web-dev-qa-db-ja.com

VPN経由でHSMをa WAN

私たちのプロジェクトでは、サードパーティのアプリケーション(クラウドにインストールされている)を使用しています。暗号化の目的で、このアプリケーションは、LANにあるHSMにアクセスする必要があります。

だからセキュリティの観点から私は疑問に思っていました:

  1. HSMがVPN経由でインターネット経由でアクセスできる場合(すべてのenc/decがHSMによって行われることを考慮して)、どのようなリスクがありますか?
  2. この構成が機能するかどうか? <Internet><FW><Reverse Proxy><FW><HSM><FW><LAN>

よろしくお願いします

vpnrisk-managementrisk-analysishsm
1
sgres

インターネットを介したVPNは、適切に設定されていれば安全です。さらに、HSMへの接続も暗号化する必要があります。私が抱く大きな懸念は、外部組織をネットワークに参加させているということです。サードパーティは制御不能です。ハッキングされた場合、攻撃者はその接続を介して組織に侵入しようとする可能性があります。このリスクを軽減するには、HSMを別のDMZに配置し、そのVPNからそれらのHSMへのトラフィックのみを許可する必要があります。HSMの侵入テストも作成することをお勧めします。それらが適切に構成されていることを確認してください。情報が漏洩することは望ましくありません。

3
GdD