Hardware Security Module (HSM) vs. Key Management Service (KMS)

Imam Sheikh

Recente bedreigingen van de cyberveiligheid van staten, de hoorzitting van de Amerikaanse senaat over Facebooks benadering  van dataprivacy en nieuwe richtlijnen voor gegevensbescherming zoals de GDPR in  de Europese Unie wijzen allemaal op hetzelfde: er is een  dringende behoefte aan betrouwbare methoden om gevoelige of persoonlijke informatie te beveiligen. Het adresseren van zorgen op security-gebied en het werk maken van nieuwe richtlijnen lijkt nog lastiger nu bedrijven gegevens en applicaties van hun eigen datacenters naar de cloud verplaatsen.

Vooral het veilig beheren van gegevens- en versleutelingscodes in private, publieke, hybride of multi-cloud omgevingen vormt een grote uitdaging. Wanneer bedrijven overstappen op de cloud, lopen zij het risico op inconsistenties in hun encryptiesleutels en het beheer hiervan. Elke  cloudomgeving heeft hier namelijk zijn eigen benadering voor. Er zijn momenteel drie oplossingen voor het beheer van versleutelingscodes: legacy hardware security modules (HSM), key management services (KMS) en HSM-as-a-Service. Deze laatste optie biedt een KMS-achtige eenvoud gepaard met het veiligheidsniveau van HSM.

De cloudstrategie die wordt toegepast – privaat, publiek, hybride of multi-cloud – is een bepalende factor bij het bepalen van de beste key management strategie voor uw onderneming. Voor het beste resultaat moet uw versleutelingstrategie passen bij uw langetermijnstrategie voor de cloud en moet deze consequent worden toegepast in uw volledige organisatie.

Legacy HSM voor lokaal versleutelingsbeheer

Al jarenlang worden hardwareveiligheidsmodules gebruikt om encryptiesleutels veilig te beheren binnen de eigen datacenters van een organisatie. Deze hardware-apparaten, die ontworpen en gecertificeerd zijn als manipulatiebestendig en indringerswerend, bieden het hoogste niveau van fysieke beveiliging. Codes worden opgeslagen in de HSM, terwijl cryptografische bewerkingen veilig worden uitgevoerd binnen de module.

Als de feitelijke standaard voor encryption key management, bieden HSM’s een volledige reeks functies en administratieve functionaliteit, waaronder:

  • Levenscyclusbeheer: een HSM bewaakt versleutelingscodes gedurende elke fase van hun levenscyclus, inclusief creatie, import, export, gebruik, rotatie, vernietiging en controle.
  • Gecentraliseerd beheer: administratieve desktoptools beheren de levenscyclus op afstand en ondersteunen de scheiding van administratieve taken voor extra beveiliging.
  • Certificatie: HSM’s voldoen aan FIPS 140-2 level 3 validatiecriteria.
  • API’s: HSM’s staan de ondersteuning toe van Public-Key Cryptography Standard (PKCS) #11, Microsoft Cryptographic Application Programming Interface (CAPI), Cryptography API Next Generation (CNG), Java Cryptography Architecture (JCA), Java Cryptography Extension (JCE) en andere API’s voor integratie en ontwikkeling van applicaties op maat.

Beperkingen Legacy HSM in cloudomgevingen

Nu bedrijven overschakelen naar cloud implementaties en zich aansluiten bij meerdere cloud leveranciers, komen de beperkingen van legacy HSM naar voren. Denk hierbij aan de volgende punten:

  • HSM-keuze en locatie: Zullen cloud providers u toestaan uw lokale HSM’s te gebruiken of bent u verplicht de HSM’s te gebruiken die worden gehost in de datacenters van de cloudleverancier?
  • Connectiviteit: Zal de verbinding tussen de lokale HSM’s en de versleutelde data in de cloud zorgen voor onacceptabele vertragingen die de codering en decodering beïnvloeden?
  • Management instrumenten: Als u een contract afsluit met meerdere cloudproviders, bent u dan voorbereid op de inefficiëntie van het hebben van een verschillende set instrumenten voor elke provider voor HSM-versleutelingsbeheer?

Om de overgang van lokaal naar cloud encryption key management te vereenvoudigen en de uitdagingen die hiermee gepaard gaan te beperken, hebben veel cloudleveranciers key management services (KMS) ontwikkeld. Deze zijn gebaseerd op de sterke punten van Software-as-a-Service (SaaS).

Key management services voor cloud-omgevingen


KMS is functioneel vergelijkbaar met de services die worden aangeboden door HSM’s, met het bijkomende voordeel dat klanten versleutelingscodes kunnen beheren zonder zich zorgen te maken over de selectie of voorziening van HSM-apparatuur. Een KMS biedt gecentraliseerd beheer van de levenscyclus van de versleutelingscode plus de mogelijkheid om bestaande codes te exporteren en importeren. Het biedt ook een SDK (software development kit) die voldoet aan de Application Packaging Standard (APS) voor de ontwikkeling en integratie van applicaties.

Er hangen verscheidene voordelen aan het gebruik van KMS aangeboden door cloud leveranciers – de voornaamste is dat zij voortborduren op de bekende sterke punten van cloudplatformen:

  • Schaalbaarheid: Het cloudplatform heeft genoeg ruimte om bedrijfsgegevens, verwerking en geografische groei te ondersteunen.
  • Beschikbaarheid: Cloudproviders hebben aanzienlijke investeringen gedaan in de infrastructuur om de beschikbaarheid van de service te garanderen.
  • Integratie: Native integratie met andere diensten, zoals systeem

administratie, databases, opslag en development tools aangeboden door de cloudleverancier.

