クラウドデータセンターでのキー管理

一部のHSM（私はnCipherのものに慣れています）はクラウドのような操作を許可します。複数のHSMが同じ「セキュリティワールド」を共有する場合があります。つまり、暗号化されたトンネルを介して互いに交換する同じ秘密鍵を参照します。ストレージ自体は、物理的にはHSM内にありません。それは外部ですが、HSM内に保持されるキーで暗号化されています（完全なセットアップにはいくつかのタイプのスマートカードが含まれ、それよりも少し複雑ですが、アイデアはわかります）。

Azureには、展開された各VMに秘密キーを安全にダウンロードするメカニズムがあり、秘密キーはエクスポートできません。セクション2.1.1.4のプロセスを説明したホワイトペーパーを以下に示します

http://www.globalfoundationservices.com/security/documents/WindowsAzureSecurityOverview1_0Aug2010.pdf

。

Azureに証明書をインストールする方法

http://blogs.msdn.com/b/jnak/archive/2010/01/29/installing-certificates-in-windows-Azure-vms.aspx

現在、Amazonは CloudHSM を使用したSafeNet HSMの使用をサポートしています。
Microsoft AzureはThales HSMの使用をサポートしています Thales、Microsoftはクラウドで安全な暗号を提供しています 。

「典型的な」使用法、キー管理、またはストレージを説明することはまだ不可能だと思います。詳細は、クラウドプロバイダーとHSMベンダーの両方によって異なります。

Azure " Bring Your Own Key "の概念では、独自のHSMで生成されたキーを使用できますが、HSMを正しく管理するには、クラウドプロバイダーを信頼する必要があります。

（HSMは、権限のない人がキーを抽出するのが非常に困難になるように設計されていますが、HSMがフェイルオーバーとスケーラビリティーのためにキーを共有できるようにすることは、それらの間でシークレットを共有することを意味します。これは信頼できる方法で行われる必要があります。nCipherの場合（現在のタレス）@ thomas-porninが言及しているHSM、攻撃者がセキュリティワールドにHSMを追加するために使用される管理者スマートカードのクォーラムへの制御されていないアクセスを取得した場合、それらはそのワールドからキーを効果的に抽出できます。SafeNetの場合も同様です。 Luna PEDには考慮事項が適用されます。クラウドプロバイダーがデータセンターの「自分の」HSMへの直接アクセスを許可しない限り、初期設定を信頼する必要があります。HSMでシークレットが確立されると、それらとの安全な認証通信が可能になります。）

編集、数年後：AmazonのCloudHSMは独自のハードウェアを使用するようになり、SafeNet（現在はGemalto）HSMは「CloudHSMクラシック」になりました。Luna5 HSMは廃止されたため、廃止されます AWS CloudHSMクラシックFAQ 。

ThalesとGemaltoは合併していますが、以前のnCipher HSMビジネスはEntrust Datacardに売却されています。 GP HSMビジネスを販売するタレス 。

Microsoft Azureは専用のHSMを提供しています Azure専用HSMとは 。

昨日のこのIEEE記事は、多くのプロバイダーがセキュリティをユーザーの問題と見なしていることを指摘しています http://spectrum.ieee.org/riskfactor/telecom/internet/your-security-not-our-problem-say-cloud-プロバイダー？utm_source = feedburner＆utm_medium = feed＆utm_campaign = Feed：+ IeeeSpectrum +（IEEE + Spectrum ）。非常に不透明なクラウドについての想定を避け、代わりにサービスを契約する前にプロバイダーから詳細を入手することをお勧めします。