Что такое облачный модуль HSM?

Облачные аппаратные модули безопасности (HSM) обеспечивают ту же функциональность, что и локальные модули HSM, и преимущества развертывания облачной службы без необходимости размещения и обслуживания локальных устройств.

Облачные HSM позволяют организациям:

  • Согласование требований криптобезопасности со стратегией организационного облака.
  • Поддержать стремление отделов финансов и закупок перейти от модели капитальных расходов к модели операционных расходов.
  • Упрощение составления бюджета для обеспечения критически важной безопасности.
  • Позволить высококвалифицированному персоналу службы безопасности сосредоточиться на других задачах.
  • Соблюдать требования в отношении высокой надежности систем безопасности и нормативно-правовые предписания в рамках стандартов FIPS 140-2 и «Общие критерии» EAL4+.

Что такое модуль HSM?

Чтобы узнать подробнее, щелкните здесь.

Кто предлагает облачные модули HSM?

Основные общедоступные поставщики облачных услуг (CSP) предлагают облачные HSM в качестве дополнительной услуги в рамках своих решений. Эти решения обеспечивают удобство, устойчивость и гибкость, которых можно ожидать от CSP, но услуги часто привязаны к конкретному поставщику общедоступных услуг и не всегда отличаются портативностью для организаций, использующих несколько облаков.

Как и большинство облачных сервисов, инфраструктура абстрагирована от пользователя, поэтому возможен компромисс между владением и остаточным риском, связанным с криптографическими ключами, и потерей некоторого контроля, который обеспечивают локальные модули HSM.

Поставщики локальных HSM, такие как Entrust, предлагают облачные HSM. Эти организации предлагают преимущества облачного сервиса, согласованно работающего с CSP, но с большим контролем над криптографическими ключами.

Облачный модуль HSM от Entrust — это nShield as a Service. В нем используются выделенные модули nShield HSM, сертифицированные по стандартам FIPS 140-2, уровень 3. Этот сервис предоставляет те же функции и возможности, что и локальные модули nShield HSM, в сочетании с преимуществами развертывания облачного сервиса. Это позволяет клиентам выполнять свои первоочередные задачи в облаке и оставлять обслуживание этих устройств на усмотрение экспертов в Entrust.

Кто управляет облачными модулями nShield HSM?

Решение nShield as a Service доступно в варианте с самоуправлением либо в виде полностью управляемой службы.

Самостоятельно управляемый сервис означает, что организация сохраняет полное управление HSM, хотя и удаленно. Полностью управляемый сервис подходит клиентам, которые хотят использовать криптографические сервисы HSM, но хотят делегировать управление и обслуживание сотруднику службы безопасности, которым является доверенный персонал Entrust. На рисунке 1 ниже представлена модифицированная версия популярной модели разделения ответственности, используемой для иллюстрации системы облачной безопасности, определяющей обязанности поставщика облачных услуг и клиента, чтобы подчеркнуть подотчетность.

Столбец 1 представляет собой локальное развертывание. HSM, уровень управления HSM и ключи выделены значками. В этом сценарии все атрибуты локального развертывания являются ответственностью заказчика.

Столбец 2 в модели представляет развертывание инфраструктуры как услуги (IaaS), где наилучшим образом подходит nShield as a Service, основанная на саморегулируемом развертывании. Модуль HSM в этом сценарии является ответственностью Entrust. Ответственность за управление HSM и ключами несет заказчик.

Столбец 3 представляет развертывание платформы as a Service (PaaS), где система nShield as a Service, основанная на полностью управляемом развертывании, лучше всего подходит для модели. В этом сценарии HSM и управление устройством HSM являются ответственностью Entrust. Ответственность за ключи несет заказчик.

Модифицированная версия модели разделения ответственности в облаке, иллюстрирующая локальное развертывание HSM и развертывание nShield as a Service (самоуправляющееся и полностью управляемое)
Рисунок 1. Модифицированная версия модели разделения ответственности в облаке, иллюстрирующая локальное развертывание HSM и развертывание nShield as a Service (самоуправляющееся и полностью управляемое)

Являются ли облачные HSM такими же безопасными, как и локальные HSM?

Поставщик облачных услуг несет ответственность за облако, а клиент несет ответственность в облаке.

