Sistema de administración de claves HSM en AWS / Azure

Navega tus respuestas
1

Necesito almacenar las credenciales de la base de datos de los usuarios de forma segura para que una aplicación pueda acceder.

He considerado: - utilizando AWS RDS con una instancia de PostgreSQL cifrada - utilizando el sistema de administración de claves de AWS, respaldado por un módulo de seguridad de hardware

¿El KMS todavía no crea un único punto de falla? Si me roban las claves de mi aplicación a la API de KMS, ¿podrán leer todas las contraseñas almacenadas en el KMS (incluso si cada usuario está usando su propia clave)?

¿Cuál es la configuración recomendada para algo como esto?

    
pregunta skunkwerk 10.08.2017 - 22:53
fuente

2 respuestas

1

El HSM solo lo hace para que sepa que solo hay 1 copia de la clave. El uso de la clave es un tema aparte. Obtiene la tranquilidad de que alguien no ha copiado la clave y la está utilizando en otro lugar. Si el HSM es seguro, la clave es segura.

    
respondido por el returneax 10.08.2017 - 23:02
fuente
1

Podría usar un Azure KeyVault con respaldo de HSM con solo un Service Principal que tiene permisos a la Bóveda de claves a través del certificado y configura los permisos a Solo. De esa manera, la única manera de que un atacante acceda a la bóveda de llaves es a través de la misma máquina / recurso que usa la autenticación de certificado en la Bóveda de llaves e incluso necesita el nombre exacto del secreto que está buscando para obtener el valor. Aquí está el inicio en Key Vault que detalla lo que necesita.

Trabajo mucho con Key Vault, así que estaré encantado de proporcionar detalles adicionales si es necesario.

    
respondido por el Emmanuel Ferran 24.08.2017 - 18:51
fuente

Lea otras preguntas en las etiquetas

IDP Explicit FTPS Falso-Positivo - “FTP Cmd Telnet Opcode Evasion” ¿Cómo puede alguien hacer un ataque de denegación de servicio con JavaScript?