Ausführen nicht verwalteter Hardware-Sicherheitsmodule (HSMs) in der Cloud

8

Ich muss zugeben, dass ich nie die Frage gestellt habe oder gestellt wurde, ob es möglich ist, ein Hardware-Sicherheitsmodul in einer öffentlichen Cloud zu haben, womit ich Google, Amazon oder Azure meine. Hat jemand Techniken gefunden, mit denen Unternehmen HSMs verwenden können, die sie vollständig verwalten?

Es scheint mir, dass die beiden Konzepte Cloud und HSM grundsätzlich im Widerspruch zueinander stehen - da in der Cloud im Allgemeinen das Risiko des Betriebs von Hardware auf den Cloud-Dienstanbieter "ausgelagert" oder übertragen wird.

In Bezug auf vollständig verwaltete HSMs gibt es eindeutig einen Mittelweg, wie Sie ihn in Azure und AWS finden:

  • Azure KeyVault : Verwenden Sie Key Vault, und Sie müssen HSMs und Schlüsselverwaltungssoftware nicht bereitstellen , konfigurieren, patchen und warten. Stellen Sie innerhalb von Minuten neue Tresore und Schlüssel bereit (oder importieren Sie Schlüssel von Ihren eigenen HSMs) und verwalten Sie Schlüssel, Geheimnisse und Richtlinien zentral.
  • AWS CloudHSM : AWS CloudHSM ist ein Cloud-basiertes Hardware-Sicherheitsmodul (HSM), mit dem Sie auf einfache Weise Ihre eigenen Verschlüsselungsschlüssel in der AWS Cloud generieren und verwenden können. Mit CloudHSM können Sie Ihre eigenen Verschlüsselungsschlüssel mit FIPS 140-2 Level 3-validierten HSMs verwalten.

Darüber hinaus gibt es einige nicht HSM-basierte Lösungen für die Schlüsselverwaltung:

  • Cloud Key Management (Google) : Cloud KMS ist ein in der Cloud gehosteter Schlüsselverwaltungsdienst, mit dem Sie die Verschlüsselung für Ihre Cloud-Dienste genauso verwalten können wie vor Ort. Sie können AES256-Verschlüsselungsschlüssel generieren, verwenden, drehen und zerstören. Cloud KMS ist in IAM und Cloud Audit Logging integriert, sodass Sie Berechtigungen für einzelne Schlüssel verwalten und deren Verwendung überwachen können. Verwenden Sie Cloud KMS, um Geheimnisse und andere vertrauliche Daten zu schützen, die Sie in Google Cloud Platform speichern müssen.
  • Verschiedene Security Appliances sind auf allen Cloud-Marktplätzen verfügbar.

Hat jemand Techniken gefunden, mit denen Unternehmen HSMs verwenden können, die sie vollständig verwalten?

Richard Slater
quelle
Ich bin mir nicht sicher, ob ich die Frage bekomme. Wenn Sie mit AWs oder GCE arbeiten, können Sie Ihr HSM so verwalten, wie Sie es nur mit IAAS vor Ort tun würden. Ich habe wahrscheinlich einen Punkt in der Frage verpasst, würde mich aber über einen Hinweis darauf freuen.
Tensibai
1
Der Sinn eines Hardware-Sicherheitsmoduls ist sicherlich, dass es sich eher um Hardware als um Software handelt, sodass Sie den physischen Schutz der Schlüssel erhalten. Cloud abstrahiert physisches Zinn vom Verbraucher, sodass Sie keinen direkten Zugriff mehr auf die Hardware, einschließlich des HSM, haben. Die meisten Anbieter scheinen Schlüsselverwaltungslösungen anzubieten, die auf HSMs aufbauen, aber soweit ich das beurteilen kann, können Sie einen HSM nicht außerhalb des KeyVault / CloudHSM-Abstraktionsparadigmas mieten und verwalten.
Richard Slater
Der ganze Beitrag, der mehr auf die Schlüsselverwaltung als auf deren Sicherheitsbestand gerichtet ist, hat sich geirrt. Mit diesem Kommentar, offensichtlich nicht bei einem Cloud-Anbieter, müssten Sie ihn an einem anderen Ort hosten, an dem Sie die Hardware besitzen oder einen Dienst verwenden, und sich auf dessen Verwaltung verlassen. (Ich persönlich vertraue darauf, dass aws Kms mehr als eine hsm-Appliance vor Ort konfiguriert und patcht)
Tensibai
1
"Vollständig verwaltet" bedeutet im Allgemeinen, dass der Dienstanbieter es verwaltet. Dies ist das Gegenteil von dem, wonach Sie fragen. Ich würde dies einen nicht verwalteten HSM nennen.
Xiong Chiamiov
@RichardSlater Also wurde dieses Problem gelöst? Wenn ja, können Sie eine Antwort posten?
030

