クラウドでの管理されていないハードウェアセキュリティモジュール(HSM)の実行


8

パブリッククラウドにハードウェアセキュリティモジュールを配置することが可能かどうか、つまりGoogle、Amazon、Azureを使用できるかどうかを尋ねたことも、尋ねられたこともないことを認めなければなりません。 誰かが組織が完全に管理するHSMを使用できるようにするためのテクニックを見つけましたか?

クラウドとHSMの2つの概念は基本的に互いに矛盾しているように見えます。クラウドは一般に「アウトソーシング」またはオペレーティングサービスのリスクをクラウドサービスプロバイダーに転送するためです。

AzureとAWSで見られるように、フルマネージドHSMに関しては明らかに中立的な立場があります。

  • Azure KeyVault:Key Vaultを使用すれば、HSMとキー管理ソフトウェアのプロビジョニング、構成、パッチ適用、保守を行う必要はありません。新しいボールトとキーをプロビジョニングして(または独自のHSMからキーをインポートして)、キー、シークレット、ポリシーを一元管理します。
  • AWS CloudHSM:AWS CloudHSMは、クラウドベースのハードウェアセキュリティモジュール(HSM)で、AWSクラウドで独自の暗号化キーを簡単に生成して使用できます。CloudHSMを使用すると、FIPS 140-2レベル3検証済みHSMを使用して独自の暗号化キーを管理できます。

さらに、キー管理に対する非HSMベースのソリューションがいくつかあります。

  • クラウドキー管理(Google):Cloud KMSはクラウドでホストされるキー管理サービスで、オンプレミスと同じ方法でクラウドサービスの暗号化を管理できます。AES256暗号化キーを生成、使用、ローテーション、破棄できます。Cloud KMSはIAMおよびCloud Audit Loggingと統合されているため、個々のキーに対する権限を管理し、それらがどのように使用されるかを監視できます。Cloud KMSを使用して、Google Cloud Platformに保存する必要がある秘密やその他の機密データを保護します。
  • すべてのクラウドマーケットプレイスで利用可能なさまざまなセキュリティアプライアンス。

誰かが組織が完全に管理するHSMを使用できるようにするためのテクニックを見つけましたか?


AWまたはGCEで実行すると、IAASのみを使用してオンプレミスで行うのと同じようにHSMを管理できます。質問のポイントを逃した可能性がありますが、それへのポインターをいただければ幸いです。
Tensibai

1
ハードウェアセキュリティモジュールの重要な点は、ソフトウェアではなくハードウェアであり、キーを物理的に保護することです。クラウドは消費者から物理的なスズを抽出するため、HSMを含むハードウェアに直接アクセスできなくなります。ほとんどのプロバイダーは、HSMに基づいて構築されたキー管理ソリューションを提供しているようですが、私の知る限り、KeyVault / CloudHSM抽象化パラダイムの外でHSMをレンタルおよび管理することはできません。
Richard Slater

投稿全体がセキュリティ管理よりもキーマネージメントに向けられているのは間違いです。このコメントでは、明らかにクラウドプロバイダーではないため、ハードウェアを所有するかサービスを使用する別の場所でホストする必要があり、その管理に自信を持つ必要があります。(私は個人的に、オンプレミスのhsmアプライアンス以上のKmsを構成してパッチを適用するawsを信頼します)
Tensibai

1
「完全に管理されている」とは、通常、サービスプロバイダーが管理することを意味します。これを管理されていない HSM と呼びます。
Xiong Chiamiov

@RichardSlaterこの問題は解決されましたか?本当の場合、答えを投稿できますか?
030

回答:


1

このため、数週間前から後退していて、Azureは、Microsoft AzureでFIPS-140レベル2認定のハードウェアセキュリティモジュールを使用する唯一の方法がAzure Key Vaultを使用することであることを確認しました。


1

リチャード、あなたはその通りです。クラウドとHSMは2つの相反する概念です。

鍵管理と暗号化操作の可用性と弾力性の要件を満たすには、すべてのハードウェアを制御するミドルウェアが必要です。これは基本的に、現在利用可能なクラウドKMSによって行われます。

AWS Cloud HSMでは、完全に管理された可用性と弾力性はなくなりました。代わりに、必要に応じてHSMをクラスターに追加でき(スケーラビリティー)、それらが異なるアベイラビリティーゾーンにある場合は、特定のレベルのアベイラビリティーも実現します(ただし、KMSとは異なり、保証されたSLAはありません)。さらに、AWSはバックアップを行っています。ただし、AWSとCaviumがHSMの外部でAKBKとMKBK(AWSホワイトペーパーの 10ページを参照)からバックアップ暗号化キーを計算および計算しないことを信頼する必要があります。

HSMを完全に制御したい場合は、HSMを自分でホストし、VPNを使用してHSMをクラウドに接続する必要があります。ただし、データセンターのインターネット接続によっては、待ち時間が短くなり、外部インターネット接続がDoS攻撃に対して脆弱になる可能性があります。したがって、Utimaco CryptoServer Cloudなどのソリューションデータセンターからクラウドへのプライベート接続を含めます。データセンターの場所とクラウドリージョンによっては、これらの接続のレイテンシが非常に低くなる場合があります。HSMはどのクラウドサービスプロバイダーにも属していないため、キーを移動する必要がないため、CSPをより簡単に切り替えることができます(これは、KMSでは非常に困難または不可能です)。さらに、マルチクラウドのシナリオも可能です。一方、バックアップやファームウェアのアップグレードなど、すべての管理タスクを負担する必要があります。また、高可用性を実現するには、少なくとも2つのHSMをレンタルする必要があり、スケーリングの粒度は完全なHSMのみです。しかし、それはHSMを完全に制御することによって非常に安全であることの代償です。


0

専用のHSM aaSからメリットを得るためのソリューションが他にもあることをお伝えしたいと思います。私たちはこれをInterxion(コロケーションプロバイダーヨーロッパ)でパイロットしていますhttps ://www.interxion.com/products/key-guardian/


このリンクで質問に答えることができますが、回答の重要な部分をここに含め、参照用のリンクを提供することをお勧めします。リンクされたページが変更されると、リンクのみの回答が無効になる可能性があります
Romeo Ninov
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.