Hardware Security Modul und Cloud – das scheinen zwei unvereinbare Gegensätze: Cloud assoziieren wir mit dem Attribut „unsicher“. HSM gilt dagegen als hochsicher. Wie soll denn bloss ein HSM als Service aus der Cloud funktionieren? Securosys-CEO Robert Rogenmoser zeigt, worauf man achten muss, wenn man einen solchen Service in Betracht zieht.
Die sicherste Lösung zur Aufbewahrung von Verschlüsselungsschlüsseln sind Hardware Security Module (HSM). Sie sind der Vertrauensanker. Ein HSM generiert vertrauenswürdige Zertifikate und Schlüssel, sichert und speichert diese. Seine Vorteile sind seine grosse Leistungsfähigkeit sowie dass es Schutz bietet vor unauthorisierten Zugriffen.
Da private Schlüssel der Identität des Besitzers entsprechen, sollten sie in einem HSM gespeichert sein. Das HSM sollte der eigenen Kontrolle unterstehen. Das heisst, HSM sollten im eigenen Rechenzentrum selber betrieben werden.
Was aber, wenn Organisationen bzw. Firmen nicht über die Ressourcen und Fachleute verfügen, um ein eigenes HSM zu betreiben bzw. dies aus anderen Gründen nicht können oder wollen? In diesem Fall könnte ein HSM-Service eine Lösung sein. Naturgemäss würde dieser aus der Cloud bezogen werden.
HSM IN DER CLOUD – EIN WIDERSPRUCH?
Ist das aber nicht ein Oxymoron, steht doch ein HSM für höchstmögliche Sicherheit, und Cloud gilt als unsicher? Diese Frage kann nicht mit „Ja“ oder „Nein“ beantwortet werden. Es kommt sehr darauf an, wie der Service aufgebaut und gestaltet ist.
Im Folgenden zeigben wir die Überlegungen auf, die man sich bei der Prüfung einer solchen Lösung bzw. des Providers anstellen sollte:
- Ist die Lösung jederzeit vollumfänglich verfügbar?
Der Service muss aus mehreren HSM aufgebaut sein, die Backups und Georedundanz gewährleisten. Er muss z.B. auch im Fall von DoS-Attacken auf den Service weiterfunktionieren. - Ist der Zugang gut geschützt?
Das HSM muss vor unerwünschtem Zugriff geschützt werden. Dies sollte mit Firewalls und Proxys bewerkstelligt werden. - Kann die erhöhte Latenz toleriert werden?
Applikationen, die Schlüssel verwenden, sind nicht mehr direkt mit dem HSM verbunden. Sie gehen über das Internet in die Cloud. Damit erhöht sich die Latenz von Mikrosekunden auf Millisekunden. - Habe ich Kontrolle über die Policy bzw. die Rolle des Security Officers?
Es ist praktisch, wenn man die Sicherheit delegieren kann. Aber es ist auch heikel. Mit dem Einkauf eines Services darf man nicht die Kontrolle über die Sicherheitseinstellungen abgeben. Ein Unternehmen muss die Möglichkeit haben, Security-Officer-Aufgaben wahrzunehmen. Die Sicherheitspolicy des Services muss in jedem Fall jener des Unternehmens entsprechen. Also muss sie überprüfbar und anpassbar sein. - Kenne ich meinem Serviceprovider und seine Bestimmungen? Kann ich ihm vertrauen? Wer hat Zugriff auf meine Schlüssel?
Rechtliche und vertragliche Bestimmungen sind von grosser Bedeutung. So sollten die Daten in der Schweiz liegen, weil hierzulande ein höchstmögliches Mass an Rechtssicherheit gewährleistet ist – was nicht in jedem Land der Fall ist. Zudem muss sichergestellt sein, dass nur das Unternehmen selbst Zugriff auf die Schlüssel hat – und nicht auch noch der Serviceprovider. In den Vertragsbestimmungen dürfen keine übermässigen (zeitlichen) Bindungen vorhanden sind, damit das Unternehmen jederzeit seine Daten migrieren kann – zum Beispiel für den Fall, dass es sich entscheidet, ein eigenes HSM zu betreiben.
Robert Rogenmoser
Unsere Securosys-Fachleute sind dabei, zusammen mit vertrauenswürdigen Partnern einen HSM-Service namens Securosys Clouds HSM aufzubauen.
Falls Sie weitere Informationen zu Securosys Clouds HSM benötigen, können Sie sich gerne über unser Kontaktformular mit uns in Verbindung setzen.