Zum Inhalt

Webinar: Melden Sie sich jetzt für unser kommendes Webinar an!

Jetzt registrieren

  1. Blogs
    2. Cloud-Schlüsselverwaltung

Google Cloud Platform (GCP) – Einführung in Google Cloud HSM

Geschrieben vonManimit Haldar 5 Minuten
Google Cloud HSM ist ein Cluster von FIPS 140-2 Level 3-zertifizierten Hardware-Sicherheitsmodulen, die es Kunden ermöglichen, Verschlüsselungsschlüssel zu hosten und kryptografische Operationen darauf durchzuführen. Obwohl Cloud HSM den meisten Netzwerk-HSMs sehr ähnlich ist, erforderte Googles Implementierung zur Integration von HSM in die Cloud einige Änderungen.
Inhaltsverzeichnis

Einführung

Der Cloud HSM-Dienst von Google bietet hardwaregestützte Schlüssel für die Cloud KMS (Key Management Service). Dies gibt Kunden die Möglichkeit, ihre kryptografische Schlüssel während sie durch vollständig verwaltete Hardware-Sicherheitsmodule (HSM)Der Cloud HSM-Dienst ist hochverfügbar und skaliert automatisch horizontal. Erstellte Schlüssel werden regional an die KMS-Region gebunden, in der der Schlüsselbund definiert ist. Mit Cloud HSM können die von Benutzern erstellten und verwendeten Schlüssel nicht außerhalb des HSM-Clusters materialisiert werden, der zu der zum Zeitpunkt der Schlüsselerstellung angegebenen Region gehört.

Mit Cloud HSM können Benutzer nachweislich bestätigen, dass ihre kryptografischen Schlüssel ausschließlich auf einem Hardwaregerät erstellt und verwendet werden. Für bestehende Cloud KMS-Kunden sind keine Anwendungsänderungen erforderlich, um Cloud HSM zu nutzen. Der Zugriff auf den Cloud HSM-Dienst erfolgt über dieselbe API und Clientbibliotheken als Cloud KMS-Software-Backend.

Der Cloud HSM-Dienst verwendet HSMs, die FIPS 140-2 Level 3-validiert und laufen immer im FIPS-Modus. Der FIPS-Standard spezifiziert die von den HSMs verwendeten kryptografischen Algorithmen und die Zufallszahlengenerierung.

Bereitstellung und Handhabung von HSMs

Die Bereitstellung von HSMs erfolgt in einem Labor, das mit zahlreichen physischen und logischen Sicherheitsvorkehrungen ausgestattet ist, darunter Autorisierungskontrollen für mehrere Parteien, um die Kompromittierung durch einzelne Akteure zu verhindern.
Im Folgenden sind Invarianten auf Cloud HSM-Systemebene aufgeführt:

  1. Kundenschlüssel können nicht extrahiert werden, da Klartext.
  2. Kundenschlüssel können nicht außerhalb der Ursprungsregion verschoben werden.
  3. Alle Konfigurationsänderungen an bereitgestellten HSMs werden durch mehrere Sicherheitsvorkehrungen geschützt.
  4. Administrative Vorgänge werden protokolliert, wobei die Aufgabentrennung zwischen Cloud-HSM-Administratoren und Protokollierungsadministratoren eingehalten wird.
  5. HSMs sind so konzipiert, dass sie während des gesamten Betriebslebenszyklus vor Manipulationen geschützt sind, beispielsweise durch das Einfügen böswilliger Hardware- oder Softwareänderungen oder die unbefugte Extraktion von Geheimnissen.

Maßgeschneiderte Cloud-Schlüsselverwaltungsdienste

Erhalten Sie flexible und anpassbare Beratungsdienste, die auf Ihre Cloud-Anforderungen abgestimmt sind.

Mehr erfahren

Vom Anbieter kontrollierte Firmware auf Cloud HSM

Die HSM-Firmware ist vom HSM-Anbieter digital signiert. Google kann die HSM-Firmware weder erstellen noch aktualisieren. Die gesamte Firmware des Anbieters ist signiert, einschließlich der Entwicklungs-Firmware, die zu Testzwecken verwendet wird.

Google Cloud HSM-Schlüsselhierarchie

Cloud HSM umschließt Kundenschlüssel und Cloud KMS-Schlüssel umschließen HSM-Schlüssel, die dann in den Datenspeichern von Google gespeichert werden.

Cloud-HSM-Hierarchie


Cloud HSM verfügt über einen Schlüssel, der die Migration der Materialien innerhalb der Verwaltungsdomäne von Cloud HSM steuert.

Der Stammschlüssel von Cloud HSM weist zwei Hauptmerkmale auf:
Der Root-Schlüssel wird auf dem HSM generiert und verlässt während seiner gesamten Lebensdauer nie die klar definierten Grenzen des HSM. Klonen ist jedoch möglich, und Backups von HSMs sind zulässig.

