Sistema di gestione delle chiavi HSM su AWS / Azure

Naviga le tue risposte
1

Ho bisogno di memorizzare le credenziali del database utente in modo sicuro per l'accesso di un'applicazione.

Ho preso in considerazione: - utilizzando AWS RDS con un'istanza PostgreSQL crittografata - utilizzando il sistema di gestione delle chiavi AWS, supportato da un modulo di sicurezza hardware

Il KMS non crea ancora un singolo punto di errore? Se vengono rubate le chiavi della mia applicazione all'API KMS, saranno in grado di leggere tutte le password memorizzate nel KMS (anche se ogni utente usa la propria chiave)?

Qual è l'impostazione consigliata per qualcosa di simile?

    
posta skunkwerk 10.08.2017 - 22:53
fonte

2 risposte

1

Potresti utilizzare un Azure KeyVault protetto da HSM con solo un Service Principal che contiene autorizzazioni al Key Vault tramite certificato e impostare le autorizzazioni su Solo. In questo modo, l'unico modo per un utente malintenzionato di accedere al vault delle chiavi è tramite la stessa macchina / risorsa che sta utilizzando l'autenticazione del certificato nel Key Vault e anche in quel caso ha bisogno del nome esatto del segreto che stai cercando di ottenere il valore. Qui è la parte introduttiva di Key Vault che descrive in dettaglio cosa hanno bisogno.

Lavoro intensamente con Key Vault quindi sarò lieto di fornire ulteriori dettagli se necessario.

    
risposta data 24.08.2017 - 18:51
fonte
1

L'HSM fa in modo che tu sappia che c'è solo una copia della chiave. L'uso della chiave è un problema separato. Hai la certezza che qualcuno non ha copiato la chiave e la sta usando da qualche altra parte. Se l'HSM è sicuro, la chiave è sicura.

    
risposta data 10.08.2017 - 23:02
fonte

Leggi altre domande sui tag

Come può qualcuno fare un attacco denial of service con JavaScript Perché il malware non viene comunemente scritto in Haskell?