在我看来,云和HSM这两个概念在本质上是相互矛盾的-因为云通常涉及“外包”或将运营硬件的风险转移给云服务提供商。
在Azure和AWS中,完全托管的HSM显然有中间立场:
Azure KeyVault:使用Key Vault,您无需配置,配置,修补和维护HSM和密钥管理软件。在数分钟内配置新的保管库和密钥(或从您自己的HSM导入密钥)并集中管理密钥,机密和策略。
AWS CloudHSM:AWS CloudHSM是基于云的硬件安全模块(HSM),使您能够在AWS Cloud上轻松生成和使用自己的加密密钥。使用CloudHSM,您可以使用经过FIPS 140-2 3级认证的HSM管理自己的加密密钥。
此外,还有一些基于非HSM的密钥管理解决方案:
云密钥管理(Google):云KMS是一种由云托管的密钥管理服务,可让您以与本地部署相同的方式管理云服务的加密。您可以生成,使用,旋转和销毁AES256加密密钥。 Cloud KMS与IAM和Cloud Audit Logging集成在一起,因此您可以管理各个密钥的权限,并监视它们的使用方式。使用Cloud KMS保护需要存储在Google Cloud Platform中的机密和其他敏感数据。
所有云市场上都有各种安全设备。
任何人都找到了用于启用的任何技术组织使用他们完全管理的HSM?
#1 楼
因此,在此方面来回走了几周之后,Azure亲自向我确认,在Microsoft Azure中使用FIPS-140 2级认证的硬件安全模块的唯一方法是使用Azure Key Vault。#2 楼
Richard,您认为Cloud和HSM是两个相互矛盾的概念是正确的。要满足密钥管理和加密操作的可用性和弹性要求,就需要一个中间件来控制所有硬件。这基本上是由现在可用的云KMS完成的。
借助AWS Cloud HSM,不再具有完全托管的可用性和弹性。相反,您可以根据需要(可伸缩性)将HSM添加到群集中,并且如果它们位于不同的可用性区域中,那么您也可以实现一定级别的可用性(但是与KMS相比,没有保证的SLA)。此外,AWS正在备份。但是,您必须信任AWS和Cavium,他们从不合作,也无法在HSM之外从AKBK和MKBK(请参阅AWS白皮书的第10页)计算备份加密密钥。
当您真正想要要完全控制HSM,您必须自己托管HSM,然后使用VPN将其连接到云。但是,根据数据中心的Internet连接,您可能会遭受低延迟的困扰,并且外部Internet连接可能容易受到DoS攻击。因此,像Utimaco CryptoServer Cloud这样的解决方案包括从其数据中心到您的云的专用连接。根据数据中心和云区域的位置,这些连接的延迟可能非常低。由于HSM不属于任何云服务提供商,因此您无需移动密钥就可以更轻松地切换CSP(对于KMS,这可能很难甚至不可能)。此外,多云场景是可能的。另一方面,您必须承担所有管理任务,例如备份或固件升级。另外,要实现高可用性,您必须至少租用两个HSM,并且扩展粒度仅是完整的HSM。但这就是通过完全控制HSM来确保安全的代价。
#3 楼
我只是想向您指出,有一些解决方案可以受益于专用的HSM aaS。我们正在Interxion(欧洲托管服务提供商)进行试验:https://www.interxion.com/products/key-guardian/评论
虽然此链接可以回答问题,但最好在此处包括答案的基本部分,并提供链接以供参考。如果链接页面更改,则仅链接的答案可能无效
–罗密欧·尼诺夫(Romeo Ninov)
18年1月1日在8:24
评论
我不确定要解决的问题,无论是在AW还是GCE上运行,您都可以像仅在使用IAAS的前提下管理HSM一样。我可能确实遗漏了问题的一部分,但希望能找到指向它的指针。 br />当然,硬件安全模块的重点是硬件而不是软件,因此您可以获得密钥的物理保护。云从用户那里提取了物理信息,因此您不再可以直接访问硬件,包括HSM。大多数提供商似乎都在提供基于HSM的密钥管理解决方案,但据我所知,您不能在KeyVault / CloudHSM抽象范式之外租用和管理HSM。
整个帖子更多地放在密钥管理上,而不是我误认为它们的安全性。有了这个评论,显然不是在云提供商中,您必须将其托管在您拥有硬件或使用服务的其他地方,并对它的管理充满信心。 (我个人相信aws可以在内部而不是hsm设备上配置和修补Kms)
“完全管理”通常是指服务提供商对其进行管理,这与您所要求的相反。我将其称为不受管理的HSM。
@RichardSlater那么这个问题已经解决了吗?如果为真,您可以发布答案吗?