Облако предлагает организациям множество преимуществ с точки зрения гибкости, масштабируемости и удобства. При переносе приложений и рабочих нагрузок в облако изменился пакет безопасности. Поставщики облачных услуг совершенно справедливо утверждают, что безопасность в облаке не обязательно ниже локальной, она просто отличается. По сути, изменилась модель угроз, изменились остаточные риски. При использовании локального решения, возможно, проще идентифицировать риски: это, как правило, центр обработки данных со стойками физических устройств, параметры безопасности по периметру, физические атаки, недовольные сотрудники, кражи, сбои в работе инженерных сетей и т. д., а также множество параметров безопасности сети, брандмауэр, вредоносное ПО, DDOS и т. д.

В случае с привлечением поставщиков облачных услуг они несут ответственность за безопасность своих серверных ферм, сетевой инфраструктуры и др. Тем не менее в настоящее время существуют различные угрозы, и, учитывая, что устройства абстрагированы от клиента, именно средства управления и процедуры, используемые клиентом, отчасти обеспечивают безопасность его рабочей нагрузки в облаке. Реальность такова, что на сегодняшний день большинство успешных атак в общедоступном облаке связаны с неправильной конфигурацией, ошибками и некомпетентным управлением со стороны клиента. Так что винить следует пользователей сервисов, а не поставщиков облачных услуг. Описанную выше модель разделения ответственности в облаке полезно привести в качестве справки, с тем чтобы побудить клиентов, мигрирующих в облако, признать ответственность и обязанности при использовании облачных сервисов.

Что такое мультиоблачная стратегия?

Мультиоблачная стратегия — это стратегия, основанная на решении организации использовать облачные услуги нескольких поставщиков (CSP). Эта стратегия может быть разработана с участием различных CSP, предлагающих различные услуги, но также имеет дополнительную ценность разделения рабочей нагрузки и риска и устойчивости между несколькими организациями.

Поставщики облачных услуг предоставляют инструменты, необходимые для создания криптографических ключей, которые используются с приложением и данными. Однако, как и следовало ожидать, у разных CSP эти инструменты отличаются. Эту проблему можно решить с помощью nShield as a Service. При использовании nShield as a Service для инициализации криптографических ключей нужно быть знакомым только с набором инструментов nShield и применять те же процедуры CSP.

Что такое стратегия гибридного облака?

Гибридная стратегия — это когда организация решает сохранить локальное присутствие и, кроме того, использовать облако для обеспечения дополнительного потенциала, устойчивости и масштабируемости. В некоторых случаях организации могут по собственному решению либо согласно какому-либо предписанию оставить у себя рабочую нагрузку, требующую осторожного обращения и представляющую высокую ценность (так называемая локализация данных), и использовать облако для рабочей нагрузки, не требующей настолько осторожного обращения. nShield as a Service работает беспрепятственно с локальными модулями nShield HSM, поддерживая стратегии гибридного облака.

В чем разница между облачным HSM и BYOK?

Bring Your Own Key (BYOK) (Создание собственных ключей) — это инновационная концепция, которая первоначально была разработана Entrust и Microsoft, чтобы позволить пользователям общедоступного облака сохранять контроль над криптографическими ключами, используемыми в облаке, чтобы обеспечить безопасность своих данных. В связи со стремительным внедрением общедоступных облачных сервисов BYOK теперь поддерживается во всех основных облачных сервисах. BYOK позволяет пользователям общедоступных облаков локально генерировать собственный высококачественный мастер-ключ и безопасно передавать его поставщику облачных услуг (CSP) для защиты своих данных при развертывании нескольких облаков.

Облачный модуль HSM не требует наличия локального HSM. Криптографические услуги предоставляются в облаке, в то время как владелец сохраняет полный контроль над этими услугами. Наличие криптосервисов, введенных в эксплуатацию в облаке, обеспечивает максимальную свободу и гибкость.

Каковы типичные варианты использования HSM?

Модули HSM, включая Entrust nShield as a Service, могут использоваться для предоставления криптографических услуг для широкого спектра приложений, в том числе PKI и управления ключами, управления привилегированным доступом, контейнеризации, шифрования базы данных и подписи кода до имени. Компания Entrust имеет существенную проверенную экосистему, состоящую из более чем 100 поставщиков решений для обеспечения безопасности. См. рисунок ниже.

Партнерская экосистема предлагает перечисленные далее преимущества.

  • Обеспечивает ценность и повышенную безопасность для конечных клиентов за счет повышения надежности партнерских решений с помощью сертифицированной аппаратной криптографии.
  • Зрелые, проверенные процессы, подкрепленные технологическим опытом и глобальным охватом, обеспечивают максимально эффективную поддержку клиентов.
Сеть партнеров Entrust nFinity