安全工作事半功倍秘籍分享

　　HSM 通过为广泛的应用程序提供保护加密密钥和配置加密、解密、身份认证和数码签名服务，为交易、身份资料和应用程序提供保护。课课家教育平台提醒各位：本篇文章纯干货~因此大家一定要认真阅读本篇文章哦!

　　在企业中使用基于云的HSM是安全好处与风险并存的。专家在这里介绍了支持和反对使用云HSM的两种声音。

　　SoftLayer于近期发布了一款名为Cloud HSM的产品，这是一个用于在云中确保密钥安全管理的工具。AWS也有类似的产品，也就是CloudHSM，而微软Azure用户可以使用Azure Key Vault。密钥管理是安全的一个重要组成部分，但是云存储会带来新的安全问题，例如访问硬件安全模块平台，开发或暴露的接口和API，等等。在使用基于云的HSM之前，云服务供应商的客户们应当理解在云保存密钥的好处和风险。此外，并不是所有的HSM产品都具有相同的安全性。

　　基于云HSM的好处：

　　使用HSM的好处多多，这与是否基于云并没有多大关系。这些系统通常都是专为满足要求严格的政府和法规标准(如FIPS 140-2)而设计的，它们往往有强大的访问控制和基于角色的权限模式、支持快速加密运算和物理防篡改的专用硬件以及用于访问的灵活API选项。

　　如果这听上去很美以至于难以相信其真实性，那么它只是可能而已;HSM平台的安装和配置是非常困难的，它要求较多的管理和运行开销，同时它也是异常昂贵的。云中的HSM也通常是非常昂贵的，但所需的配置和开销较少，这是因为云计算供应商是在他们的数据中心内维护物理设备的。

　　从积极方面来看，使用HSM是保存加密密钥和管理密钥生命周期最使用的安全措施，这一点也同样适用于云。目前，使用云HSM是任何具有较高合规性要求的组织使用云服务的标准做法。如果云供应商没有提供这些工具和功能，那么他们会失去来自于政府、财务和医疗保健客户的合同，因为这些客户都对所有密钥材料有较高的保护性措施要求。

　　使用基于云HSM的唯一真正选择就是对云中的应用程序和基础设施进行架构设计以便于使用内部托管的加密密钥，当然理想情况是在HSM平台中。对于重点关注性能和可扩展性的企业用户来说，这简直是非常难使用和不切实际的。

　　基于云HSM的缺点：

　　基于云HSM的主要缺点有三。首先，它为云部署带来了较多的成本支出，对于那些希望通过使用云来达到成本节省的企业来说，这就意味着难以接受。其次，管理HSM运行和生命周期要求使用专用资源和进行整合，所以运行能力也被证明是一个问题。最后，同时从安全性角度来说，可能也是最重要的是安全团队将需要评估如何在HSM中生成和存储密钥。此外，一些HSM平台和服务供应商可为租户提供在场外生成他们自己密钥以及之后将生成密钥倒入云HSM的能力。这通常就是所谓的BYOK加密服务。

　　理想情况下，任何基于云的HSM都允许租户通过内部HSM或其他工具集上传和同步密钥，它们也提供了丰富的API集和调试工具以实现快速收扩和部署工作流程自动化。此外，从安全性角度来看，内部HSM和基于云HSM的直接连接可能是非常理想的，这是因为这种方式从根本上杜绝了云供应商工作人员看到密钥数据的可能性。但是，这也意味着云供应商在发生主密钥丢失或损坏情况下也无法提供恢复功能;任何考虑使用BYOK选项的企业用户都应当记住，所有的密钥生成和生命周期管理的重担现在也都落到了他们的肩上。

　　由于大多数主要的云供应商都在他们的基础设施即服务和平台即服务云环境中提供了HSM工具和服务，那么这些系统的应用在不久的将来也会有所发展。但是，与大多数安全措施一样，云HSM也不是包治百病的灵丹妙药，它需要认真规划、实施和执行以便于真正达成安全好处。

　　干货分享：

　　SafeNet HSM 的有什么独特之处?

　　SafeNet HSM 通过大量的操作经验开发新功能并加以运用，在硬件、软件和操作上都实施了最佳实践，使安全 HSM 的部署变得尽量简单。

　　SafeNet HSM 符合严格的设计要求，且必须通过严格的产品验证测试，然后通过真实世界应用测试验证每台设备的安全性和完整性。

　　借助 SafeNet 硬件安全模块，您可以：

　　1、降低专用加密处理器的负载并加速加密操作，避免瓶颈并最大化应用程序性能

　　2、从生成、分发、旋转、存储、终止和存档各个阶段，使用专用、高度安全的设备集中管理加密密钥生命周期

　　3、Luna SA 是纸质向数字化过渡、PCI DSS、数码签署、DNSSEC、硬件密钥存储、事务加速、证书签署、代号或文档签署、批量密钥生成、数据加密等解决方案提高盈利能力并实现合规性。

　　选择您的硬件安全模块：

　　通用 HSM

　　SafeNet 的 Luna 通用 HSM 可提供多种形式和性能选项，保护交易、应用程序和敏感数据中使用的加密密钥的安全。

　　SafeNet 通用 HSM：

　　Luna SA：一款网络连接 HSM，可保护组织内部、虚拟和云环境中应用程序使用的密钥。

　　Luna PCI-E：一款嵌入式 HSM，可保护加密密钥并加速敏感加密操作。

　　Luna G5：一款 USB 连接 HSM，是在离线密钥存储设备中保存根密钥的理想选择。

　　自定义 HSM：

　　ProtectServer 硬件安全模块产品系列：

　　ProtectServer HSM 为应用程序开发商提供了灵活的选择，使其能够创建自己的固件并在 HSM 的安全范围内执行。该工具包作为功能性模块是开发和部署自定义固件的综合设施。

　　Luna SP 使开发人员能够在受保护且可靠的安全设备中安全地部署 Web 应用程序、Web 服务和其他 java 应用程序。

　　小结：硬件安全模块 (HSM) 是专为保护加密密钥生命周期而设计的专用加密处理器。硬件安全模块通过在可靠且防篡改的设备中安全地管理、处理和保存加密密钥，已成为为世界上具有最高安全意识的组织保护加密基础设施的信赖起点。更多内容，尽在课课家!