Saltar al contenido principal

¿Qué es un módulo de seguridad hardware (HSM)?

Los módulos de seguridad de Hardware (HSM) son dispositivos de hardware sólidos y resistentes a manipulaciones que aseguran los procesos criptográficos generando, protegiendo y administrando claves utilizadas para cifrar y descifrar datos, y crear firmas y certificados digitales. Los HSM se prueban, validan y certifican con los estándares de seguridad más elevados, incluidos FIPS 140-2 y Criterios comunes. Entrust es el proveedor global líder de HSM con la familia de productos HSM nShield de uso general.

Con los HSM Entrust nShield, las organizaciones:

  • Cumplir y superar estándares de ciberseguridad como GDPR, eIDAS, PCI DSS y HIPAA.
  • Lograr altos niveles de seguridad y confianza
  • Mantener altos niveles de servicio y agilidad empresarial
Ver video: ¿Qué son los módulos de seguridad hardware? (3:18)

¿Qué son los HSM como servicio o Cloud HSM?

HSM como servicio es una oferta basada en suscripción para que los clientes generen, utilicen y protejan sus claves con un HSM en la nube. Todo ello al margen de los datos confidenciales. Esta oferta de servicios proporciona la misma protección que un despliegue in situ y garantiza mayor flexibilidad.Los clientes pueden transferir CapEx a OpEx para pagar solo los servicios que necesitan, cuando los necesitan.

nShield como servicio utiliza HSM nShield con certificación FIPS 140-2 nivel 3. La solución ofrece las mismas características y funcionalidades que los HSM nShield in situ y añade las ventajas de un despliegue en la nube. De este modo, los clientes cumplen sus primeros objetivos en la nube o combinan HSM in situ y en la nube. Los expertos de Entrust se encargan de gestionar los dispositivos en la nube.

Ver video: ¿Qué es nShield como servicio? (3:06)

¿Por qué debería utilizar un HSM?

Operaciones criptográficas como el cifrado y la firma no tienen valor cuando las claves utilizadas no están bien protegidas. Los atacantes son cada vez más capaces de localizar claves privadas almacenadas o en uso. Los HSM son la regla de oro para proteger claves privadas y operaciones criptográficas, Con los HSM, usuarios y aplicaciones de su organización cumplen políticas de acceso a claves. Los HSM se pueden utilizar con diferentes aplicaciones de cifrado o firma digital. El Estudio global 2021 sobre tendencias de cifrado del Ponemon Institute destaca 10 casos de uso de HSM.

infografía de los 10 casos de uso principales de HSM para 2021

¿Qué valor aporta un HSM?

Los HSM mejoran y amplían la seguridad de una amplia gama de aplicaciones de cifrado y firma digital. La siguiente tabla describe el valor agregado de los HSM en los casos de uso más comunes.

Caso de uso

Nube y contenedores/Kubernetes
Infraestructura de clave pública (PKI)
Acceso privilegiado y Gestión de secretos
Cifrado y tokenización
Administración de claves
Firmas digitales y Firma de código
Aplicaciones TLS/SSL (ADC, firewalls, etc.)
Identidad y autenticación
Pagos

Beneficios del HSM

Controlar claves y datos en la nube; proteger aplicaciones en contenedor
Proteger claves raíz y subordinadas
Afrontar amenazas internas y facilitar el acceso de los DevOps a los secretos
Mejorar la protección de la clave de cifrado para datos en tránsito y almacenados
Cumplir la política de administración de claves en múltiples nubes y aplicaciones
Proteger las claves que garantizan la integridad del software y permiten transacciones legalmente vinculantes
Proteger claves de cifrado TLS/SSL
Crear credenciales de identidad fiables
Proteger las claves que crean y firman credenciales de pago

¿Qué es una raíz de la confianza?

En un sistema criptográfico, una raíz de confianza (Root of Trust, RoT) es una fuente en la que siempre se puede confiar. La seguridad criptográfica depende de claves tanto para cifrar y descifrar datos como para generar y verificar firmas. Por ello, los esquemas RoT suelen incluir un módulo hardware reforzado. Un ejemplo principal es el módulo de seguridad hardware (HSM) que genera y protege claves para ejecutar operaciones criptográficas en un entorno seguro.

Este módulo de confianza es inaccesible fuera del ecosistema informático. Por tanto, dicho ecosistema puede confiar en las claves y otra información criptográfica proporcionada por el módulo. Eso es especialmente importante a medida que prolifera el internet de las cosas (IoT). Para no ser pirateados, los componentes de los ecosistemas informáticos necesitan determinar la autenticidad de la información que reciben. El RoT protege la seguridad de datos y aplicaciones para generar confianza en todo el ecosistema.

RoT es un componente crítico de PKI para generar y proteger claves raíz y subordinadas, firmar código y emitir los certificados digitales que autentican dispositivos de IoT y otros despliegues en red.

¿Qué es la generación de números aleatorios?

Por generación de números aleatorios (Random Number Generation, RNG) entendemos la creación de números aleatorios mediante un algoritmo o dispositivo. Para los sistemas basados en software, es un problema generar claves mediante una fuente certificada de números aleatorios.

Cuando deriva de mediciones basadas en software, no se puede garantizar que la fuente de entropía del generador de números aleatorios sea impredecible o inalterable. Los HSM utilizan una fuente basada en hardware para proporcionar una buena entropía en todas las condiciones de funcionamiento normales. En casos como BYOK (Bring Your Own Key) esta implementación permite que los usuarios generen y administren las claves utilizadas en la nube.