IT-världen över hela världen har dominerats av nyheter om globala dataintrång och molndataläckor. Från oavsiktligt avslöjande av känsliga uppgifter till stulna kortuppgifter över hela linjen, verkar det som att trenden kommer att fortsätta och ingen är säker på hur säker deras data är, särskilt inte i molnet.
På grund av detta såg vi en kontinuerlig uppåtgående trend i användningen av krypteringsteknik inom alla organisationers IT-avdelningar eftersom det ger ett säkerhetslager för företagets kritiska data och gör den oanvändbar för alla som inte har den tillhörande nyckeln, vare sig det är en intern eller extern ondsinnad aktör.
Baserat på branscherfarenhet kan vi helt enkelt säga att säkerheten som tillhandahålls av en kryptoenhet inte beror mycket på den krypteringsmekanism som används i enheten, utan säkerligen på säkerheten för de tillhörande nycklarna. Du kan använda vilken kryptering som helst med bra nyckellängd, men det garanterar inte skyddet om inte nycklarna är säkrade.
När det gäller att hantera en enskild säkerhetsnyckel manuellt är det relativt enkelt, men om antalet säkerhetsnycklar som används är enormt blir uppgiften att hantera dessa nycklar besvärlig. Därför uppstår behovet av automatiserade nyckelhantering tjänster för datakryptering.
Nu kan nyckelhanteringstjänsten för alla kryptosystem betraktas som att hantera hela livscykeln för nycklar, inklusive generering, lagring, aktivering, distribution, rotation, utgång, återkallelse och förstörelse.
Vi kan klassificera nyckelhanteringssystemen i tre breda kategorier:
-
Programvarubaserat KMS
Programvarubaserade KMS-lösningar kan betraktas som fristående programvara installerad i en fysisk eller virtuell miljö. Ur ett kostnadsperspektiv är programvarubaserade KMS-lösningar billigare och enklare att installera jämfört med hårdvarubaserade KMS-lösningar.
-
Hårdvarubaserat KMS
Hårdvarubaserad KMS kan betraktas som en specialiserad, manipulationssäker hårdvaruapparat byggd för kryptografiska operationer eller nyckelhantering och känd som Hårdvarusäkerhetsmodul, dvs. HSM. HSM kan integreras med programvarubaserat KMS eller så kan KMS-programvara även bäddas in i HSM.
-
Molnbaserat KMS
Molnbaserat KMS kan betraktas som ett tjänsteerbjudande från molntjänstleverantörer. Alla tre största CSP:er (AWS, Azureoch GCP) tillhandahålla KMS som en hanterad tjänst med en pay-as-you-go-modell, vilket innebär att kunden inte behöver hantera den underliggande programvaran/hårdvaran. Dessutom är andra tjänster inom CSP-miljön sömlöst integrerade med deras KMS tjänster.
Nu, eftersom vi har diskuterat olika typer av KMS i allmänhet, är nästa uppenbara fråga att bestämma vilken molnbaserad KMS-leverantör som är bäst för dig.
Att välja mellan tre CSP:er (Amazon Web Services, Microsoft Azure eller Google Cloud Platform) är ett ämne som diskuteras flitigt av användare. Övergången till att ladda upp data till det publika molnet håller på att bli standard för organisationer. De två huvudfaktorerna för att skydda data är att skydda data från obehörig åtkomst och att uppfylla regelverk. Molnsäkerhet måste vara högsta prioritet för alla i organisationen. I nästa avsnitt sammanfattar vi vår jämförelse mellan tre stora aktörer inom molntjänstvärlden:
- Amazon Web Services (AWS) nyckelhanteringssystem (KMS)
- Microsoft Azure Key Vault
- Google Cloud Platform (GCP) nyckelhanteringssystem (KMS)
AWS Key Management Service (KMS)
AWS KMS är en hanterad tjänst som används för att skapa och hantera krypteringsnycklar. De två typerna av krypteringsnycklar i AWS KMS är Kundens huvudnycklar (CMK) och DatanycklarCMK:er kan användas för att kryptera och dekryptera upp till 4 kilobyte data medan datanycklar genereras, krypteras och dekrypteras av CMK:er.
CMK:erna kan aldrig lämna AWS KMS och nycklar som skapas av AWS KMS-tjänsten skickas aldrig utanför den AWS-region där de skapades och kan bara användas i den region där de skapades. CMK:erna kan vara kundhanterade eller AWS-hanterade. CMK:er används för att kryptera/dekryptera datanycklarna medan datanycklar används för att kryptera/dekryptera själva kunddata. AWS KMS lagrar, hanterar eller spårar inte datanycklar.
