È vietato utilizzare un sistema di test / demo / non-prod quando utilizza lo stesso HSM della produzione? Dal momento che la stessa chiave master verrebbe utilizzata sia per test che per prod, sembra che potrebbe sollevare le sopracciglia, ma non riesco a trovare alcuna guida specifica intorno a questo argomento.
Sì.
La condivisione degli stessi HSM su più ambienti (ad es. dev, test, pre-produzione, produzione) è l'equivalente aziendale dell'utilizzo della stessa password su più siti Web.
Molte grandi aziende copiano periodicamente i loro dati di produzione nei loro ambienti di test / QA. Questi ambienti più bassi hanno in genere controlli di accesso ai dati molto meno rigidi. Ciò significa che se gli stessi HSM sono in uso in entrambe le posizioni, i dati che sono stati adeguatamente protetti nell'ambiente di produzione potrebbero essere erroneamente accessibili in un ambiente non di produzione e quindi trapelati all'esterno (o "exfiltrated", per quelli di voi che usano Google per trovare questo). Quindi la difesa contro questo è garantire che non ci sia modo in cui i sistemi non di produzione possano accedere alle chiavi utilizzate dai sistemi di produzione per proteggere i dati. Il che significa separare le infrastrutture HSM per la produzione e la non produzione.
E dal punto di vista PCI, se puoi semplicemente dire ai tuoi auditor che i tuoi ambienti di non produzione non hanno semplicemente accesso alle chiavi utilizzate per proteggere i dati di produzione, ciò ti farebbe risparmiare di più del costo degli HSM aggiuntivi .
La cosa importante è questa:
Sebbene HSM si prenda cura della maggior parte della gestione per te, non ti solleva dagli obblighi descritti negli standard a cui stai lavorando.
Sono sicuro che c'è una parvenza simile in qualsiasi altro standard con cui lavoreresti.
Da una prospettiva PCI-DSS:
Nello standard PCI-DSS 2.0, sezione 3.5.1 e 3.5.2b:
3.5.1 Examine user access lists to verify that access to keys is restricted to the fewest number of custodians necessary.
3.5.2.b Identify key storage locations to verify that keys are stored in the fewest possible locations and forms.
In generale, un ambiente di controllo qualità ha un numero molto più elevato di persone con accesso al sistema, il che violerebbe 3.5.1. Se una violazione del sistema di controllo della qualità ha permesso una violazione della produzione, sono sicuro che anche il 3.5.2.b verrà estratto.
Una delle preoccupazioni che potresti avere con l'utilizzo di un singolo HSM per ambienti diversi è che i requisiti di gestione delle chiavi per gli ambienti Dev / Test potrebbero non essere coerenti con i requisiti di un ambiente di produzione.
Ad esempio, la mia comprensione è che alcuni HSM possono essere inseriti in una modalità di "sviluppo o test" che può consentire il recupero del materiale chiave dall'HSM.
Questo potrebbe essere desiderabile in un dev. ambiente per scopi di debug, ma sarebbe estremamente indesiderabile in un ambiente di produzione.
Quindi la mia conclusione sarebbe che se l'HSM è gestito in ogni momento come un HSM di produzione, non dovrebbe esserci alcun problema particolare ma questo potrebbe ridurre la sua utilità come test / demo HSM ...
Leggi altre domande sui tag key-management hsm