it-swarm-korea.com

클라우드 데이터 센터의 키 관리

인프라 측면에서 클라우드 공급자 (클라우드를 통해 SaaS, PaaS 또는 IaaS를 제공하는 조직)는 키와 암호화를 어떻게 관리합니까?

내 이해에 따르면 "사설"데이터 센터는 전용 하드웨어 어플라이언스 (예 : HSM, ADC 또는 SSL 가속기)로 암호화를 관리하고 오프로드하는 경향이 있습니다. 이 경우 비대칭 키는이 전용 하드웨어에서 직접 관리됩니다.

두 개 이상의 데이터 센터를 보유하고 많은 개별적이고 동적 인 고객을 처리하는 클라우드 제공 업체의 경우 전용 하드웨어 기반 솔루션을 사용하여 고객의 키를 관리하고 생성하는 방법을 확인하기가 어렵습니다.

내 질문 : 클라우드 데이터 센터에서 전용 보안 어플라이언스를 구현할 수 있습니까? 키는 일반적으로 어떻게 관리되며 일반적으로 어디에 저장됩니까?

13
Louis

일부 HSM (나는 nCipher에 더 익숙 함)은 클라우드와 같은 작업을 허용합니다. 여러 HSM이 동일한 "보안 세계"를 공유 할 수 있습니다. 즉, 암호화 된 터널을 통해 서로 교환하는 동일한 개인 키를 볼 수 있습니다. 스토리지 자체는 물리적으로 HSM에 있지 않습니다. 외부에 있지만 HSM 내에 보관되는 키로 암호화되어 있습니다 (전체 설정에는 여러 유형의 스마트 카드가 포함되며 그보다 약간 더 복잡하지만 아이디어를 얻을 수 있습니다).

7
Thomas Pornin

Azure에는 개인 키를 내보낼 수없는 상태로 배포 된 각 VM)에 개인 키를 안전하게 다운로드하는 메커니즘이 있습니다. 다음은 섹션 2.1.1.4의 프로세스를 설명하는 백서입니다.

http://www.globalfoundationservices.com/security/documents/WindowsAzureSecurityOverview1_0Aug2010.pdf

.

Azure에 인증서를 설치하는 방법

http://blogs.msdn.com/b/jnak/archive/2010/01/29/installing-certificates-in-windows-Azure-vms.aspx

3
goodguys_activate

Amazon은 이제 CloudHSM 를 사용하여 SafeNet HSM 사용을 지원합니다.
Microsoft Azure는 Thales HSM 사용을 지원합니다. Thales, Microsoft는 클라우드에서 안전한 암호화를 제공합니다. .

"일반적인"사용, 키 관리 또는 스토리지를 설명하는 것이 아직 가능하지 않은지 의심 스럽습니다. 세부 사항은 클라우드 공급자와 HSM 공급 업체에 따라 다를 수 있습니다.

Azure " Bring Your Own Key "개념을 사용하면 자체 HSM에서 생성 된 키를 사용할 수 있지만 HSM을 올바르게 관리하려면 클라우드 공급자를 신뢰해야합니다.

(HSM은 권한이없는 사람이 키를 추출하기가 매우 어렵도록 설계되었지만 HSM이 장애 조치 및 확장 성을 위해 키를 공유 할 수 있도록 허용한다는 것은 이들간에 비밀을 공유하는 것을 의미하며 이는 신뢰할 수있는 방식으로 수행되어야합니다. nCipher의 경우) (현재 Thales) @ thomas-pornin이 언급 한 HSM은 공격자가 보안 세계에 HSM을 추가하는 데 사용되는 관리자 스마트 카드의 쿼럼에 제어되지 않은 액세스 권한을 부여하면 해당 World에서 효과적으로 키를 추출 할 수 있습니다. SafeNet의 경우 유사합니다. Luna PED에는 고려 사항이 적용됩니다. 클라우드 공급자가 데이터 센터의 "귀하의"HSM에 대한 직접 액세스를 허용하지 않는 한, 초기 설정을 신뢰해야합니다. HSM에 비밀이 설정되면 보안 인증 통신이 가능합니다.)

몇 년 후 편집 : Amazon의 CloudHSM은 이제 자체 하드웨어를 사용하고 SafeNet (현재 Gemalto) HSM은 이제 "CloudHSM Classic"이되었으며 Luna 5 HSM이 수명 종료이기 때문에 단계적으로 폐지 될 예정입니다 . AWS CloudHSM 클래식 FAQ .

Thales와 Gemalto는 합병되지만 이전 nCipher HSM 비즈니스는 Entrust Datacard에 매각되고 있습니다. GP HSM 사업 매각 이야기 .

Microsoft Azure는 이제 전용 HSM을 제공합니다 . Azure Dedicated HSM이란? .

2
armb

어제의이 IEEE 기사는 많은 공급자가 보안을 사용자의 문제로보고 있다고 지적합니다 http://spectrum.ieee.org/riskfactor/telecom/internet/your-security-not-our-problem-say-cloud- provider? utm_source = feedburner & utm_medium = feed & utm_campaign = Feed : + IeeeSpectrum + (IEEE + Spectrum ). 나는 매우 불투명 한 클라우드에 대한 가정을 피하고 대신 서비스 계약 전에 공급자로부터 세부 사항을 얻는 것이 좋습니다.

0
zedman9991