Meteen naar de inhoud

webinar: Meld je aan voor ons aankomende webinar.

Aanmelden

  1. Blogs
    2. Cloud Key Management

Cloudgebaseerde vs. on-premises HSM's

Posted byYogesh Giri 5 Minuten
Naarmate organisaties hun cloudtransitie zo snel mogelijk versnellen om de voordelen van de cloud, zoals schaalbaarheid, flexibiliteit en kosteneffectiviteit, te benutten, moeten ze parallel nadenken over gegevensbeveiliging in hun IT-landschap. Dit maakt encryptie, en dus ook HSM's, een onvermijdelijk onderdeel van de cybersecuritystrategie van een organisatie. Op basis van de use cases kunnen we HSM's in twee categorieën indelen: cloudgebaseerde HSM's en on-premises HSM's. Wat betreft de classificatie van HSM's (on-premises versus cloudgebaseerde HSM's), moet u er rekening mee houden dat de cryptografische technologie hetzelfde is, maar via verschillende methoden wordt geleverd.
Inhoudsopgave

Introductie

Encryptie is een van de basisbouwstenen voor elke organisatie die gevoelige gegevens/informatie beheert. Gevoelige gegevens die voldoen aan de regelgeving inzake gegevensbescherming creëren merkwaarde voor uw organisatie, omdat uw organisatie minder vatbaar is voor datalekken. Zoals we allemaal weten, hangt de sterkte van de encryptie af van twee cruciale factoren.

  1. Sleutel lengte
  2. Beveiliging van de sleutels

De sleutellengte is kwantificeerbaar en kan worden bepaald met behulp van verschillende encryptiealgoritmen, zoals AES-128 of AES-256. De veiligheid van de sleutel is daarentegen een subjectieve kwestie. Zoals we allemaal weten, geldt: hoe veiliger de sleutels (privésleutels bij asymmetrische en gedeelde sleutels bij symmetrische encryptie) hoe krachtiger het encryptielandschap.

Als het gaat om de beveiliging van sleutels, is het het beste om HSM's (Hardware Security Module) die NIST conform ie FIPS-140-2-Niveau 3.

Cloudgebaseerde HSM versus on-premises HSM

In het artikel van vandaag vergelijken we cloudgebaseerde HSM en on-premises HSM. Ook proberen we antwoord te vinden op de vraag welke criteria een klant zou moeten kiezen als geschikte optie voor de cryptobeveiliging van zijn organisatie.

Naarmate organisaties hun cloudtransitie zo snel mogelijk versnellen om de voordelen van de cloud, zoals schaalbaarheid, flexibiliteit en kosteneffectiviteit, te benutten, moeten ze parallel nadenken over gegevensbeveiliging in hun IT-landschap. Dit maakt encryptie, en dus ook HSM's, een onvermijdelijk onderdeel van de cybersecuritystrategie van een organisatie. Op basis van de use cases kunnen we HSM's in twee categorieën indelen: Cloudgebaseerde HSM's en On-Prem HSM's Wat betreft de classificatie van HSM's (On-premises vs. Cloud-gebaseerde HSM), wil ik u erop wijzen dat de cryptografische technologie hetzelfde is, maar via andere methoden wordt geleverd.

On-premises HSM's zijn met name handig voor het opslaan van encryptiesleutels wanneer de organisatie volledige controle wil over haar sleutels en beleid zonder afhankelijk te zijn van de Cloud Service Provider (CSP's)Dit brengt echter aanzienlijke initiële investeringen met zich mee in termen van hardware, geschoolde krachten, licenties voor beheersoftware voor het beheer van het HSM-cluster, enzovoort.

On-premises HSM's zijn ook zinvol wanneer een organisatie een beveiligde applicatie gebruikt die extreem gevoelig is voor latentie. De beveiligde applicatie gebruikt alleen een on-premises HSM, waardoor latentie wordt vermeden. Een andere belangrijke use case is wanneer een applicatie met intensieve cryptografische bewerkingen wordt gebruikt vanwege best practices voor beveiliging, technologische ontwerpen en/of prestatievereisten.

On-premise HSM is ook gunstig voor organisaties die actief zijn in landen met strenge regelgeving/nalevingsvereisten voor datalokalisatie, en waar Cloud Service Providers (CSP's) mogelijk geen lokaal datacenter op die geografische locatie hebben. Het is ook gunstig voor organisaties met een voorzienbare workload, waarbij het zeer onwaarschijnlijk is dat de bedrijfsvereisten en transactievolumes de capaciteit van de HSM in de nabije toekomst zullen overschrijden.

