¿Qué es un HSM en la nube?

Los módulos de seguridad hardware (HSM) en la nube ofrecen la misma funcionalidad que los HSM locales y añaden las ventajas de un despliegue de servicios en la nube. No necesita alojar ni mantener aparatos en sus instalaciones.

Los HSM en la nube permiten a las organizaciones lo siguiente:

  • Alinear los requisitos de seguridad criptográfica con la estrategia organizacional en la nube
  • Apoyar la preferencia de finanzas y adquisiciones para cambiar de un modelo de inversión de capital a un modelo de operación
  • Simplificar el presupuesto para la seguridad crítica del negocio
  • Permita que el personal de seguridad altamente calificado se concentre en otras tareas
  • Cumpla con los mandatos de cumplimiento y seguridad de alta garantía para FIPS 140-2 y Criterios comunes EAL4 +

¿Qué es un HSM?

Haga clic aquí para conocer más.

¿Quién ofrece los HSM en la nube?

Los principales proveedores públicos de servicios en la nube (CSP) ofrecen HSM en la nube como una opción en su oferta de servicios. Estas soluciones brindan la conveniencia, la resistencia y la flexibilidad que se espera de un CSP, pero los servicios a menudo están vinculados al proveedor de servicios públicos específico y no siempre son portátiles para las organizaciones que adoptan estrategias multinube.

Como la mayoría de los servicios en la nube, la infraestructura se extrae del usuario, por lo que puede tener una compensación con respecto a la propiedad/riesgo residual con respecto a las claves criptográficas y perder parte del control que tendría con un HSM local.

Los proveedores de HSM locales, como Entrust, ofrecen HSM en la nube. Estos ofrecen a las organizaciones los beneficios de un servicio en la nube que trabaja al unísono con el CSP, pero con un mayor control de sus claves criptográficas.

El producto HSM en la nube de Entrust es nShield como servicio. Utiliza HSM nShield dedicado con certificación FIPS 140-2 de nivel 3. El servicio ofrece las mismas características y funcionalidades que los HSM en las instalaciones, combinados con los beneficios de una implementación de servicios en la nube. Esto les permite a los clientes cumplir con sus primeros objetivos en la nube y dejarles el mantenimiento de estos dispositivos a los expertos de Entrust.

¿Quién administra un HSM en la nube nShield?

nShield como servicio está disponible como servicio autoadministrado o totalmente administrado.

El servicio autoadministrado significa que la organización retiene la administración completa del HSM, aunque sea de forma remota. El servicio totalmente administrado se adapta a los clientes que desean utilizar los servicios criptográficos de un HSM, pero desean delegar la administración y el mantenimiento a un rol de Oficial de seguridad desempeñado por personal confiable de Entrust. La Figura 1 a continuación es una versión modificada del popular modelo de responsabilidad compartida, el cual se utiliza para ilustrar el marco de seguridad en la nube que identifica las responsabilidades del proveedor de servicios en la nube y del cliente para resaltar la responsabilidad.

La columna 1 representa una implementación en las instalaciones. El HSM, la capa de administración de HSM y las claves se resaltan como iconos. En este escenario, todos los atributos de una implementación en las instalaciones son responsabilidad del cliente.

La columna 2 del modelo representa una implementación de infraestructura como servicio (IaaS) donde nShield como servicio basado en una implementación autoadministrada es la mejor opción. El HSM en este escenario es responsabilidad de Entrust. La gestión del HSM y las claves son responsabilidad del cliente.

La columna 3 representa una implementación de plataforma como servicio (PaaS) donde nShield como servicio basado en una implementación totalmente administrada es la mejor opción. En este escenario, HSM y la gestión del dispositivo HSM son responsabilidad de Entrust. Las claves son responsabilidad del cliente.

Versión modificada del modelo de responsabilidad compartida en la nube que ilustra una implementación de HSM en las instalaciones frente a implementaciones de nShield como servicio (autoadministradas y totalmente administradas)
Figura 1: Versión modificada del modelo de responsabilidad compartida en la nube que ilustra una implementación de HSM en las instalaciones frente a implementaciones de nShield como servicio (autoadministradas y totalmente ad)

¿Son los HSM en la nube tan seguros como los HSM en las instalaciones?

El proveedor de servicios en la nube es responsable de la nube, el cliente tiene responsabilidad en la nube.

