CobiNet(寧波)推薦文章:
在企業(yè)中使用基于云的HSM是安全好處與風(fēng)險(xiǎn)并存的���。專家Dave Shackelford在這里介紹了支持和反對(duì)使用云HSM的兩種聲音。
SoftLayer于近期發(fā)布了一款名為Cloud HSM的產(chǎn)品�����,這是一個(gè)用于在云中確保密鑰安全管理的工具�。AWS也有類似的產(chǎn)品,也就是CloudHSM��,而微軟Azure用戶可以使用Azure Key Vault���。密鑰管理是安全的一個(gè)重要組成部分�,但是云存儲(chǔ)會(huì)帶來(lái)新的安全問(wèn)題��,例如訪問(wèn)硬件安全模塊平臺(tái)���,開(kāi)發(fā)或暴露的接口和API�����,等等。在使用基于云的HSM之前��,云服務(wù)供應(yīng)商的客戶們應(yīng)當(dāng)理解在云保存密鑰的好處和風(fēng)險(xiǎn)。此外��,并不是所有的HSM產(chǎn)品都具有相同的安全性�。
基于云HSM的好處
使用HSM的好處多多,這與是否基于云并沒(méi)有多大關(guān)系���。這些系統(tǒng)通常都是專為滿足要求嚴(yán)格的政府和法規(guī)標(biāo)準(zhǔn)(如FIPS 140-2)而設(shè)計(jì)的�,它們往往有強(qiáng)大的訪問(wèn)控制和基于角色的權(quán)限模式���、支持快速加密運(yùn)算和物理防篡改的專用硬件以及用于訪問(wèn)的靈活A(yù)PI選項(xiàng)�����。
如果這聽(tīng)上去很美以至于難以相信其真實(shí)性����,那么它只是可能而已;HSM平臺(tái)的安裝和配置是非常困難的�����,它要求較多的管理和運(yùn)行開(kāi)銷����,同時(shí)它也是異常昂貴的����。云中的HSM也通常是非常昂貴的����,但所需的配置和開(kāi)銷較少,這是因?yàn)樵朴?jì)算供應(yīng)商是在他們的數(shù)據(jù)中心內(nèi)維護(hù)物理設(shè)備的���。
從積極方面來(lái)看�,使用HSM是保存加密密鑰和管理密鑰生命周期最使用的安全措施����,這一點(diǎn)也同樣適用于云。目前���,使用云HSM是任何具有較高合規(guī)性要求的組織使用云服務(wù)的標(biāo)準(zhǔn)做法�。如果云供應(yīng)商沒(méi)有提供這些工具和功能����,那么他們會(huì)失去來(lái)自于政府、財(cái)務(wù)和醫(yī)療保健客戶的合同��,因?yàn)檫@些客戶都對(duì)所有密鑰材料有較高的保護(hù)性措施要求。
使用基于云HSM的唯一真正選擇就是對(duì)云中的應(yīng)用程序和基礎(chǔ)設(shè)施進(jìn)行架構(gòu)設(shè)計(jì)以便于使用內(nèi)部托管的加密密鑰��,當(dāng)然理想情況是在HSM平臺(tái)中�����。對(duì)于重點(diǎn)關(guān)注性能和可擴(kuò)展性的企業(yè)用戶來(lái)說(shuō)��,這簡(jiǎn)直是非常難使用和不切實(shí)際的���。
基于云HSM的缺點(diǎn)
基于云HSM的主要缺點(diǎn)有三。首先���,它為云部署帶來(lái)了較多的成本支出�����,對(duì)于那些希望通過(guò)使用云來(lái)達(dá)到成本節(jié)省的企業(yè)來(lái)說(shuō)���,這就意味著難以接受。其次��,管理HSM運(yùn)行和生命周期要求使用專用資源和進(jìn)行整合�,所以運(yùn)行能力也被證明是一個(gè)問(wèn)題���。最后,同時(shí)從安全性角度來(lái)說(shuō)�����,可能也是最重要的是安全團(tuán)隊(duì)將需要評(píng)估如何在HSM中生成和存儲(chǔ)密鑰�����。此外�,一些HSM平臺(tái)和服務(wù)供應(yīng)商可為租戶提供在場(chǎng)外生成他們自己密鑰以及之后將生成密鑰倒入云HSM的能力。這通常就是所謂的BYOK加密服務(wù)��。
理想情況下�,任何基于云的HSM都允許租戶通過(guò)內(nèi)部HSM或其他工具集上傳和同步密鑰,它們也提供了豐富的API集和調(diào)試工具以實(shí)現(xiàn)快速收擴(kuò)和部署工作流程自動(dòng)化���。此外�,從安全性角度來(lái)看��,內(nèi)部HSM和基于云HSM的直接連接可能是非常理想的�,這是因?yàn)檫@種方式從根本上杜絕了云供應(yīng)商工作人員看到密鑰數(shù)據(jù)的可能性。但是��,這也意味著云供應(yīng)商在發(fā)生主密鑰丟失或損壞情況下也無(wú)法提供恢復(fù)功能;任何考慮使用BYOK選項(xiàng)的企業(yè)用戶都應(yīng)當(dāng)記住,所有的密鑰生成和生命周期管理的重?fù)?dān)現(xiàn)在也都落到了他們的肩上�。
由于大多數(shù)主要的云供應(yīng)商都在他們的基礎(chǔ)設(shè)施即服務(wù)和平臺(tái)即服務(wù)云環(huán)境中提供了HSM工具和服務(wù),那么這些系統(tǒng)的應(yīng)用在不久的將來(lái)也會(huì)有所發(fā)展�。但是,與大多數(shù)安全措施一樣��,云HSM也不是包治百病的靈丹妙藥�����,它需要認(rèn)真規(guī)劃��、實(shí)施和執(zhí)行以便于真正達(dá)成安全好處���。
文章編輯:CobiNet(寧波)
本公司專注于電訊配件,銅纜綜合布線系列領(lǐng)域產(chǎn)品研發(fā)生產(chǎn)超五類,六類,七類屏蔽網(wǎng)線/屏蔽模塊及相關(guān)模塊配件, 我們是萬(wàn)兆屏蔽模塊��,10G屏蔽模塊�,屏蔽線生產(chǎn)廠家。
歡迎來(lái)電咨詢0574 88168918,郵箱sales@cobinet.cn����,網(wǎng)址www.idouxiong.cn
