In che modo gli HSM basati su cloud vengono utilizzati per la crittografia da un'applicazione che si trova in premessa (dietro il firewall aziendale)?

Question

In che modo gli HSM basati su cloud vengono utilizzati per la crittografia da un'applicazione che si trova in premessa (dietro il firewall aziendale)?

#1 da (2 voti)

1

Amazon CloudHSM (è Safenet nel backend), Safenet Luna HSM SaaS e altri provider di cloud HSM forniscono servizi di gestione delle chiavi e di crittografia sul dispositivo nel cloud.

Dalla mia ricerca, capisco che possono essere utilizzati per crittografare alcuni dati e ottenere il blob crittografato per l'archiviazione in DB / disco sia su - il CLOUD (Amazon RDS / Amazon S3) o - Sul posto dietro il firewall (database locale / file system locale)

(CloudHSM) < ===== parlando con ==== > (Sull'applicazione Premise / Behind the Firewall)

Quali sono i problemi di sicurezza w.r.t questo modello?
Qualche raccomandazione specifica dal punto di vista della sicurezza della rete?
È anche questo un modello valido in primo luogo.

encryption key-management hsm

posta acthota 29.11.2014 - 13:56

fonte

1 risposta

Leggi altre domande sui tag encryption key-management hsm

Perché il mio indirizzo IP non è mio? Nome trojan Non riesco a trovare nessuna informazione

score 2 · Accepted Answer

Nella maggior parte dei casi, dovresti installare il driver / il software del motore nei tuoi server e fare PKCS # 11 su TLS.

Tieni presente che l'offerta di alcuni fornitori potrebbe non essere un vero HSM; in particolare può trattarsi del software e della gestione di un HSM consegnato come appliance virtuale. Questi non hanno lo scopo di fornire lo stesso livello di resilienza per attaccare come un vero HSM. Il keystore è un file crittografato sull'appliance virtuale e non una NVRAM crittografata all'interno di un BLOB di resina epossidica. Ciò significa in teoria che potrebbe essere ripetutamente clonato per la crittoanalisi offline in modo massivo e parallelo. In quanto tali, queste appliance virtuali non riceveranno la certificazione FIPS-140.

Non posso dire quale dei venditori di primo livello ho ottenuto da questo, né posso approfondire, dato che alcune cose sono coperte dalla NDA, ma lavorerei a stretto contatto con il team di gestione dei rischi del vostro datore di lavoro e la verifica per stabilire se è un rischio accettabile per l'esternalizzazione.