Asegurar un HSM en la red [cerrado]

Navega tus respuestas
2

Nunca he tenido que colocar un HSM en una red antes, así que quiero hacer esta pregunta para obtener un consenso sobre las mejores prácticas para esto.

El HSM residirá en una red interna que tendrá este aspecto;

internet < - > cortafuegos de límite < - > DMZ < - > dentro de FW < - > IPS < - > red interna

El firewall interno también tendrá una conexión secundaria a nuestra WAN corporativa y la red interna se usará para Dev / Pre-Prod, etc.

Obviamente, segmentaré la red interna en diferentes niveles de confidencialidad / seguridad, por lo tanto, el HSM residirá en su propia subred. ¿Sería mejor colocar un FW adicional en el punto de ingreso / egreso de la subred para el HSM? Debería tener un IPS.

Cualquier puntero de alguien que haya implementado un HSM en una red sería apreciado.

Saludos

    
pregunta gkw1975 15.08.2017 - 12:53
fuente

1 respuesta

0

Como mencionó Steffen, un HSM es un dispositivo de propósito muy especial. Por lo general, no se coloca para "la comodidad de acceso para la mayoría de los sistemas".

De hecho, cuando implementa un HSM por primera vez, generalmente solo hay un sistema que necesita acceso al HSM, y generalmente es el sistema el que realiza sus funciones de IDAM. En muchos casos, sigue siendo el único sistema que necesita HSM durante mucho tiempo.

Por lo tanto, siempre recomiendo que el servidor IDAM (o el sistema que necesite acceso a HSM) use un adaptador de red dedicado para conectarse al HSM, lo que lo convierte en un segmento privado de la red con un conmutador dedicado.

--- IDAM-NIC-1-app-access ---- [Servidor IDAM] --- IDAM-NIC-2-private ---- [HSM]

Podría conectar más servidores en este conmutador cuando surja la necesidad.

No estoy seguro de qué aplicaciones pueden necesitar más "acceso de propósito general" para el HSM, pero si / cuando lo necesite, puede conectarlo a una red / segmento protegido separado en su firewall (la mayoría de los firewalls estos Los días son compatibles con múltiples NIC / segmentos / zonas) y se aplican políticas de seguridad relevantes.

    
respondido por el Sas3 15.08.2017 - 13:44
fuente

Lea otras preguntas en las etiquetas

¿Qué garantías de seguridad proporcionan las claves de cifrado de disco proporcionadas por el cliente de Google Cloud Platform sobre las claves proporcionadas por Google? ¿Cómo se relacionan los modelos de adversarios y los tipos de seguridad [cerrado]