¿Cómo se utilizan los HSM basados en la nube para el cifrado por parte de una aplicación que se encuentra en las instalaciones (detrás del firewall empresarial)?

Question

¿Cómo se utilizan los HSM basados en la nube para el cifrado por parte de una aplicación que se encuentra en las instalaciones (detrás del firewall empresarial)?

#1 de DTK (2 votos)

1

Amazon CloudHSM (es Safenet en el backend), la versión de SaaS HSM de Safenet Luna y otros proveedores de HSM en la nube proporcionan servicios de cifrado y administración de claves en el dispositivo en la nube.

De mi investigación, entiendo que se pueden usar para cifrar algunos datos y obtener el blob cifrado para almacenamiento en DB / disco ya sea en - la NUBE (Amazon RDS / Amazon S3) o - En las instalaciones detrás del firewall (base de datos local / sistema de archivos local)

(CloudHSM) < ===== hablando con ==== > (En las instalaciones / detrás de la aplicación Firewall)

¿Cuáles son las preocupaciones de seguridad en este modelo?
¿Alguna recomendación específica desde el punto de vista de la seguridad de la red?
¿Es este incluso un modelo válido en primer lugar?

key-management encryption hsm

pregunta acthota 29.11.2014 - 13:56

fuente

1 respuesta

Lea otras preguntas en las etiquetas key-management encryption hsm

Nombre del troyano No puedo encontrar ninguna información sobre ¿Por qué mi dirección IP no es mía?

score 2 · Accepted Answer

En la mayoría de los casos, instalaría el software del controlador / motor en sus servidores y haría PKCS # 11 sobre TLS.

Tenga en cuenta que la oferta de algunos proveedores puede no ser un verdadero HSM; específicamente, puede ser el software y la administración en torno a un HSM entregado como un dispositivo virtual. Estos no pretenden proporcionar el mismo nivel de resistencia para atacar como un verdadero HSM. El almacén de claves es un archivo cifrado en el dispositivo virtual, y no una NVRAM cifrada dentro de un blob de epoxi. Esto significa que, en teoría, se podría clonar repetidamente para realizar un criptoanálisis sin conexión masivamente paralelo. Como tal, estos dispositivos virtuales no recibirán la certificación FIPS-140.

No puedo decir de cuál de los proveedores de primer nivel obtuve esto, ni puedo profundizar, ya que algunas cosas están cubiertas por la NDA, pero trabajaría estrechamente con el equipo de administración de riesgos de su empleador y auditaría para determinar si Es un riesgo aceptable para subcontratar.