Meteen naar de inhoud

webinar: Meld je aan voor ons aankomende webinar.

Aanmelden

  1. Blogs
    2. Cloud Key Management

Google Cloud Platform (GCP) – Introductie tot Google Cloud HSM

Posted byManimit Haldar 5 Minuten
Google Cloud HSM is een cluster van FIPS 140-2 Level 3-gecertificeerde Hardware Security Modules waarmee klanten encryptiesleutels kunnen hosten en er cryptografische bewerkingen op kunnen uitvoeren. Hoewel Cloud HSM sterk lijkt op de meeste netwerk-HSM's, vereiste de implementatie van Google om HSM naar de cloud te brengen enkele wijzigingen.
Inhoudsopgave

Introductie

De Cloud HSM-service van Google biedt hardware-ondersteunde sleutels voor Cloud KMS (Key Management Service). Hiermee kunnen klanten hun sleutels beheren en gebruiken. cryptografische sleutels terwijl ze worden beschermd door volledig beheerde Hardware-beveiligingsmodules (HSM)De Cloud HSM-service is zeer beschikbaar en schaalt automatisch horizontaal. Aangemaakte sleutels worden regionaal gekoppeld aan de KMS-regio waarin de sleutelring is gedefinieerd. Met Cloud HSM kunnen de sleutels die gebruikers aanmaken en gebruiken, niet worden gematerialiseerd buiten de cluster van HSM's die behoren tot de regio die is opgegeven bij het aanmaken van de sleutel.

Met Cloud HSM kunnen gebruikers verifieerbaar bevestigen dat hun cryptografische sleutels uitsluitend binnen een hardwareapparaat worden aangemaakt en gebruikt. Bestaande Cloud KMS-klanten hoeven geen wijzigingen in de applicatie aan te brengen om Cloud HSM te gebruiken. De Cloud HSM-service is toegankelijk via dezelfde API en clientbibliotheken als de Cloud KMS-software-backend.

De Cloud HSM-service maakt gebruik van HSM's, die FIPS 140-2 Gevalideerd op niveau 3 en altijd draaiend in de FIPS-modus. De FIPS-standaard specificeert de cryptografische algoritmen en de generatie van willekeurige getallen die door de HSM's worden gebruikt.

Het inrichten en beheren van HSM's

Het inrichten van HSM's wordt uitgevoerd in een laboratorium dat is uitgerust met talloze fysieke en logische beveiligingen, waaronder autorisatiecontroles voor meerdere partijen om inbreuken door één partij te voorkomen.
Hieronder volgen Cloud HSM-systeeminvarianten:

  1. Klantsleutels kunnen niet worden geëxtraheerd als plaintext.
  2. Klantensleutels mogen niet buiten de regio van herkomst worden verplaatst.
  3. Alle configuratiewijzigingen in ingerichte HSM's worden bewaakt door meerdere beveiligingsmaatregelen.
  4. Beheerbewerkingen worden geregistreerd, waarbij rekening wordt gehouden met de scheiding van taken tussen Cloud HSM-beheerders en loggingbeheerders.
  5. HSM's zijn zo ontworpen dat ze beschermd zijn tegen manipulatie, bijvoorbeeld door het aanbrengen van kwaadaardige hardware- of softwarewijzigingen of het ongeautoriseerd extraheren van geheimen, gedurende de operationele levenscyclus.

Op maat gemaakte cloud-sleutelbeheerservices

Ontvang flexibele en aanpasbare adviesdiensten die aansluiten bij uw cloudvereisten.

Meer informatie

Leveranciersgestuurde firmware op Cloud HSM

HSM-firmware is digitaal ondertekend door de HSM-leverancier. Google kan de HSM-firmware niet maken of bijwerken. Alle firmware van de leverancier is ondertekend, inclusief ontwikkelingsfirmware die wordt gebruikt voor tests.

Google Cloud HSM-sleutelhiërarchie

Cloud HSM verpakt de sleutels van klanten en Cloud KMS-sleutels verpakken HSM-sleutels, die vervolgens worden opgeslagen in de datastores van Google.

Cloud-HSM-hiërarchie


Cloud HSM heeft een sleutel waarmee de migratie van de materialen binnen het administratieve domein van Cloud HSM wordt beheerd.

De root-sleutel van Cloud HSM heeft twee primaire kenmerken:
De rootsleutel wordt gegenereerd op de HSM en verlaat gedurende de gehele levensduur nooit de duidelijk gedefinieerde grenzen van de HSM. Klonen is echter mogelijk en back-ups van HSM's zijn toegestaan.