Antworten:

1

Nachdem Azure dies einige Wochen lang hin und her gegangen ist, hat es mir persönlich bestätigt, dass die einzige Möglichkeit, FIPS-140 Level 2-zertifizierte Hardware-Sicherheitsmodule in Microsoft Azure zu verwenden, die Verwendung von Azure Key Vault ist .

Richard Slater
quelle
1

Richard, Sie haben Recht, dass Cloud und HSM zwei widersprüchliche Konzepte sind.

Um die Verfügbarkeits- und Elastizitätsanforderungen für die Schlüsselverwaltung und kryptografische Vorgänge zu erfüllen, wird eine Middleware benötigt, die die gesamte Hardware steuert. Dies geschieht im Wesentlichen über das jetzt verfügbare Cloud-KMS.

Mit AWS Cloud HSM gibt es keine vollständig verwaltete Verfügbarkeit und Elastizität mehr. Stattdessen können Sie dem Cluster bei Bedarf HSMs hinzufügen (Skalierbarkeit). Wenn sich diese in verschiedenen Verfügbarkeitszonen befinden, erreichen Sie auch eine bestimmte Verfügbarkeit (im Gegensatz zu KMS gibt es jedoch keine garantierte SLA). Darüber hinaus führt AWS Backups durch. Sie müssen jedoch AWS und Cavium vertrauen, dass sie niemals zusammenarbeiten und den Sicherungsverschlüsselungsschlüssel von AKBK und MKBK (siehe Seite 10 des AWS-Whitepapers ) außerhalb des HSM berechnen .

Wenn Sie wirklich die volle Kontrolle über den HSM haben möchten, müssen Sie den HSM selbst hosten und über VPN mit der Cloud verbinden. Abhängig von der Internetverbindung Ihres Rechenzentrums kann es jedoch zu einer geringen Latenz kommen, und Ihre externe Internetverbindung ist möglicherweise anfällig für DoS-Angriffe. Daher Lösungen wie Utimaco CryptoServer CloudSchließen Sie private Verbindungen von ihren Rechenzentren zu Ihrer Cloud ein. Abhängig vom Standort des Rechenzentrums und der Cloud-Region können diese Verbindungen eine sehr geringe Latenz aufweisen. Da die HSMs keinem Cloud-Dienstanbieter gehören, können Sie CSPs einfacher wechseln, da Sie keine Schlüssel verschieben müssen (was mit KMS schwierig bis unmöglich sein kann). Darüber hinaus sind Multi-Cloud-Szenarien möglich. Auf der anderen Seite müssen Sie alle Verwaltungsaufgaben wie Backups oder Firmware-Upgrades tragen. Um eine hohe Verfügbarkeit zu erreichen, müssen Sie mindestens zwei der HSMs mieten. Die Skalierungsgranularität ist nur eine vollständige HSM. Aber das ist der Preis dafür, sehr sicher zu sein, wenn man die volle Kontrolle über das HSM hat.

dannyM
quelle
0

Ich wollte Sie nur darauf hinweisen, dass es Lösungen gibt, die von HSM aaS dediziert profitieren können. Wir testen dies bei Interxion (Colocation Provider Europe): https://www.interxion.com/products/key-guardian/

Patrick Lastennet
quelle
Während dieser Link die Frage beantworten kann, ist es besser, die wesentlichen Teile der Antwort hier aufzunehmen und den Link als Referenz bereitzustellen. Nur-Link-Antworten können ungültig werden, wenn sich die verlinkte Seite ändert
Romeo Ninov