguridad de hardware (HSM) basado en la nube que le permite generar y usar fácilmente sus propias claves de cifrado en la nube de AWS. Con CloudHSM, puede administrar sus propias claves de cifrado utilizando HSPS validados FIPS 140-2 Nivel 3.

Además, existen algunas soluciones no basadas en HSM para la gestión de claves:

  • Cloud Key Management (Google) : Cloud KMS es un servicio de administración de claves alojado en la nube que le permite administrar el cifrado de sus servicios en la nube de la misma manera que lo hace en las instalaciones. Puede generar, usar, rotar y destruir claves de cifrado AES256. Cloud KMS está integrado con IAM y Cloud Audit Logging para que pueda administrar los permisos de las claves individuales y controlar cómo se utilizan. Use Cloud KMS para proteger los secretos y otros datos confidenciales que necesita almacenar en Google Cloud Platform.
  • Varios dispositivos de seguridad disponibles en todos los mercados de la nube.

¿Alguien ha encontrado alguna técnica que permita a las organizaciones utilizar HSM que administran completamente?

Richard Slater
fuente
No estoy seguro de obtener la pregunta, ejecutando en AWs o GCE puede administrar su HSM como lo haría en las instalaciones utilizando solo IAAS ... Probablemente perdí un punto en la pregunta, pero agradecería un puntero al respecto.
Tensibai
1
Seguramente el objetivo de un módulo de seguridad de hardware es el hardware, en lugar del software, de modo que obtenga la protección física de las claves. Cloud extrae la lata física del consumidor para que ya no tenga acceso directo al hardware, incluido el HSM. La mayoría de los proveedores parecen ofrecer soluciones de administración clave que se basan en HSM, pero por lo que puedo decir, no se puede alquilar y administrar un HSM fuera del paradigma de abstracción KeyVault / CloudHSM.
Richard Slater
Toda la publicación se volvió más en la gestión de claves que en su mantenimiento de seguridad. Me he equivocado. Con este comentario, obviamente no en un proveedor de la nube, tendría que alojarlo en otro lugar donde sea propietario del hardware o use un servicio y tenga confianza en su administración. (Personalmente, confío en aws para configurar y parchear Kms más que un dispositivo hsm en las instalaciones)
Tensibai
1
"Totalmente administrado" generalmente significa que el proveedor de servicios lo administra, que es lo opuesto a lo que está preguntando; Yo llamaría a esto un HSM no administrado .
Xiong Chiamiov
@RichardSlater ¿Entonces este problema se ha resuelto? Si es cierto, ¿podría publicar una respuesta?
030

Respuestas:

1

Entonces, después de haber retrocedido durante un par de semanas, Azure me ha confirmado en persona que la única forma de utilizar módulos de seguridad de hardware con certificación FIPS-140 Nivel 2 en Microsoft Azure es usar Azure Key Vault .

Richard Slater
fuente
1

Richard, tienes razón en que Cloud y HSM son dos conceptos contradictorios.

Para cumplir con los requisitos de disponibilidad y elasticidad para la gestión de claves y las operaciones criptográficas, se necesita un middleware que controle todo el hardware. Básicamente, esto lo hace la nube KMS disponible ahora.

Con AWS Cloud HSM, ya no hay disponibilidad y elasticidad completamente administradas. En cambio, puede agregar HSM al clúster si es necesario (escalabilidad) y si están ubicados en diferentes zonas de disponibilidad, también logra un cierto nivel de disponibilidad (pero no hay SLA garantizado en comparación con KMS). Además, AWS está haciendo copias de seguridad. Sin embargo, debe confiar en AWS y Cavium para que nunca colaboren y calcular la clave de cifrado de respaldo de AKBK y MKBK (consulte la página 10 del documento técnico de AWS ) fuera del HSM.

Cuando realmente desea tener un control total sobre el HSM, debe alojar el HSM usted mismo y conectarlo a la nube mediante VPN. Sin embargo, dependiendo de la conexión a Internet de su centro de datos, puede sufrir una baja latencia y su conexión a Internet externa podría ser vulnerable a los ataques DoS. Por lo tanto, soluciones como Utimaco CryptoServer Cloudincluya conexiones privadas desde sus centros de datos a su nube. Dependiendo de la ubicación del centro de datos y la región de la nube, estas conexiones pueden tener una latencia muy baja. Dado que los HSM no pertenecen a ningún proveedor de servicios en la nube, puede cambiar los CSP más fácilmente ya que no tiene que mover las teclas (lo que puede ser bastante difícil o imposible con KMS). Además, son posibles escenarios de varias nubes. Por otro lado, debe asumir todas las tareas de administración, como copias de seguridad o actualizaciones de firmware. Además, para lograr una alta disponibilidad, debe alquilar al menos dos de los HSM, y la granularidad de escala es solo un HSM completo. Pero ese es el precio por ser muy seguro al tener control total sobre el HSM.

dannyM
fuente
0

Solo quería señalarle que existen soluciones para beneficiarse de HSM aaS dedicado. Estamos probando esto en Interxion (proveedor de colocación en Europa): https://www.interxion.com/products/key-guardian/

Patrick Lastennet
fuente
Si bien este enlace puede responder la pregunta, es mejor incluir aquí las partes esenciales de la respuesta y proporcionar el enlace como referencia. Las respuestas solo de enlace pueden volverse inválidas si la página vinculada cambia
Romeo Ninov