Cloudgebaseerde versus on-premises HSM's

Introductie

De goedkeuring van Publieke Sleutel Infrastructuur (PKI) is gestaag in opkomst in bedrijven in alle sectoren en is beschreven in eerdere artikelen. PKI-mechanismen zoals certificaatgebaseerde authenticatie, versleutelde communicatie, certificaatbeheer, code ondertekening, en andere zorgen er allemaal voor dat een veilige onderneming ontstaat. Alle beveiligingsvoordelen van PKI kunnen echter teniet worden gedaan als de privésleutels die voor verschillende doeleinden worden gebruikt, worden gecompromitteerd. Daarom is de kritische succesfactor (en grootste kwetsbaarheid) van PKI en alle andere geheimschrift systeem is de veilige opslag en het beheer van privésleutels. Dit is waar een Hardwarebeveiligingsmodule (HSM) van pas komt.

HSM-overzicht

Een HSM is een gespecialiseerd, specifiek, fysiek cryptografisch apparaat of 'appliance', ontworpen en gebouwd voor het beheer van de levenscyclus van sleutels – het genereren, opslaan, beheren en uitwisselen van cryptografische sleutels. HSM's worden ook gebruikt voor het offloaden van cryptografische functionaliteit van applicatieservers – voorbeelden hiervan zijn authenticatie, encryptie, decryptieen digitale ondertekening.

HSM's bieden gecertificeerde mechanismen voor fysieke en logische beveiliging, manipulatiebestendigheid, inbraakpreventie en -detectie, gebeurtenisregistratie en beveiligde API's voor toegang tot de HSM. HSM's maken scheiding van cryptografische taken en applicatielogica mogelijk, met ongeëvenaarde prestaties voor elke cryptografische functie. Zo kan software die op de beste hardware draait een paar duizend digitale handtekeningen per seconde halen, terwijl een HSM er miljoenen kan halen.

Traditioneel werden HSM's "on-premise" of in het datacenter van de onderneming geïnstalleerd. De populariteit van cloud computing, vooral de afgelopen jaren, heeft geleid tot de opkomst van "cloudgebaseerde HSM's" of "HSM as a Service". Ongeacht het type, on-premise of cloudgebaseerd, moeten bedrijven rekening houden met een aantal van de volgende kenmerken bij het selecteren van een HSM.

Beveiliging:

Elke HSM moet gecertificeerd zijn volgens internationale veiligheidsnormen zoals Common Criteria en FIPS (Federale Informatieverwerkingsnormen)Certificering biedt de zekerheid dat het ontwerp en de bouw van het apparaat aan bepaalde basiscriteria voldoen. Hoewel certificering noodzakelijk is, is het niet voldoende; er moeten ook andere criteria in overweging worden genomen bij de selectie van een HSM.

Gebruikersinterface (UI):

De gebruikersinterface voor HSM-beheer is vaak gebaseerd op de opdrachtregel. Sommige providers bieden mogelijk een gecentraliseerde beheerportal met een grafische gebruikersinterface (GUI) en dashboard, wat een deel van de beheertaken kan vereenvoudigen.

algoritmen:

Elke HSM zou een aantal cryptografische algoritmen moeten bieden (zowel symmetrisch als asymmetrisch) die gebruikt kunnen worden voor meerdere functies, zoals authenticatie, encryptie, decryptie, ondertekening, tijdstempeling en meer. Een gerelateerde factor kan de toekomstige gereedheid zijn, zoals ondersteuning voor nieuwe technologieën zoals kwantumcryptografie.

Automatisering:

Zodra de HSM is geïmplementeerd, nemen doorlopende onderhouds- en beheertaken het grootste deel van de beheerwerkzaamheden voor hun rekening. Alle automatiseringsfuncties die de HSM-leverancier biedt, kunnen een voordeel zijn om de doorlopende beheerwerkzaamheden en -kosten te verlagen.

Eerdere artikelen over PKI zijn beschikbaar in de PKI-blog.

Sleutelback-up:

Back-ups van sleutels moeten worden gemaakt in een omgeving met vergelijkbare beveiligingsniveaus als die van de HSM. Ook extern back-upbeheer en sleutelreplicatie zijn factoren waarmee rekening moet worden gehouden.

integratie:

De HSM is geen stand-alone entiteit en moet samenwerken met andere applicaties. Een belangrijke factor om te evalueren zijn daarom de integratiemogelijkheden. Omdat de HSM op termijn meerdere applicaties moet ondersteunen, kunnen kant-en-klare en bewezen integratie-interfaces met meerdere applicaties een aanzienlijk voordeel zijn.

Totale eigendomskosten (TCO):

On-premise HSM's hebben een hogere initiële investering of kapitaaluitgaven (Capex) en mogelijk lagere jaarlijkse kosten. Cloud HSM's hebben een veel lagere of geen Capex, maar kunnen hogere jaarlijkse kosten of operationele uitgaven (Opex) hebben. De beslissende factor is daarom meestal de TCO over een bepaalde periode, bijvoorbeeld vijf jaar. De kostenfactoren voor het berekenen van de TCO zijn onder andere hardware, benodigde tools, netwerk- en beveiligingsinfrastructuur, datacenter, operationeel model, betalingsmodel, softwarelicenties, ondersteuning, serviceniveaus, training, compliance en personeelskosten.

Willekeurige getalgeneratie:

Het is belangrijk dat de HSM-leverancier een goedgekeurd of gecertificeerd proces voor het genereren van willekeurige getallen gebruikt, omdat dit vanuit een regelgevend en nalevingsperspectief een kritische factor kan zijn.