La nube les ofrece a las organizaciones muchos beneficios en términos de flexibilidad, escalabilidad y conveniencia. Al migrar aplicaciones y cargas de trabajo a la nube, cambian las normas generales de seguridad. Los CSP afirman, con razón, que la seguridad en la nube no es necesariamente más débil que en las instalaciones, simplemente es diferente. En esencia, el modelo de amenaza ha cambiado y los riesgos residuales han cambiado. Con las instalaciones locales, los riesgos son quizás más fáciles de identificar: puede ser, generalmente, un centro de datos con racks de dispositivos físicos, consideraciones de seguridad perimetral, ataques físicos, empleados descontentos, robo, interrupción de servicios públicos, etc., así como una serie de consideraciones de seguridad de red, firewall, malware, DDOS, etc.

Con los proveedores de servicios en la nube, tienen la responsabilidad de la seguridad de sus agrupaciones de servidores, la infraestructura de red, etc. Sin embargo, ahora hay diferentes amenazas acechando y, dado que los dispositivos se le quitan al cliente, son los controles y procedimientos adoptados por el cliente los que informan en parte la seguridad de las cargas de trabajo de un cliente en la nube. De hecho, hasta la fecha, la mayoría de los ataques exitosos en la nube pública se deben a una mala configuración, errores y mala gestión del cliente. Así que los culpables son los usuarios de los servicios, no los proveedores de servicios en la nube. El modelo de responsabilidad compartida en la nube analizado anteriormente es una referencia útil para alentar a los clientes que migran a la nube a que reconozcan las responsabilidades y deberes al utilizar el servicio basado en la nube.

¿Qué es una estrategia multinube?

Al utilizar una estrategia multinube, las organizaciones eligen utilizar los servicios de múltiples CSP. Pueden informar sobre esta estrategia diferentes CSP que ofrecen diferentes servicios, pero también tiene el valor agregado de compartir la carga de trabajo y el riesgo o resiliencia entre múltiples organizaciones.

Los CSP proporcionan las herramientas necesarias para crear claves criptográficas que utiliza con su aplicación y sus datos. Sin embargo, como era de esperar, estas herramientas no son las mismas para diferentes CSP. nShield como servicio puede ayudar a resolver ese problema. Al usar nShield como servicio para aprovisionar sus claves criptográficas, solo necesita familiarizarse con el conjunto de herramientas nShield aplicando los mismos procedimientos por cada CSP.

¿Qué es una estrategia de nube híbrida?

Una estrategia híbrida es cuando una organización elige mantener una presencia en las instalaciones y, además, utilizar la nube para proporcionar capacidad, resistencia y escalabilidad adicionales. En algunos casos, las organizaciones pueden elegir o tener la obligación de retener cargas de trabajo confidenciales de alto valor en las instalaciones (lo que se denomina localización de datos) y utilizar la nube para cargas de trabajo menos confidenciales. nShield como servicio funciona a la perfección con los HSM nShield en las instalaciones que admiten estrategias de nube híbrida.

¿Cuál es la diferencia entre Cloud HSM y BYOK?

Traer su propia clave (BYOK) es un concepto innovador que inicialmente fue promovido por Entrust y Microsoft para permitirles a los usuarios de la nube pública mantener el control de las claves criptográficas utilizadas en la nube para mantener sus datos seguros. A medida que la adopción de servicios de nube pública se disparó, BYOK ahora es compatible con todos los principales servicios de nube. BYOK permite a los usuarios de la nube pública generar su propia clave maestra de alta calidad de manera local en las instalaciones y transferir de forma segura la clave a su proveedor de servicios en la nube (CSP) para proteger sus datos en implementaciones multinube.

Cloud HSM no requiere una huella de HSM local. Los servicios criptográficos se proporcionan en la nube, mientras que el propietario conserva el control total de esos servicios. Tener sus servicios criptográficos comisionados en la nube le brinda la máxima libertad y flexibilidad.

¿Cuáles son los casos de uso típicos de un HSM?

Los HSM que incluyen Entrust nShield como servicio se pueden utilizar para proporcionar servicios criptográficos para una amplia variedad de aplicaciones, desde PKI y administración de claves, administración de acceso privilegiado, contenedorización, cifrado de bases de datos y firma de código, entre otras. Entrust tiene un ecosistema sustancialmente comprobado de más de 100 proveedores de soluciones de seguridad. Consulte el siguiente diagrama.

El ecosistema asociado ofrece los siguientes beneficios:

  • Les brinda valor y seguridad reforzada a los clientes finales al proporcionar una raíz de confianza construida sobre criptografía certificada basada en hardware.
  • Les ofrece valor y mayor seguridad a los clientes finales al reforzar las soluciones de los socios con criptografía certificada basada en hardware.
Red de socios nFinity de Entrust