在企業(yè)中使用基于云的HSM是安全好處與風險并存的。專家Dave Shackelford在這里介紹了支持和反對使用云HSM的兩種聲音。

SoftLayer于近期發(fā)布了一款名為Cloud HSM的產(chǎn)品，這是一個用于在云中確保密鑰安全管理的工具。AWS也有類似的產(chǎn)品，也就是CloudHSM，而微軟Azure用戶可以使用Azure Key Vault。密鑰管理是安全的一個重要組成部分，但是云存儲會帶來新的安全問題，例如訪問硬件安全模塊平臺，開發(fā)或暴露的接口和API，等等。在使用基于云的HSM之前，云服務(wù)供應(yīng)商的客戶們應(yīng)當理解在云保存密鑰的好處和風險。此外，并不是所有的HSM產(chǎn)品都具有相同的安全性。

基于云HSM的好處

使用HSM的好處多多，這與是否基于云并沒有多大關(guān)系。這些系統(tǒng)通常都是專為滿足要求嚴格的政府和法規(guī)標準(如FIPS 140-2)而設(shè)計的，它們往往有強大的訪問控制和基于角色的權(quán)限模式、支持快速加密運算和物理防篡改的專用硬件以及用于訪問的靈活A(yù)PI選項。

如果這聽上去很美以至于難以相信其真實性，那么它只是可能而已;HSM平臺的安裝和配置是非常困難的，它要求較多的管理和運行開銷，同時它也是異常昂貴的。云中的HSM也通常是非常昂貴的，但所需的配置和開銷較少，這是因為云計算供應(yīng)商是在他們的數(shù)據(jù)中心內(nèi)維護物理設(shè)備的。

從積極方面來看，使用HSM是保存加密密鑰和管理密鑰生命周期最使用的安全措施，這一點也同樣適用于云。目前，使用云HSM是任何具有較高合規(guī)性要求的組織使用云服務(wù)的標準做法。如果云供應(yīng)商沒有提供這些工具和功能，那么他們會失去來自于政府、財務(wù)和醫(yī)療保健客戶的合同，因為這些客戶都對所有密鑰材料有較高的保護性措施要求。

使用基于云HSM的唯一真正選擇就是對云中的應(yīng)用程序和基礎(chǔ)設(shè)施進行架構(gòu)設(shè)計以便于使用內(nèi)部托管的加密密鑰，當然理想情況是在HSM平臺中。對于重點關(guān)注性能和可擴展性的企業(yè)用戶來說，這簡直是非常難使用和不切實際的。

基于云HSM的缺點

基于云HSM的主要缺點有三。首先，它為云部署帶來了較多的成本支出，對于那些希望通過使用云來達到成本節(jié)省的企業(yè)來說，這就意味著難以接受。其次，管理HSM運行和生命周期要求使用專用資源和進行整合，所以運行能力也被證明是一個問題。最后，同時從安全性角度來說，可能也是最重要的是安全團隊將需要評估如何在HSM中生成和存儲密鑰。此外，一些HSM平臺和服務(wù)供應(yīng)商可為租戶提供在場外生成他們自己密鑰以及之后將生成密鑰倒入云HSM的能力。這通常就是所謂的BYOK加密服務(wù)。

理想情況下，任何基于云的HSM都允許租戶通過內(nèi)部HSM或其他工具集上傳和同步密鑰，它們也提供了豐富的API集和調(diào)試工具以實現(xiàn)快速收擴和部署工作流程自動化。此外，從安全性角度來看，內(nèi)部HSM和基于云HSM的直接連接可能是非常理想的，這是因為這種方式從根本上杜絕了云供應(yīng)商工作人員看到密鑰數(shù)據(jù)的可能性。但是，這也意味著云供應(yīng)商在發(fā)生主密鑰丟失或損壞情況下也無法提供恢復功能;任何考慮使用BYOK選項的企業(yè)用戶都應(yīng)當記住，所有的密鑰生成和生命周期管理的重擔現(xiàn)在也都落到了他們的肩上。

由于大多數(shù)主要的云供應(yīng)商都在他們的基礎(chǔ)設(shè)施即服務(wù)和平臺即服務(wù)云環(huán)境中提供了HSM工具和服務(wù)，那么這些系統(tǒng)的應(yīng)用在不久的將來也會有所發(fā)展。但是，與大多數(shù)安全措施一樣，云HSM也不是包治百病的靈丹妙藥，它需要認真規(guī)劃、實施和執(zhí)行以便于真正達成安全好處。

文章編輯：CobiNet(寧波)  
本公司專注于電訊配件,銅纜綜合布線系列領(lǐng)域產(chǎn)品研發(fā)生產(chǎn)超五類，六類,七類屏蔽網(wǎng)線/屏蔽模塊及相關(guān)模塊配件, 我們是萬兆屏蔽模塊，10G屏蔽模塊，屏蔽線生產(chǎn)廠家。

歡迎來電咨詢0574 88168918,郵箱sales@cobinet.cn，網(wǎng)址78867.cn