Gestione delle chiavi nei data center cloud

12

In termini di infrastruttura, in che modo i fornitori di cloud (organizzazioni che forniscono SaaS, PaaS o IaaS tramite il cloud) gestiscono chiavi e crittografia?

Da quanto ho capito, i data center "privati" tendono a gestire e scaricare la crittografia con appliance hardware dedicate (come HSM, ADC o acceleratori SSL). In tal caso, le chiavi asimmetriche vengono gestite direttamente su questo hardware dedicato.

Per un provider cloud che può avere più di un data center e che si occupa di molti clienti distinti e dinamici, trovo difficile vedere come sia possibile utilizzare soluzioni basate su hardware dedicato per gestire e generare le chiavi dei clienti.

Le mie domande: sono appliance di sicurezza dedicate implementabili in un data center cloud? Come vengono gestite in genere le chiavi e dove vengono generalmente archiviate?

    
posta Louis 11.03.2011 - 14:58
fonte

4 risposte

6

Alcuni HSM (sono più abituato a quelli di nCipher) consentono operazioni simili al cloud: diversi HSM possono condividere lo stesso "mondo della sicurezza", il che significa che vedono le stesse chiavi private, che scambiano tra loro tramite crittografia gallerie. Lo storage stesso non è, fisicamente, nell'HSM; è esterno ma crittografato con chiavi mantenute all'interno dell'HSM (la configurazione completa prevede diversi tipi di smart card ed è un po 'più complesso di così, ma l'idea viene presa).

    
risposta data 11.03.2011 - 15:32
fonte
3

Azure ha un meccanismo che scarica in modo sicuro le chiavi private in ogni VM distribuita con la chiave privata non esportabile. Ecco un whitepaper che descrive il processo nella sezione 2.1.1.4

link

.

Come installare i certificati in Azure

link

    
risposta data 11.05.2011 - 17:12
fonte
1

Amazon ora supporta l'uso degli HSM SafeNet con CloudHSM .
Microsoft Azure supporta l'uso di Thales HSM: Thales, Microsoft serve crittografia sicura nel cloud .

Dubito che sia ancora possibile descrivere l'utilizzo "tipico", la gestione delle chiavi o lo storage, i dettagli varieranno sia con il provider cloud che con il fornitore HSM.

L'Azure " Porta la tua chiave " ti consente di utilizzare le chiavi generate sul tuo HSM, ma quasi sicuramente devi ancora fidarti del tuo provider cloud per gestire correttamente gli HSM.

(Gli HSM sono progettati per essere estremamente difficili da estrarre le chiavi da una persona non autorizzata, ma consentire a HSM di condividere chiavi per il failover e scalabilità significa condividere segreti tra di loro, e ciò deve essere fatto in maniera fidata. (ora Thales) HSM che @ thomas-pornin menziona, se un utente malintenzionato ottiene un accesso incontrollato alle smartcard dell'amministratore utilizzate per aggiungere un HSM a un Security Worlds, può estrarre efficacemente le chiavi da quel World. Nel caso SafeNet, considerazioni simili si applicano a un PED di Luna. A meno che il cloud provider non ti consenta di accedere direttamente al tuo HSM nel datacentre, devi fidarti della loro configurazione iniziale: una volta che i segreti sono stati stabiliti con gli HSM, è possibile una comunicazione autenticata sicura con loro.

    
risposta data 02.05.2014 - 15:01
fonte
0

Questo articolo IEEE di ieri sottolinea che molti provider considerano la sicurezza il problema degli utenti link ). Vorrei suggerire di evitare ipotesi sul cloud molto opaco e invece ottenere specifiche dal tuo provider prima di contrattare per il servizio.

    
risposta data 11.05.2011 - 20:31
fonte

Leggi altre domande sui tag