Einführung
Verschlüsselung ist einer der Grundbausteine für jede Organisation, die sensible Daten/Informationen verarbeitet. Datenschutzkonforme sensible Daten steigern den Markenwert Ihres Unternehmens, da Ihr Unternehmen weniger anfällig für Datenschutzverletzungen ist. Wie wir alle wissen, hängt die Stärke der Verschlüsselung von zwei entscheidenden Faktoren ab:
- Schlüssellänge
- Sicherheit der Schlüssel
Die Schlüssellänge ist quantifizierbar und kann mithilfe verschiedener Verschlüsselungsalgorithmen wie AES-128 oder AES-256 bestimmt werden. Die Sicherheit des Schlüssels hingegen ist eine subjektive Angelegenheit. Wie wir alle wissen, ist die Verschlüsselungslandschaft umso leistungsfähiger, je sicherer die Schlüssel sind – private Schlüssel bei asymmetrischer und gemeinsame Schlüssel bei symmetrischer Verschlüsselung.
Wenn es um die Sicherheit von Schlüsseln geht, ist die beste Wahl die Verwendung von HSMs (Hardware-Sicherheitsmodule) davon sind NIST konform, dh FIPS-140-2-Level3.
Cloudbasiertes HSM vs. On-Premises-HSM
Im heutigen Artikel vergleichen wir Cloud-basiertes HSM und On-Premise-HSM und versuchen, eine Antwort darauf zu finden, nach welchen Kriterien ein Kunde die geeignete Option für die Kryptosicherheit seines Unternehmens auswählen sollte.
Da Unternehmen ihre Cloud-Reise so schnell wie möglich vorantreiben, um die Vorteile der Cloud wie Skalierbarkeit, Flexibilität und Kosteneffizienz zu nutzen, müssen sie parallel dazu die Datensicherheit in ihrer IT-Landschaft berücksichtigen. Verschlüsselung und damit HSMs sind daher ein unverzichtbarer Bestandteil der Cybersicherheitsstrategie eines Unternehmens. Basierend auf den Anwendungsfällen lassen sich HSMs in zwei Kategorien einteilen: Cloudbasierte HSMs und Vor-Ort-HSMs Bitte beachten Sie hinsichtlich der Klassifizierung von HSMs (On-Premise-HSM vs. Cloud-basiertes HSM), dass die kryptografische Technologie dieselbe ist, aber über unterschiedliche Methoden bereitgestellt wird.
On-Premise-HSMs sind besonders nützlich für die Speicherung von Verschlüsselungsschlüsseln, wenn die Organisation die vollständige Kontrolle über ihre Schlüssel und Richtlinien haben möchte, ohne von der Cloud-Dienstanbieter (CSPs). Dies erfordert jedoch erhebliche Vorabinvestitionen in Form von Hardware, qualifizierten Ressourcen, Verwaltungssoftwarelizenzen für die Verwaltung des HSM-Clusters usw.
On-Premise-HSMs sind auch dann sinnvoll, wenn ein Unternehmen eine sichere Anwendung nutzt, die extrem latenzempfindlich ist. Die sichere Anwendung nutzt ausschließlich ein On-Premise-HSM und vermeidet so Latenz. Ein weiterer wichtiger Anwendungsfall ist der Einsatz einer Anwendung mit intensiven kryptografischen Operationen aufgrund von Sicherheits-Best Practices, technologischen Designs und/oder Leistungsanforderungen.
On-Premise-HSM ist auch für Unternehmen von Vorteil, die in Ländern mit strengen gesetzlichen und Compliance-Anforderungen an die Datenlokalisierung tätig sind und in denen Cloud-Service-Provider (CSP) möglicherweise kein lokales Rechenzentrum an diesem geografischen Standort betreiben. Es kommt auch Unternehmen mit vorhersehbarer Arbeitsbelastung zugute, bei denen es sehr unwahrscheinlich ist, dass die Geschäftsanforderungen und Transaktionsvolumina die Kapazität des HSM in naher Zukunft übersteigen.
