Administración de claves en centros de datos en la nube

12

En términos de infraestructura, ¿cómo los proveedores de la nube (organizaciones que proporcionan SaaS, PaaS o IaaS a través de la nube) administran las claves y la criptografía?

En mi opinión, los centros de datos "privados" tienden a administrar y descargar la criptografía con dispositivos de hardware dedicados (como HSM, ADC o aceleradores de SSL). En ese caso, las claves asimétricas se administran directamente en este hardware dedicado.

Para un proveedor de nube que puede tener más de un centro de datos y trata con muchos clientes distintos y dinámicos, me resulta difícil ver cómo es posible utilizar soluciones basadas en hardware dedicado para administrar y generar las claves de los clientes.

Mis preguntas: ¿se pueden implementar dispositivos de seguridad dedicados en un centro de datos en la nube? ¿Cómo se administran normalmente las claves y dónde se almacenan generalmente?

    
pregunta Louis 11.03.2011 - 14:58
fuente

4 respuestas

6

Algunos HSM (estoy más acostumbrado a los de nCipher) permiten operaciones similares a la nube: varios HSM pueden compartir el mismo "mundo de seguridad", lo que significa que ven las mismas claves privadas, que intercambian entre sí a través del cifrado túneles El almacenamiento en sí no está, físicamente, en el HSM; es externa pero está encriptada con claves que se guardan dentro del HSM (la configuración completa involucra varios tipos de tarjetas inteligentes y es un poco más compleja que eso, pero entiendes la idea).

    
respondido por el Thomas Pornin 11.03.2011 - 15:32
fuente
3

Azure tiene un mecanismo que descarga de forma segura las claves privadas en cada máquina virtual implementada y que la clave privada no es exportable. Aquí hay un documento técnico que describe el proceso en la sección 2.1.1.4

enlace

.

Cómo puedes instalar certificados en Azure

enlace

    
respondido por el random65537 11.05.2011 - 17:12
fuente
1

Amazon ahora admite el uso de HSM SafeNet con CloudHSM .
Microsoft Azure admite el uso de los HSM de Thales: Thales, Microsoft sirve criptografía segura en la nube .

Dudo que aún sea posible describir el uso "típico", la administración de claves o el almacenamiento, los detalles variarán tanto con el proveedor de nube como con el proveedor de HSM.

El Azure " Bring Your Own Key " le permite usar claves generadas en su propio HSM, pero es casi seguro que aún tenga que confiar en su proveedor de nube para administrar los HSM correctamente.

(Los HSM están diseñados para ser extremadamente difíciles para que una persona no autorizada extraiga las claves, pero permitir que los HSM compartan claves para la conmutación por error y la escalabilidad significa compartir secretos entre ellos, y eso debe hacerse de manera confiable. En el caso del nCipher (ahora Thales) los HSM que @ thomas-pornin menciona, si un atacante obtiene acceso no controlado a las tarjetas inteligentes de administrador utilizadas para agregar un HSM a un mundo de seguridad, pueden extraer claves de ese mundo. En el caso de SafeNet, se aplican consideraciones similares a a Luna PED. A menos que el proveedor de la nube le permita el acceso directo a "su" HSM en el centro de datos, debe confiar en su configuración inicial. Una vez que se establezcan los secretos con los HSM, entonces es posible asegurar una comunicación autenticada con ellos.)

    
respondido por el armb 02.05.2014 - 15:01
fuente
0

Este artículo de IEEE de ayer señala que muchos proveedores ven la seguridad como un problema de los usuarios enlace ). Yo sugeriría evitar las suposiciones sobre la nube muy opaca y en su lugar obtener información específica de su proveedor antes de contratar el servicio.

    
respondido por el zedman9991 11.05.2011 - 20:31
fuente

Lea otras preguntas en las etiquetas