AWS / Azure上のHSMキー管理システム
アプリケーションがアクセスできるように、ユーザーデータベースの資格情報を安全に保存する必要があります。
私は次のことを検討しました:-暗号化されたPostgreSQLインスタンスでAWSRDSを使用する-ハードウェアセキュリティモジュールに裏打ちされたAWSキー管理システムを使用する
KMSはまだ単一障害点を作成しませんか? KMS APIへのアプリケーションのキーが盗まれた場合、KMSに保存されているすべてのパスワードを読み取ることができますか(各ユーザーが独自のキーを使用している場合でも)?
このようなものに推奨される設定は何ですか?
HSMは、キーのコピーが1つしかないことを認識できるようにするだけです。キーの使用は別の問題です。誰かがキーをコピーしておらず、別の場所で使用しているという安心感が得られます。 HSMが安全であれば、キーは安全です。
HSMでサポートされたAzure KeyVault を サービスプリンシパル のみで使用できます 証明書を介したKey Vaultへのアクセス許可 そしてアクセス許可をGetに設定しますのみ。そうすれば、攻撃者がキーボールトにアクセスする唯一の方法は、キーボールトへの証明書認証を使用しているのと同じマシン/リソースを経由することです。それでも、取得するために探している秘密の正確な名前が必要です。値。 ここ は、必要なものを詳しく説明するKeyVaultの概要です。
私はKeyVaultを頻繁に使用しているので、必要に応じて詳細を提供させていただきます。