Hoppa till innehåll

Webinar: Registrera dig för vårt kommande webbinarium

Registrera nu

  1. Blog
    2. Cloud Key Management

Molnbaserade kontra lokala HSM:er

Postat avYogesh Giri 5 minuter
I takt med att organisationer trappar upp sin molnresa så snabbt som möjligt för att utnyttja molnets fördelar, t.ex. skalbarhet, flexibilitet och kostnadseffektivitet, måste de parallellt tänka på datasäkerhet i sitt IT-landskap. Detta gör kryptering, och därmed HSM:er, till en oundviklig del av en organisations cybersäkerhetsstrategi. Baserat på användningsfallen kan vi klassificera HSM:er i två kategorier: Molnbaserade HSM:er och lokala HSM:er. När det gäller klassificeringen av HSM:er (on-prem vs. molnbaserad HSM), vänligen var tydlig med att den kryptografiska tekniken är densamma, men levereras via olika metoder.
Innehållsförteckning

Beskrivning

kryptering är en av de grundläggande byggstenarna för alla organisationer som innehåller känsliga uppgifter/information. Känsliga uppgifter som följer dataskyddsregler skapar ett varumärkesvärde för din organisation eftersom din organisation blir mindre benägen att drabbas av dataintrång. Som vi alla vet beror krypteringens styrka på två kritiska faktorer.

  1. Nyckellängd
  2. Nyckelsäkerhet

Nyckellängden är kvantifierbar och kan bestämmas med hjälp av olika krypteringsalgoritmer som AES-128 eller AES-256. Å andra sidan är nyckelns säkerhet en subjektiv fråga. Som vi alla vet, ju säkrare nycklarna är, privata nycklar i asymmetrisk och delade nycklar i symmetrisk kryptering, desto kraftfullare är krypteringslandskapet.

När det gäller nycklars säkerhet är det bästa alternativet att använda HSM (hårdvarusäkerhetsmodul) vilka är NIST kompatibel, dvs. FIPS-140-2-Nivå 3.

Molnbaserad HSM kontra lokal HSM

I dagens artikel ska vi jämföra molnbaserad HSM och on-prem HSM och försöka hitta ett svar på vilka kriterier en kund bör välja som lämpligt alternativ för sin organisations kryptosäkerhet.

I takt med att organisationer snabbar upp sin molnresa för att utnyttja molnets fördelar, t.ex. skalbarhet, flexibilitet och kostnadseffektivitet, måste de samtidigt tänka på datasäkerhet i sitt IT-landskap. Detta gör kryptering, och därmed HSM:er, till en oundviklig del av en organisations cybersäkerhetsstrategi. Baserat på användningsfallen kan vi klassificera HSM:er i två kategorier: Molnbaserade HSM:er och HSM:er på plats När det gäller klassificeringen av HSM:er (on-prem vs. molnbaserad HSM), vänligen var tydlig med att kryptografisk teknik är densamma, men levereras via olika metoder.

Lokala HSM:er är särskilt användbara för att lagra krypteringsnycklar när organisationen vill ha fullständig kontroll över sina nycklar och policyer utan att vara beroende av Molntjänstleverantör (CSP:er)Detta innebär dock betydande initiala investeringar i form av hårdvara, kompetenta resurser, programvarulicenser för hantering av HSM-klustret etc.

Lokala HSM:er är också användbara när en organisation använder en säker applikation som är extremt känslig för latens. Den säkra applikationen använder endast en lokal HSM, vilket undviker latens. Ett annat viktigt användningsfall är när en applikation med intensiva kryptografiska operationer används på grund av bästa säkerhetspraxis, teknisk design och/eller prestandakrav.

Lokal HSM är också fördelaktigt för organisationer som verkar i länder med strikta reglerings-/efterlevnadskrav på datalokalisering, och där molntjänstleverantörer (CSP) kanske inte har ett lokalt datacenter på den geografiska platsen. Det gynnar också organisationer med förutsebara arbetsbelastningar, där det är högst osannolikt att affärskraven och transaktionsvolymerna kommer att överstiga HSM:s kapacitet inom en snar framtid.

Å andra sidan erbjuder molnbaserade HSM:er (Handheld Management Systems) rena molnfördelar utöver de konventionella funktionerna hos HSM:er. För att gräva djupare kan vi ytterligare klassificera molnbaserade HSM:er i två kategorier: HSM-tjänster i offentligt moln och Tredjeparts HSM-tjänster.

