问题描述
想知道是否有办法在公有云(如Google、Amazon或Azure)中使用完全管理的硬件安全模块(HSMs)。
解决方案
请注意以下操作注意版本差异及修改前做好备份。
方案1
在公有云中,使用完全管理的HSMs可能是不可能的,因为公有云通常涉及将硬件操作的风险“外包”给云服务提供商。然而,有一些云服务提供商提供了一些解决方案,可以在一定程度上实现完全管理的HSMs。
Azure KeyVault
Azure KeyVault是Azure提供的一种完全托管的HSM解决方案。使用KeyVault,您无需自行配置、维护HSMs和密钥管理软件。您可以在几分钟内创建新的保险库和密钥(或从自己的HSMs导入密钥),并集中管理密钥、秘密和策略。
AWS CloudHSM
AWS CloudHSM是一种基于云的硬件安全模块(HSM),可以在AWS云上轻松生成和使用自己的加密密钥。使用CloudHSM,您可以使用经过FIPS 140-2 Level 3验证的HSMs来管理自己的加密密钥。
Google Cloud Key Management
Google Cloud Key Management(Cloud KMS)是一种云托管的密钥管理服务,可以让您以与本地环境相同的方式管理云服务的加密。您可以生成、使用、轮换和销毁AES256加密密钥。Cloud KMS与IAM和Cloud Audit Logging集成,可以管理单个密钥的权限,并监控其使用情况。您可以使用Cloud KMS来保护需要存储在Google Cloud Platform中的秘密和其他敏感数据。
其他解决方案
除了HSMs之外,还有一些基于非HSM的密钥管理解决方案。此外,云市场中还提供了一些安全设备。
请注意,这些解决方案可能会有一些限制和差异,具体取决于云服务提供商和您的具体需求。建议您在选择解决方案之前仔细阅读相关文档和文档。
方案2
如果您希望完全控制HSM,您可以自行托管HSM并通过VPN连接到云。但是,这可能会导致延迟较高,并且您的外部互联网连接可能容易受到DoS攻击。因此,一些解决方案(如Utimaco CryptoServer Cloud)提供了从其数据中心到云的专用连接,这些连接可以具有非常低的延迟。由于HSMs不属于任何云服务提供商,因此您可以更轻松地切换云服务提供商,而无需移动密钥(使用KMS可能非常困难或不可能)。此外,还可以实现多云场景。但是,您需要承担所有的管理任务,如备份或固件升级。此外,为了实现高可用性,您需要租用至少两个HSMs,并且扩展粒度是整个HSM。但这是为了通过完全控制HSM来实现更高的安全性所付出的代价。
请注意,选择适合您需求的解决方案时,需要权衡安全性、可用性、管理复杂性和成本等因素。
方案3
还有一些其他解决方案可供选择,如Interxion的Key Guardian。Key Guardian是一种HSM即服务(HSM aaS)解决方案,可以在Interxion(欧洲的托管提供商)进行试点。
请注意,这些解决方案可能会有一些限制和差异,具体取决于供应商和您的具体需求。建议您在选择解决方案之前仔细阅读相关文档和文档。
总结
在公有云中运行非托管的硬件安全模块(HSMs)是一个复杂的问题。虽然公有云和HSMs的概念在某种程度上是相互矛盾的,但云服务提供商提供了一些解决方案,可以在一定程度上实现完全管理的HSMs。这些解决方案包括Azure KeyVault、AWS CloudHSM和Google Cloud Key Management等。此外,还有一些其他解决方案可供选择,如Utimaco CryptoServer Cloud和Interxion的Key Guardian。选择适合您需求的解决方案时,需要权衡安全性、可用性、管理复杂性和成本等因素。
请注意,这些解决方案可能会有一些限制和差异,具体取决于供应商和您的具体需求。建议您在选择解决方案之前仔细阅读相关文档和文档。