Aan de andere kant bieden cloudgebaseerde HSM's de absolute voordelen van de cloud, naast de conventionele functies van HSM's. Om dieper in te gaan, kunnen we cloudgebaseerde HSM's verder in twee categorieën indelen: Openbare Cloud HSM-services en HSM-diensten van derden.

Sommige openbare cloud-HSM-services bieden single-tenant/dedicated of multi-tenant services (bijv. AWS, Azure), terwijl andere alleen multi-tenant services bieden (bijv. GCP KMS, Oracle Key Vault). Deze HSM-services zijn daarom het meest geschikt voor organisaties die afhankelijk zijn van één cloudserviceprovider (CSP). In externe HSM-services kunt u gebruikmaken van multi-cloudplatforms die worden beheerd via de centrale beheerportal (bijv. DPoD). HSM-diensten zijn het meest geschikt voor organisaties met multi-cloudstrategieën.

Deze HSM-services bieden ook modulaire services op basis van use cases om de kosten voor gegevensbescherming te verlagen. Enkele voorbeelden van deze services zijn Key Vault, Oracle TDE (Transparent Data Encryption), Code/digitale ondertekening enz.

Op maat gemaakte cloud-sleutelbeheerservices

Ontvang flexibele en aanpasbare adviesdiensten die aansluiten bij uw cloudvereisten.

Meer informatie

Vergelijking in een oogopslag

 Cloudgebaseerde HSMHSM op locatie
HardwareGeen hardware nodigAantal benodigde hardware, inclusief voor veerkracht, HA, managementplatform, etc.
BetalingsmodelPAYG (betalen per gebruik)Kosten vooraf
SetupEenvoudigComplex
SoftwareInbegrepen in de prijsVoor elke partitie en clientsoftware kunnen licenties vereist zijn
Client implementatieGemakkelijk met CSP-documentatieComplex en vaardigheidsafhankelijk
CompliantVerantwoordelijkheid van CSPVerantwoordelijkheid van de organisatie
Operationele overheadLaag omdat het een beheerde service is van CSPHoog omdat het beheerd wordt door de organisatie
SLA (Service Level Agreements)Verantwoordelijkheid van CSPVerantwoordelijkheid van de organisatie
Operationele technische kennisMedium met CSP-documentatie en leveranciersondersteuningHoog omdat het beheerd wordt door de organisatie
Total Cost of OwnershipLaagHoog specifiek voor een laag aantal partities

*CSP: Cloud Service Provider

Conclusie

De HSM-service is zeker een cruciaal onderdeel bij het ontwerpen en bepalen van de gegevensbeschermingsmaatregelen voor uw organisatie. PKI infrastructuur. De keuze tussen cloudgebaseerde HSM of on-premises HSM is afhankelijk van de TCO (total cost of ownership), het aantal en de complexiteit van de use cases, de bedrijfs-, regelgevings- en wettelijke naleving, de voorzienbare groei van de hoeveelheid gevoelige gegevens, uiteenlopende gegevensbronnen en de keuze van bedrijfsapplicaties, om er maar een paar te noemen.

Hoewel cloudgebaseerde HSM-services steeds populairder worden, aangezien steeds meer organisaties de overstap maken naar de cloud vanwege de vele voordelen, worden on-premises HSM's cruciaal wanneer Cloud Service Providers (CSP's) tegen beperkingen aanlopen, hoewel ze in het aantal zeer beperkt zijn.

Om te concluderen, één ding blijft consistent duidelijk: de voordelen die geboden worden door Publieke Sleutel Infrastructuur (PKI) kan volledig worden ondermijnd als privésleutels worden gecompromitteerd. Het beschermen en beheren van deze sleutels is daarom een ​​cruciale vereiste om de beveiliging van bedrijfsgegevens te garanderen. HSM's, zowel on-premises als in de cloud, zijn momenteel de beste opties om aan die vereiste te voldoen.

Ontdek onze

Gerelateerde blogs

Microsoft Azure is een van de drie grootste cloud service providers die organisaties tegenwoordig gebruiken. De andere twee die het meest door organisaties worden gebruikt, zijn Amazon Web Services (AWS) en Google Cloud Platform (GCP). Gezien de huidige situatie verplaatsen veel bedrijven hun diensten naar een gedeeltelijk of volledig cloudgebaseerd platform zoals Azure of AWS.

Hoe kunt u ervoor zorgen dat organisaties meer klachten gaan indienen met Microsoft Azure?

2 februari 2022
Inleiding tot crypto-shredding

Maak kennis met het nieuwe concept van Crypto-Shredding

August 20, 2021

Verschillen tussen AWS KMS Azure Key Vault en GCP KMS

AWS KMS versus Azure Key Vault versus GCP KMS

July 23, 2021

Bestudeer

Meer onderwerpen