Der Stammschlüssel kann als Verschlüsselungsschlüssel zum Verpacken von Kundenschlüsseln verwendet werden, die von HSMs verwendet werden. Verpackte Kundenschlüssel können auf dem HSM verwendet werden, das HSM gibt jedoch niemals einen unverpackten Kundenschlüssel zurück. HSMs können Kundenschlüssel nur für betriebliche Zwecke verwenden.

Schlüsselaufbewahrung

HSMs werden nicht als permanente Datenspeicherlösung für Schlüssel verwendet. HSMs speichern Schlüssel nur während ihrer Verwendung. Da der HSM-Speicher begrenzt ist, werden HSM-Schlüssel verschlüsselt und anschließend im Cloud KMS-Schlüsseldatenspeicher gespeichert.
Der Cloud KMS-Datenspeicher ist hochverfügbar, langlebig und umfassend geschützt. Einige seiner Funktionen sind:

  1. Verfügbarkeit: Cloud KMS verwendet den internen Datenspeicher von Google, der hochverfügbar ist, und unterstützt auch eine Reihe kritischer Systeme von Google.
  2. Langlebigkeit: Cloud KMS verwendet authentifizierte Verschlüsselung, um Kundenschlüsselmaterial im Datenspeicher zu speichern. Zusätzlich werden alle Metadaten mithilfe eines Hash-basierten Nachrichtenauthentifizierungscodes (HMAC) authentifiziert, um sicherzustellen, dass sie im Ruhezustand nicht verändert oder beschädigt wurden. Stündlich scannt ein Batch-Job sämtliches Schlüsselmaterial und Metadaten und überprüft, ob die HMACs gültig sind und das Schlüsselmaterial erfolgreich entschlüsselt werden kann.

    Cloud KMS verwendet mehrere Arten von Backups für den Datenspeicher:

    • Standardmäßig speichert der Datenspeicher den Änderungsverlauf jeder Zeile mehrere Stunden lang. Im Notfall kann diese Lebensdauer verlängert werden, um mehr Zeit für die Behebung von Problemen zu haben.
    • Der Datenspeicher zeichnet stündlich einen Snapshot auf. Dieser Snapshot kann validiert und bei Bedarf zur Wiederherstellung verwendet werden. Diese Snapshots werden vier Tage lang aufbewahrt.
    • Jeden Tag wird eine vollständige Sicherung auf Festplatte und Band kopiert.
  3. Residenz: Cloud KMS-Datenspeichersicherungen befinden sich in der zugehörigen Google Cloud-Region. Diese Sicherungen sind im Ruhezustand alle verschlüsselt.
  4. Schutz: Auf der Anwendungsebene von Cloud KMS wird das Kundenschlüsselmaterial vor der Speicherung verschlüsselt. Datastore-Ingenieure haben keinen Zugriff auf das Kundenschlüsselmaterial im Klartext. Darüber hinaus verschlüsselt der Datastore alle von ihm verwalteten Daten, bevor sie in den permanenten Speicher geschrieben werden. Dies bedeutet, dass der Zugriff auf darunterliegende Speicherebenen, einschließlich Festplatten oder Bändern, ohne Zugriff auf die Datastore-Verschlüsselungsschlüssel selbst auf die verschlüsselten Cloud KMS-Daten keinen Zugriff ermöglichen würde. Diese Datastore-Verschlüsselungsschlüssel werden im internen KMS von Google gespeichert.

Fazit

Google Cloud HSM ist ein Cluster von FIPS 140-2 Level 3-zertifizierten Hardware-Sicherheitsmodulen, die es Kunden ermöglichen, Verschlüsselungsschlüssel zu hosten und kryptografische Operationen darauf durchzuführen. Obwohl Cloud HSM den meisten Netzwerk-HSMs sehr ähnlich ist, erforderte Googles Implementierung zur Integration von HSM in die Cloud einige Änderungen. Dennoch ist Cloud HSM eine der besten Optionen der Google Cloud Platform, um Daten sicher und privat zu halten und gleichzeitig einen manipulationssicheren Schutz zu gewährleisten. HSM.

Entdecken Sie unsere

Verwandte Blogs

Microsoft Azure ist einer der drei größten Cloud-Service-Anbieter, die heute von Unternehmen genutzt werden. Die beiden anderen, die hauptsächlich von Unternehmen genutzt werden, sind Amazon Web Services (AWS) und Google Cloud Platform (GCP). Angesichts der aktuellen Lage verlagern viele Unternehmen ihre Dienste auf eine teilweise oder vollständig Cloud-basierte Plattform wie Azure oder AWS.

Wie können Sie mit Microsoft Azure die Produktivität Ihrer Organisationen steigern?

2. Februar 2022
Einführung in das Krypto-Shreddern

Machen Sie sich mit dem neuen Konzept des Crypto-Shredding vertraut

August 20, 2021
Unterschiede zwischen AWS KMS Azure Key Vault und GCP KMS

AWS KMS vs. Azure Key Vault vs. GCP KMS

Juli 23, 2021

Entdecken

Weitere Themen