Protezione di un HSM sulla rete [chiuso]

Question

Protezione di un HSM sulla rete [chiuso]

#1 da (0 voti)

2

Non ho mai dovuto posizionare un HSM su una rete prima quindi voglio fare questa domanda per ottenere un consenso sulle migliori pratiche per questo.

L'HSM risiederà su una rete interna che apparirà come questa;

internet < - > firewall di confine < - > DMZ < - > all'interno di FW < - > IPS < - > rete interna

Il firewall interno avrà anche una connessione secondaria alla nostra WAN aziendale e la rete interna sarà utilizzata per Dev / Pre-Prod ecc.

Ovviamente segmenterò la rete interna in diversi livelli di riservatezza / sicurezza, quindi HSM risiederà nella propria sottorete. Sarebbe meglio posizionare un altro FW sul punto di ingresso / uscita della sottorete per l'HSM? dovrei avere un IPS.

Sarebbe gradito qualsiasi suggerimento da parte di qualcuno che ha implementato un HSM su una rete.

Saluti

architecture network hsm

posta gkw1975 15.08.2017 - 12:53

fonte

1 risposta

Leggi altre domande sui tag architecture network hsm

WhatsApp Web Computer connessi [chiuso] È possibile che Firefox rilevi gli attacchi MITM da parte dell'azienda? [duplicare]

score 0 · Accepted Answer

Come ha detto Steffen, un HSM è un dispositivo molto speciale. Di solito non è posto per "comodità di accesso per la maggior parte dei sistemi".

Infatti, quando si distribuisce un HSM per la prima volta, di solito c'è solo un sistema che ha bisogno di accedere all'HSM - e di solito il sistema esegue i propri ruoli IDAM. In molti casi, rimane l'unico sistema che ha bisogno di HSM per un lungo periodo.

Pertanto, raccomando sempre che il server IDAM (o qualsiasi altro sistema abbia bisogno di accedere a HSM) usi una scheda di rete dedicata per connettersi all'HSM - rendendolo un segmento privato della rete con uno switch dedicato.

--- IDAM-NIC-1-app-access ---- [Server IDAM] --- IDAM-NIC-2-privato ---- [HSM]

È possibile connettere più server su questo switch in caso di necessità.

Non sono sicuro di quali applicazioni potrebbero necessitare di un "accesso general purpose" all'HSM, ma se / quando necessario, è possibile collegarlo a una rete / segmento protetto separato sul firewall (la maggior parte dei firewall questi i giorni supportano più NIC / segmenti / zone) e mettono in atto politiche di sicurezza pertinenti.