De rootsleutel kan worden gebruikt als encryptiesleutel om klantsleutels te verpakken die HSM's gebruiken. Verpakte klantsleutels kunnen op de HSM worden gebruikt, maar de HSM retourneert nooit een onverpakte klantsleutel. HSM's kunnen klantsleutels alleen voor operationele doeleinden gebruiken.

Sleutelopslag

HSM's worden niet gebruikt als permanente dataopslagoplossing voor sleutels. HSM's slaan sleutels alleen op tijdens gebruik. Omdat HSM-opslag beperkt is, worden HSM-sleutels versleuteld en vervolgens opgeslagen in de Cloud KMS-sleuteldatastore.
De Cloud KMS-datastore is zeer beschikbaar, duurzaam en sterk beveiligd. Enkele kenmerken zijn:

  1. Beschikbaarheid:Cloud KMS maakt gebruik van de interne gegevensopslag van Google, die zeer beschikbaar is en ook een aantal cruciale systemen van Google ondersteunt.
  2. DuurzaamCloud KMS gebruikt geverifieerde encryptie om klantsleutelmateriaal in de datastore op te slaan. Daarnaast worden alle metadata geverifieerd met een hash-based message authentication code (HMAC) om te garanderen dat deze niet is gewijzigd of beschadigd tijdens de opslag. Elk uur scant een batchtaak al het sleutelmateriaal en de metadata en controleert of de HMAC's geldig zijn en of het sleutelmateriaal succesvol kan worden ontsleuteld.

    Cloud KMS gebruikt verschillende typen back-ups voor de gegevensopslag:

    • Standaard bewaart de datastore gedurende enkele uren een wijzigingsgeschiedenis van elke rij. In noodgevallen kan deze levensduur worden verlengd om meer tijd te hebben om problemen op te lossen.
    • Elk uur registreert de datastore een momentopname. Deze momentopname kan worden gevalideerd en indien nodig worden gebruikt voor herstel. Deze momentopnamen worden vier dagen bewaard.
    • Elke dag wordt een volledige backup naar schijf en tape gekopieerd.
  3. Residentie: Cloud KMS-datastoreback-ups worden opgeslagen in de bijbehorende Google Cloud-regio. Deze back-ups zijn allemaal versleuteld in rust.
  4. Bescherming: Op de Cloud KMS-applicatielaag wordt het sleutelmateriaal van de klant versleuteld voordat het wordt opgeslagen. Datastore-engineers hebben geen toegang tot de platte tekst van de sleutel van de klant. Bovendien versleutelt de datastore alle gegevens die het beheert voordat deze naar de permanente opslag worden geschreven. Dit betekent dat toegang tot onderliggende opslaglagen, inclusief schijven of tapes, zelfs geen toegang biedt tot de versleutelde Cloud KMS-gegevens zonder toegang tot de encryptiesleutels van de datastore. Deze encryptiesleutels van de datastore worden opgeslagen in de interne KMS van Google.

Conclusie

Google Cloud HSM is een cluster van FIPS 140-2 Level 3-gecertificeerde Hardware Security Modules waarmee klanten encryptiesleutels kunnen hosten en cryptografische bewerkingen kunnen uitvoeren. Hoewel Cloud HSM sterk lijkt op de meeste netwerk-HSM's, vereiste de implementatie van Google om HSM naar de cloud te brengen enkele wijzigingen. Desondanks is Cloud HSM een van de beste opties van Google Cloud Platform om gegevens veilig en privé te houden op een beveiligde server. HSM.

Ontdek onze

Gerelateerde blogs

Microsoft Azure is een van de drie grootste cloud service providers die organisaties tegenwoordig gebruiken. De andere twee die het meest door organisaties worden gebruikt, zijn Amazon Web Services (AWS) en Google Cloud Platform (GCP). Gezien de huidige situatie verplaatsen veel bedrijven hun diensten naar een gedeeltelijk of volledig cloudgebaseerd platform zoals Azure of AWS.

Hoe kunt u ervoor zorgen dat organisaties meer klachten gaan indienen met Microsoft Azure?

2 februari 2022
Inleiding tot crypto-shredding

Maak kennis met het nieuwe concept van Crypto-Shredding

August 20, 2021

Verschillen tussen AWS KMS Azure Key Vault en GCP KMS

AWS KMS versus Azure Key Vault versus GCP KMS

July 23, 2021

Bestudeer

Meer onderwerpen