Репортаж от Wedoany,Швейцарский производитель аппаратных модулей безопасности (HSM) Securosys представил прокси-сервер внешнего управления ключами для Microsoft Azure. Данное решение поддерживает внешнее управление ключами в среде Azure Key Vault Managed HSM и ориентировано на предприятия регулируемых отраслей, таких как финансы, здравоохранение и государственный сектор, позволяя им сохранять контроль над ключами шифрования при использовании облачных сервисов.
Ключевой принцип внешнего управления ключами заключается в том, что «ключевой материал не попадает в облачную платформу». Предприятия генерируют, хранят и управляют ключами в Securosys Primus HSM или CloudHSM, а на стороне Azure Key Vault Managed HSM остаются только ссылки на внешние ключи, возможности контроля доступа и аудита. Когда сервису Azure требуется выполнить криптографическую операцию, такую как упаковка или распаковка ключа, запрос поступает в Managed HSM, затем через Securosys EKM Proxy перенаправляется во внешнюю среду HSM, контролируемую предприятием, где и выполняется вычисление, после чего результат возвращается сервису Azure. Таким образом, бизнес-системы могут продолжать использовать интерфейсы управления ключами и систему разрешений экосистемы Azure, но при этом основной ключевой материал остается в границах HSM, принадлежащих или контролируемых клиентом.
Подобные решения в первую очередь обслуживают строго регулируемые отрасли. Финансовые учреждения, медицинские организации и государственные органы обычно должны соблюдать требования суверенитета данных, суверенитета ключей, аудита и изоляции для соответствия нормативам, и не могут полагаться исключительно на облачную платформу в управлении ключами.
В архитектуре Securosys EKM Proxy выполняет роль соединителя. Он связывает Azure Key Vault Managed HSM со средой Securosys HSM, позволяя сервисам Azure вызывать внешние ключи для выполнения контролируемых криптографических операций. Канал связи использует двустороннюю TLS-аутентификацию: Managed HSM и прокси-сервер должны взаимно аутентифицироваться, прежде чем обрабатывать запросы. Интерфейс прокси отвечает только за криптографические операции и не заменяет управление жизненным циклом ключей во внешнем HSM. Генерация, резервное копирование, ротация, уничтожение и восстановление ключей по-прежнему выполняются в среде Securosys HSM, что означает, что, получая контроль над ключами, предприятие берет на себя и более полную ответственность за их эксплуатацию.
С точки зрения архитектуры облачной безопасности предприятия, внешнее управление ключами — это не просто «дополнительный уровень шифрования», а изменение границ контроля над ключами. В традиционной модели с ключами, управляемыми клиентом, ключи часто все еще хранятся в сервисе управления ключами облачной платформы, тогда как внешнее управление ключами оставляет критически важный ключевой материал в HSM, контролируемом клиентом, а облачная сторона хранит только ссылки и информацию о контроле доступа. Регулируемые предприятия могут продолжать использовать приложения, хранилища, базы данных и облачные сервисы Azure, одновременно размещая корневые ключи шифрования в независимом аппаратном модуле безопасности для удовлетворения требований внутреннего контроля рисков, регуляторного аудита и управления трансграничными данными.
Данное решение также предъявляет требования к задержкам системы, сетевым путям и производительности HSM. При вызове внешнего ключа сервисом Azure запрос проходит через три этапа: Managed HSM, EKM Proxy и внешний HSM. Предприятию необходимо обеспечить доступность прокси-сервера, правильную настройку сертификатов, достаточную пропускную способность кластера HSM, а также возможность записи журналов аудита на стороне прокси и HSM. Для высокочастотных криптографических операций, финансовых транзакционных систем, медицинских платформ данных и государственных облачных нагрузок после развертывания внешнего управления ключами требуется верификация по таким аспектам, как доступность, отказоустойчивость, процессы ротации ключей и замкнутый цикл аудита.
После запуска прокси-сервера внешнего управления ключами для Azure возможности HSM компании Securosys будут глубже интегрированы в системы безопасности основных публичных облаков. Последующее внедрение будет сосредоточено на настройке подключения к Azure Managed HSM, развертывании Securosys Primus HSM или CloudHSM, управлении mTLS-сертификатами, координации жизненного цикла ключей, аудите соответствия нормативам и миграции клиентов из регулируемых отраслей.