Cloudbasierte HSMs hingegen bieten neben den herkömmlichen Funktionen von HSMs auch die Vorteile der Cloud. Um genauer zu sein, können wir Cloud-basierte HSMs in zwei Kategorien unterteilen: HSM-Dienste für die öffentliche Cloud und HSM-Dienste von Drittanbietern.
Einige Public Cloud HSM-Dienste bieten Single-Tenant-/Dedicated- oder Multi-Tenant-Dienste (z. B. AWS, Azure), während andere nur Multi-Tenant-Dienste anbieten (z. B. GCP KMS, Oracle Key Vault). Daher eignen sich diese HSM-Dienste am besten für Organisationen, die von einem einzelnen Cloud Service Provider (CSP) abhängig sind. Bei HSM-Diensten von Drittanbietern können Sie Multi-Cloud-Plattformen nutzen, die über das zentrale Verwaltungsportal (z. B. DPoD) verwaltet werden. HSM-Dienste eignen sich am besten für Organisationen mit Multi-Cloud-Strategien.
Diese HSM-Dienste bieten auch anwendungsfallbasierte modulare Dienste zur Senkung der Datenschutzkosten. Einige Beispiele für diese Dienste sind Key Vault, Oracle TDE (Transparent Data Encryption), Code/Digitale Signatur usw.
Vergleich auf einen Blick
| Cloudbasiertes HSM | Lokales HSM | |
|---|---|---|
| Hardware | Keine Hardware erforderlich | Anzahl der erforderlichen Hardware, einschließlich für Ausfallsicherheit, HA, Verwaltungsplattform usw. |
| Zahlungsmodell | PAYG (Pay-as-you-go) | Kosten im Voraus |
| Einrichtung | Einfach | Complex |
| Software | Im Preis inbegriffen | Für jede Partition und Client-Software sind möglicherweise Lizenzen erforderlich |
| Clientbereitstellung | Einfach mit CSP-Dokumentation | Komplex und abhängig von den Fähigkeiten |
| Compliance | Verantwortung des CSP | Verantwortung der Organisation |
| Betriebsaufwand | Niedrig, da es sich um einen verwalteten Dienst von CSP handelt | Hoch, da es von der Organisation verwaltet wird |
| SLA (Service Level Agreements) | Verantwortung des CSP | Verantwortung der Organisation |
| Operatives technisches Wissen | Mittel mit CSP-Dokumentation und Anbietersupport | Hoch, da es von der Organisation verwaltet wird |
| Total Cost of Ownership | Niedrig | Hoch, insbesondere bei geringer Anzahl von Partitionen |
*CSP: Cloud-Dienstanbieter
Fazit
Der HSM-Dienst ist sicherlich eine kritische Komponente bei der Gestaltung und Entscheidung der Datenschutzmaßnahmen für Ihr Unternehmen. PKI Infrastruktur. Die Entscheidung zwischen Cloud-basiertem HSM oder On-Premises-HSM hängt von den Gesamtbetriebskosten (TCO), der Anzahl und Komplexität der Anwendungsfälle, der Einhaltung von Geschäfts-, Regulierungs- und Rechtsvorschriften, dem vorhersehbaren Wachstum des Volumens sensibler Daten, unterschiedlichen Datenquellen und der Auswahl der Geschäftsanwendungen ab, um nur einige zu nennen.
Obwohl Cloud-basierte HSM-Dienste immer beliebter werden, da immer mehr Unternehmen aufgrund der zahlreichen Vorteile auf die Cloud umsteigen, werden On-Premise-HSMs kritisch, wenn Cloud Service Provider (CSPs) auf Einschränkungen stoßen, auch wenn diese nur sehr selten auftreten.
Abschließend bleibt eines klar: Die Vorteile von Public-Key-Infrastruktur (PKI) kann vollständig kompromittiert werden, wenn private Schlüssel kompromittiert werden. Der Schutz und die Verwaltung dieser Schlüssel sind daher eine entscheidende Voraussetzung für die Datensicherheit im Unternehmen. HSMs, ob vor Ort oder in der Cloud, sind heute die beste Option, um diese Anforderung zu erfüllen.