Nadat de basisfuncties zijn geëvalueerd, is de volgende stap om te beslissen of u wilt investeren in een on-premise of cloudgebaseerde HSM. Hieronder vindt u enkele scenario's die bedrijven kunnen helpen bij het nemen van deze beslissing.

HSM op locatie

HSM's zijn tientallen jaren geleden ontstaan ​​als fysieke apparaten die vanaf de grond af aan zijn ontwikkeld, met name voor cryptografische bewerkingen en die on-premise worden geïmplementeerd. De hardware, firmware, het besturingssysteem, de netwerktoegang en de algehele functionaliteit van een HSM zijn allemaal ontworpen om ervoor te zorgen dat de apparaten fraudebestendig en inbraakwerend zijn.

Een on-premise HSM is een goede optie voor ondernemingen met een of meer van de volgende scenario's:

• Grote organisaties die volledige en geïsoleerde controle over hun sleutelbeheer mechanismen en die een duidelijke businesscase hebben voor de hoge investeringen die nodig zijn in een on-premise HSM.
• Toepassingen die een zeer lage latentie vereisen. In deze gevallen kan het een groot verschil maken als een HSM zich in hetzelfde datacenter bevindt als de toepassing.
• Toepassingen met intensieve cryptografische bewerkingen en een behoefte aan hoge prestaties, waarbij het overbrengen van de cryptografische functies van een toepassingsserver naar een lokale HSM tot een aanzienlijke prestatieverbetering voor de toepassing kan leiden.
• Organisaties die actief zijn in landen met strenge eisen ten aanzien van gegevenslokalisatie en waar cloudproviders mogelijk geen lokaal datacenter op die geografische locatie hebben.
• Organisaties met voorspelbare werklasten, waarbij het onwaarschijnlijk is dat de zakelijke vereisten en transactievolumes de capaciteit van de HSM in de nabije toekomst zullen overschrijden.

Cloudgebaseerde HSM

Uit een recent onderzoeksrapport van Flexera blijkt dat ongeveer 94% van de organisaties tegenwoordig gebruikmaakt van een of andere vorm van cloudservices. Nu allerlei soorten workloads naar de cloud verhuizen, vormen HSM's daarop geen uitzondering. De eenvoud, flexibiliteit en wendbaarheid van cloudgebaseerde HSM's maken ze een aantrekkelijke waardepropositie, vooral wanneer bedrijven te maken krijgen met een of meer van de volgende scenario's:

• Voor kleine en middelgrote organisaties die al veel clouddiensten gebruiken en hoge investeringen voor on-premise HSM's vereisen, is dit wellicht niet haalbaar.
• Organisaties die meerdere HSM-services willen testen of piloteren met minimale initiële investeringen, voordat ze zich aan een leverancier binden.
• Organisaties waar de werklast lager is en er hoge eisen worden gesteld aan applicatieprestaties en -latentie, hebben mogelijk geen speciale, on-premise HSM nodig.
• Organisaties met sterk wisselende werklasten, waarbij elasticiteit vereist kan zijn, d.w.z. het op- en afschalen van de HSM-infrastructuur.
• Organisaties die de voorkeur geven aan een voorspelbaar, op operationele uitgaven (Opex) gebaseerd financieel model dat in de cloud wordt aangeboden in plaats van de hoge initiële kapitaalinvesteringen die nodig zijn voor een on-premise HSM.

Er zijn twee soorten cloudgebaseerde HSM's: openbare cloudgebaseerde en externe HSM's. Beide typen bieden het HSM-as-a-Service-model. Afhankelijk van de leverancier kunnen beide typen ook single-tenant- en multi-tenant-oplossingen en aanvullende sleutelbeheerservices naast HSM's aanbieden. Het belangrijkste verschil tussen de twee cloudgebaseerde HSM's is vendor lock-in.

HSM's op basis van een publieke cloud zijn doorgaans gekoppeld aan die publieke cloudprovider, zoals AWS of Azure, en zijn daarom geschikt voor bedrijven die slechts één publieke cloudprovider gebruiken. HSM's op basis van een externe cloud werken meestal met meerdere publieke cloudproviders en zijn daarom een ​​goede keuze voor bedrijven met multi-cloudscenario's.

Cloud-HSM's van derden zijn gespecialiseerde oplossingen en kunnen ook geavanceerdere functies bieden, zoals automatisering, schaalbaarheid, back-ups en beter beheer. Over het algemeen hangt de keuze voor een cloudgebaseerde HSM nauw samen met de cloudstrategie van het bedrijf.

Key Takeaways

De vraag "Wat is een betere optie: een on-premise HSM "Of een cloudgebaseerde HSM?" biedt geen eenduidig ​​antwoord. Bedrijven zullen de beste optie moeten kiezen, afhankelijk van hun use cases en bedrijfsscenario's. Eén ding blijft echter duidelijk: de voordelen van Public Key Infrastructure (PKI) kunnen volledig teniet worden gedaan als privésleutels worden gecompromitteerd. Het beschermen en beheren van die sleutels is daarom een ​​cruciale vereiste om de beveiliging van bedrijven te waarborgen. HSM's, zowel on-premise als cloudgebaseerd, zijn vandaag de dag de beste opties om aan die eis te voldoen.

Uit een recent onderzoeksrapport van Flexera over cloudtrends blijkt dat meer dan 80% van de organisaties overstapt op multi-cloudomgevingen..