ネットワーク上のHSMの保護
これまでHSMをネットワークに配置する必要がなかったので、この質問をして、これに関するベストプラクティスについてコンセンサスを得たいと思います。
HSMは、次のような内部ネットワークに常駐します。
インターネット<->境界ファイアウォール<-> DMZ <-> FW内部<-> IPS <->内部ネットワーク
内部ファイアウォールには、企業への2次接続もありますWANおよび内部ネットワークは、Dev/Pre-Prodなどに使用されます。
明らかに、私は内部ネットワークをさまざまな機密性/セキュリティレベルにセグメント化するので、HSMは独自のサブネットに存在します。 HSMのサブネットの入口/出口ポイントにさらにFWを配置するのが最善でしょうか? IPSが必要ですか。
ネットワーク上にHSMを実装した人からのポインタがあれば幸いです。
乾杯
Steffenが述べたように、HSMは非常に特殊な目的のデバイスです。通常、「ほとんどのシステムでのアクセスの便宜」のために配置されていません。
実際、HSMを初めて展開するときは、通常、HSMにアクセスする必要があるシステムは1つだけです。通常、システムがIDAMの役割を実行します。多くの場合、それは長い間HSMを必要とする唯一のシステムです。
そのため、IDAMサーバー(またはHSMへのアクセスが必要なシステム)が専用ネットワークアダプターを使用してHSMに接続し、専用スイッチを使用してネットワークのプライベートセグメントにすることを常にお勧めします。
--- IDAM-NIC-1-app-access ---- [IDAMサーバー] --- IDAM-NIC-2-private ---- [HSM]
必要に応じて、このスイッチにさらに多くのサーバーを接続できます。
どのアプリケーションがHSMへの「汎用アクセス」を必要とするかはわかりませんが、必要な場合は、ファイアウォール上の個別の保護されたネットワーク/セグメントに接続できます(最近のほとんどのファイアウォールは複数のNIC /セグメント/ゾーン)と適切なセキュリティポリシーを導入します。