Executando HSMs (Hardware Security Modules) não gerenciados na nuvem

8

Devo admitir que nunca perguntei, ou me perguntaram, se é possível ter um Módulo de Segurança de Hardware em uma nuvem pública, com o que quero dizer Google, Amazon ou Azure. Alguém encontrou alguma técnica para permitir que as organizações usem HSMs que eles gerenciam totalmente?

Parece-me que os dois conceitos, Cloud e HSMs, estão fundamentalmente em desacordo entre si - porque a nuvem geralmente envolve "terceirização" ou transferência do risco de operação de hardware para o provedor de serviços em nuvem.

Existe claramente um meio termo em termos de HSMs totalmente gerenciados, como você encontra no Azure e na AWS:

  • Azure KeyVault : use o Key Vault e você não precisará provisionar, configurar, corrigir e manter HSMs e software de gerenciamento de chaves. Provisione novos cofres e chaves (ou importe chaves de seus próprios HSMs) em minutos e gerencie centralmente chaves, segredos e políticas.
  • AWS CloudHSM : O AWS CloudHSM é um HSM (módulo de segurança de hardware) baseado na nuvem que permite gerar e usar facilmente suas próprias chaves de criptografia na nuvem da AWS. Com o CloudHSM, você pode gerenciar suas próprias chaves de criptografia usando HSMs validados pelo FIPS 140-2 Nível 3.

Além disso, existem algumas soluções não baseadas em HSM para gerenciamento de chaves:

  • Gerenciamento de chaves na nuvem (Google) : o Cloud KMS é um serviço de gerenciamento de chaves hospedado na nuvem que permite gerenciar a criptografia dos seus serviços na nuvem da mesma maneira que no local. Você pode gerar, usar, girar e destruir chaves de criptografia AES256. O Cloud KMS é integrado ao IAM e ao Cloud Audit Logging, para que você possa gerenciar permissões em chaves individuais e monitorar como elas são usadas. Use o Cloud KMS para proteger segredos e outros dados confidenciais que você precisa armazenar no Google Cloud Platform.
  • Vários dispositivos de segurança disponíveis em todos os mercados de nuvem.

Alguém encontrou alguma técnica para permitir que as organizações usem HSMs que eles gerenciam totalmente?

security  cloud  key-management 
Richard Slater
fonte
Não tenho certeza de obter a pergunta, rodando em AWs ou GCE, você pode gerenciar seu HSM como faria no local usando apenas o IAAS ... Provavelmente perdi um ponto da pergunta, mas gostaria de ter um ponteiro para ela.
Tensibai
11
Certamente, o objetivo de um módulo de segurança de hardware é que é hardware, e não software, para que você obtenha a proteção física das chaves. A nuvem abstrai a lata física do consumidor para que você não tenha mais acesso direto ao hardware, incluindo o HSM. A maioria dos provedores parece oferecer soluções de gerenciamento de chaves baseadas em HSMs, mas, até onde posso dizer, não é possível alugar e gerenciar um HSM fora do paradigma de abstração KeyVault / CloudHSM.
Richard Slater
O post inteiro está voltado mais para as chaves de Gerenciamento do que para a segurança deles. Eu me enganei. Com esse comentário, obviamente, não em um provedor de nuvem, você precisaria hospedá-lo em outro lugar em que você possua o hardware ou use um serviço e tenha confiança em seu gerenciamento. (Eu, pessoalmente, aws de confiança para configurar e remendo Kms mais de um appliance HSM na premissa)
Tensibai
11
"Totalmente gerenciado" geralmente significa que o provedor de serviços o gerencia, o que é o oposto do que você está perguntando; Eu chamaria isso de HSM não gerenciado .
Xiong Chiamiov 02/12
@ RichardSlater Então, esse problema foi resolvido? Se for verdade, você poderia postar uma resposta?
030

Respostas:

1

Portanto, tendo revertido esse processo por algumas semanas, o Azure confirmou pessoalmente que a única maneira de utilizar os módulos de segurança de hardware certificados FIPS-140 Nível 2 no Microsoft Azure é usar o Azure Key Vault .

Richard Slater
fonte
1

Richard, você está certo que Cloud e HSMs são dois conceitos contraditórios.

Para atender aos requisitos de disponibilidade e elasticidade para gerenciamento de chaves e operações criptográficas, é necessário um middleware controlando todo o hardware. Isso é basicamente feito pelo KMS da nuvem disponível agora.

Com o AWS Cloud HSM, não há mais disponibilidade e elasticidade totalmente gerenciadas. Em vez disso, você pode adicionar HSMs ao cluster, se necessário (escalabilidade) e se eles estiverem localizados em diferentes zonas de disponibilidade, você também obterá um certo nível de disponibilidade (mas não há SLA garantido em oposição ao KMS). Além disso, a AWS está fazendo backups. No entanto, você deve confiar na AWS e no Cavium de que eles nunca colaboram e calcular a chave de criptografia de backup do AKBK e MKBK (na página 10 do whitepaper da AWS ) fora do HSM.

Quando você realmente deseja ter controle total sobre o HSM, é necessário hospedá-lo e conectá-lo à nuvem usando VPN. No entanto, dependendo da conexão à Internet do seu data center, você pode sofrer de baixa latência e sua conexão externa à Internet pode estar vulnerável a ataques de negação de serviço. Portanto, soluções como o Utimaco CryptoServer Cloudinclua conexões privadas de seus datacenters à sua nuvem. Dependendo da localização do data center e da região da nuvem, essas conexões podem ter latência muito baixa. Como os HSMs não pertencem a nenhum provedor de serviços em nuvem, você pode alternar os CSPs mais facilmente, pois não é necessário mover as chaves (o que pode ser muito difícil ou impossível com o KMS). Além disso, cenários de várias nuvens são possíveis. Por outro lado, você deve suportar todas as tarefas de gerenciamento, como backups ou atualizações de firmware. Além disso, para obter alta disponibilidade, é necessário alugar pelo menos dois HSMs e a granularidade de escala é apenas um HSM completo. Mas esse é o preço por ser muito seguro, tendo controle total sobre o HSM.

dannyM
fonte
0

Eu só queria lhe mostrar que existem soluções para se beneficiar do HSM aaS dedicado. Estamos testando isso na Interxion (provedor de colocation na Europa): https://www.interxion.com/products/key-guardian/

Patrick Lastennet
fonte
Embora esse link possa responder à pergunta, é melhor incluir aqui as partes essenciais da resposta e fornecer o link para referência. Respostas só-Link pode se tornar inválido se a página vinculada muda
Romeo Ninov
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.