Vissa publika moln-HSM-tjänster erbjuder tjänster för en enda hyresgäst/dedikerade tjänster eller tjänster för flera hyresgäster (t.ex. AWS, Azure) medan andra endast erbjuder tjänster för flera hyresgäster (t.ex. GCP KMS, Oracle Key Vault), vilket gör att dessa HSM-tjänster passar bäst för organisationer som är beroende av en enda molntjänstleverantör (CSP). I tredjeparts-HSM-tjänster kan du utnyttja multimolnplattformar som hanteras via den centrala hanteringsportalen (t.ex. DPoD), vilket innebär att dessa... HSM-tjänster passar bäst för organisationer med multimolnstrategier.

Dessa HSM-tjänster erbjuder även användningsfallsbaserade modulära tjänster för att minska kostnaderna för dataskydd. Några exempel på dessa tjänster är Key Vault, Oracle TDE (Transparent Data Encryption), Kod-/digital signering och så vidare

Skräddarsydda molnnyckelhanteringstjänster

Få flexibla och anpassningsbara konsulttjänster som anpassas till dina molnbehov.

Läs mer

Jämförelse i ett ögonkast

 Molnbaserad HSMLokal HSM
hårdvaraIngen hårdvara krävs# hårdvara som krävs inklusive för återhämtningsförmåga, HA, hanteringsplattform etc.
BetalningsmodellPAYG (betala per användning)Kostnad i förskott
InställningEasyKomplex
MjukvaraIngår i kostnadenLicenser kan krävas för varje partition och klientprogramvara
KlientdistributionEnkelt med CSP-dokumentationKomplex och kompetensberoende
ComplianceCSP:s ansvarOrganisationens ansvar
Operativa omkostnaderLåg eftersom det är en hanterad tjänst från CSPHög eftersom den hanteras av organisationen
SLA (servicenivåavtal)CSP:s ansvarOrganisationens ansvar
Operativ teknisk kunskapMedium med CSP:s dokumentation och leverantörssupportHög eftersom den hanteras av organisationen
Totalkostnad för ägarskapLågHög specifikt för lågt antal partitioner

*CSP: Molntjänstleverantör

Slutsats

HSM-tjänsten är verkligen en kritisk komponent när man utformar och beslutar om dataskyddsåtgärder för din organisations PKI infrastruktur. Valet mellan molnbaserad HSM eller on-prem HSM är en funktion av TCO (total ägandekostnad), antal och komplexitet hos användningsfallen, affärsmässiga, regelmässiga och juridiska efterlevnader, förutsägbar tillväxt i volymen av känsliga data, olika datakällor och val av affärsapplikationer, för att nämna några.

Även om molnbaserade HSM-tjänster blir alltmer populära med tanke på att fler och fler organisationer hoppar över till molnet för dess många fördelar, blir lokala HSM:er avgörande när molntjänstleverantörer (CSP:er) stöter på vissa begränsningar, även om de är väldigt få i omräkningen.

Sammanfattningsvis är en sak genomgående tydlig: fördelarna som erbjuds av Public Key Infrastructure (PKI) kan undergrävas fullständigt om privata nycklar komprometteras. Att skydda och hantera dessa nycklar är därför ett avgörande krav för att säkerställa företagets datasäkerhet. HSM:er, oavsett om de är lokala eller molnbaserade, är de bästa alternativen idag för att uppfylla det kravet.

Upptäck vår

Relaterade bloggar

Microsoft Azure är en av de tre största molntjänstleverantörerna som används av organisationer idag. De andra två som huvudsakligen används av organisationer är Amazon Web Services (AWS) och Google Cloud Platform (GCP). I det rådande läget i världen flyttar många företag sina tjänster till en delvis eller helt molnbaserad plattform som Azure eller AWS.

Hur kan du göra organisationer mer nöjda med Microsoft Azure?

Februari 2, 2022
Introduktion till kryptoförstöring

Bekanta dig med det nya konceptet kryptoförstöring

August 20, 2021

Skillnader mellan AWS KMS Azure Key Vault och GCP KMS

AWS KMS kontra Azure Key Vault kontra GCP KMS

July 23, 2021

Utforska

Fler ämnen