  • Bring Your Own Key (BYOK): Als een extra beveiligingsniveau vullen sommige cloudleveranciers hun KMS aan met een optie voor het gebruik van een externe HSM voor het opslaan van hoofdcodes.

KMS beperkingen in multi-cloud omgevingen

Als u een van de organisaties bent die een contract heeft met een enkele cloudprovider, dan kan de KMS-versleutelmethode uw beste keuze zijn. Toch zijn er onderzoeken, zoals het RightScale State of the Cloud Report, die aangeven dat een meerderheid aan ondernemingen een contract heeft met meerdere cloudleveranciers. In zo’n multi-cloudomgeving vervallen technische en economische voordelen van de cloud, doordat het ingewikkeld is om verschillende methodes van versleutelingsbeheer voor elke cloudomgeving te gebruiken.

Hoogstwaarschijnlijk kampt uw informatiebeveiligingsafdeling al met moeilijkheden wat betreft de naleving en handhaving van de steeds strengere regelgeving. U hebt een strategie nodig om encryption key management te vereenvoudigen zonder administratieve complexiteit toe te voegen. U wilt een consistente, gecentraliseerde en veilige manier om encryptiesleutels te beheren, idealiter één die speciaal is ontworpen voor multi-cloudomgevingen.

HSM as a Service— eenvoudig, veilig en schaalbaar

HSM as a Service is een alternatief voor lokale HSM of KMS van de cloudprovider. Het is ideaal voor ondernemingen die zowel beveiliging van versleutelingsbeheer op HMS-niveau nodig hebben als de consistentie van een enkele administratieve omgeving willen. Ongeacht de locatie van de versleutelingscodes. HSM as a Service, biedt opslag voor versleutelingscodes op HSM-niveau zonder de noodzaak om de apparatuur aan te schaffen. Daarbij kan het snel worden geïmplementeerd en makkelijk worden geschaald om gegevens, processen en geografische groei te ondersteunen.

HSM as a Service biedt overeenkomstige functies en functionaliteiten als een KMS en beschikt over verschillende extra mogelijkheden om de sterke punten van cloudproviders aan te vullen:

  • Multi-cloud en hybrid-cloudmogelijkheden: Consistente, gecentraliseerde besturing en beheer, ongeacht de locatie van de data.
  • BYOK ondersteuning: Kan uw bestaande encryptiecodes incorpereren.
  • Cryptografische bescherming: Alleen geautoriseerde gebruikers hebben toegang tot gecodeerde sleutels.
  • Certificatie: Biedt FIPS 140-2 Level 3 validatie zonder de plicht HSM-apparatuur aan te schaffen.
  • Cloudvriendelijke API’s: Ondersteunt PKCS #11, CNG, JCE, Key Management Interoperability Protocol (KMIP) en RESTful API’s voor de ontwikkeling en integratie van applicaties. Een voorbeeldcode wordt ook verstrekt.
  • Beveiliging en vertraging: Encryptiesleutels worden apart, maar dichtbij bij de data opgeslagen om vertraging te verminderen en een extra bescherming te bieden tegen gegevensinbreuk.
  • Connectiviteit: Beschikbaar via publiek internet met toegang tot meerdere cloud- en netwerk service providers. Ook beschikbaar via een privaat backbone-netwerk in wereldwijde datacenters.

Oplossingen voor encryption key management: Maak uw langetermijncloudstrategie leidend

Het kiezen van de optimale versleutelingsstrategie en implementatiemiddelen kan een eenvoudig proces zijn. Als u een private of hybride cloudomgeving binnen uw eigen datacenter hebt, hebt u al HSM’s met bestaande encryptiesleutels. Als u die omgeving in de nabije toekomst wilt behouden, is het logisch dat u op dezelfde koers blijft. Maar ook als u een contract hebt afgesloten met een enkele cloud service provider en geen langetermijnplannen hebt om verder te gaan dan die provider, is de KMS van die provider een voor de hand liggende keuze. Of beter nog: hun KMS, ondersteund door hun HSM’s.

Toch doet u er goed aan om als alternatief de voordelen van HSM as a Service te overwegen. Het kan de kosten en overhead van het leveren van HSM’s in uw datacenter elimineren naarmate uw gegevens- en verwerkingsbehoeften toenemen. In tegenstelling tot KMS kan het een extra beveiliging tegen inbreuk bieden door de encryptiesleutels gescheiden te bewaren van de gecodeerde gegevens die zijn opgeslagen door uw cloudprovider.

Als u tot de meerderheid van de ondernemingen behoort die met verschillende cloud service providers samenwerkt, is HSM as a Service de efficiëntste manier om uw encryptiesleutels op verschillende cloudplatformen te beheren. Ook als u verwacht dat uw private, hybride of enkelvoudige cloudleverancierstrategie snel zal evolueren naar een multi-cloudstrategie, kan HSM as a Service de beste keuze zijn. Onderstaande grafiek bevat aanbevelingen voor de beste oplossing voor versleutelingsbeheer op basis van uw langetermijncloudstrategie:

Ontdek de voordelen van het gebruik van SmartKey voor encryption key management. Het HSM-as-a-Service-model van SmartKey vereenvoudigt de voorziening en besturing van beveiligde opslag van encryptiesleutels; SmartKey biedt ook coderings- en tokenization-diensten om aan de prestaties de optimaliseren en te voldoen aan de compliance-eisen. U kunt eenvoudig aan de slag: u hoeft zich alleen maar aan te melden voor een gratis proefversie en u bent op het goede spoor voor een beter beheer van encryptiesleutels.

Imam Sheikh
Imam Sheikh Senior Director, Security Products