クラウドベースのHSMは、オンプレミス(エンタープライズファイアウォールの背後)にあるアプリケーションによる暗号化にどのように使用されますか?
Amazon CloudHSM(バックエンドではSafenetです)、Safenet Luna HSM SaaSバージョンおよび他のクラウドHSMプロバイダーは、クラウド内のデバイスでキー管理および暗号化サービスを提供します。
私の研究から、それらは一部のデータを暗号化し、CLOUD(Amazon RDS/Amazon S3)または-ファイアウォールの背後にあるオンプレミス(ローカルデータベース/ローカル)のいずれかでDB /ディスクに保存するために暗号化されたblobを取得するために使用できることを理解していますファイルシステム)
(CloudHSM)<=====通話中====>(オンプレミス/ファイアウォールアプリケーションの背後)
- このモデルでのセキュリティの問題は何ですか?
- ネットワークセキュリティの観点から具体的な推奨事項はありますか?
- そもそもこれは有効なモデルです。
ほとんどの場合、サーバーにドライバー/エンジンソフトウェアをインストールし、TLS経由でPKCS#11を実行します。
一部のベンダーの製品は真のHSMではない場合があることに注意してください。具体的には、仮想アプライアンスとして提供されるHSMに関するソフトウェアと管理である可能性があります。これらは、真のHSMと同じレベルの攻撃に対する回復力を提供するためのものではありません。キーストアは仮想アプライアンス上の暗号化されたファイルであり、エポキシの塊の中の暗号化されたNVRAMではありません。これは理論的には、大規模並列オフライン暗号解読のために繰り返し複製できることを意味します。そのため、これらの仮想アプライアンスはFIPS-140認定を受けません。
NDAによってカバーされているものもあるので、これを入手した最初の層のベンダーのどれとも言えませんし、深く掘り下げることもできませんが、雇用主のリスク管理チームと緊密に協力して、それが外部委託する許容リスク。