AWS KMS kan inte använda datanyckeln för att kryptera/dekryptera data åt dig. Användare måste använda och hantera datanycklar själva. Som standard använder AWS KMS FIPS 140-2-validerad. hårdvarusäkerhetsmoduler (HSM) och stödde FIPS 140-2-validerade slutpunkter som säkerställer konfidentialitet och integritet för dina nycklar.
Microsoft Azure Key Vault
Microsoft Azure Key Vault används för att lagra hemligheter som tokens, lösenord, certifikat och API-nycklar. Azure Key Vault kan också användas som en nyckelhanteringslösning. Key Vault kan kryptera nycklar och hemligheter i hårdvarusäkerhetsmoduler (HSMS). Key Vault stöder endast RSA- och Elliptic Curve-nycklar. Microsoft kommer inte att se dina nycklar, utan bearbetar nycklarna i FIPS 140-2 nivå 2-validerade HSM:er.
GCP-nyckelhanteringstjänst
Google Cloud Key Management Service (KMS) är ett erbjudande för hantering av krypteringsnycklar från Google Cloud som används för att implementera kryptografiska funktioner för företag. Google Cloud KMS använder AES 256-bitars nycklar för att skydda data och kan också användas för att hantera nycklar som krypterar andra typer av känslig data, såsom API-tokens, användaruppgifter etc.
Google tillhandahåller Google Cloud KMS-tjänsten via REST API:er så att användare kan skapa, lista, uppdatera och förstöra nycklar som hjälper till att hantera ett stort antal nycklar specifikt för företag över hela världen. Det tillhandahåller också AES-nycklar i en femnivåhierarki med en 24-timmars fördröjning vid borttagning av nyckel.
Tabellen nedan ger en sammanfattad jämförelse mellan AWS KMS, Azure Key Vault och Google Cloud KMS Services kategoriserade efter tjänstens funktioner:
| # | Leverans | AWS KMS | Azure Key Vault | Google Cloud KMS |
|---|---|---|---|---|
| 1 | Nyckelförvaring | Apparat (programvara + hårdvara) | Apparat* (Programvara) | Apparat (programvara + hårdvara) |
| 2 | FIPS 140-2-nivå | Nivå 2 | Nivå 2 | Nivå 1 |
| 3 | Nyckeltyper | Symmetrisk och asymmetrisk | Asymmetrisk | Symmetrisk och asymmetrisk |
| 4 | BYOK (Ta med egen nyckel) | AES 256-bitars omsluten av RSA 2048-bitars | RSA-inslagning med AES och RSA-OAEP | AES 256-bitars omsluten av RSA 3072-bitars |
| 5 | Symmetrisk nyckellängd | 256-bitars AES | Ingen | 256-bitars AES |
| 6 | Asymmetrisk nyckellängd | 2048-bitars, 3072-bitars, 4096-bitars RSA | 2048-bitars, 3072-bitars, 4096-bitars RSA | 2048-bitars, 3072-bitars, 4096-bitars RSA |
| 7 | Krypteringslägen | AES-GCM, RSA-OAEP | AES-GCM, RSA-OAEP | RSA PKCS#1v1.5, RSA-OAEP |
| 8 | Storleksgräns för vanlig text | 4KB | 0.25KB | 64KB |
| 9 | Signaturlägen |
|
|
|
| 10 | Nyckelfunktioner |
|
|
|
*Integrering av Azure Key Vault med Azures hanterade HSM finns i en offentlig förhandsversion och kan bli tillgänglig någon gång i framtiden.
Slutsats
Den kontinuerliga uppgången inom krypteringsteknik leder till behovet av att hantera fler och fler nycklar, vilket tvingar företag att använda automatiserade nyckelhantering system för att hantera det stora antalet nycklar effektivt. Med tanke på den höga efterfrågan på nyckelhanteringssystem är de tre största CSP:erna (molntjänstleverantörerna) i hård konkurrens om att lägga till fler och fler funktioner till sina KMS-tjänster i sin miljö; det blir dock ofta förvirrande med den begränsade dokumentationen.
Krypteringskonsulttjänster hjälper kunder att bekanta sig med de senaste och avancerade säkerhetsfunktionerna, verktygen och dokumentationen och hjälper dem att utnyttja det verkliga värdet för sin organisation samtidigt som de distribuerar dem i sin miljö, vilket håller organisationens affärsmål intakta.
