Definition: HSM-as-a-Service ist ein cloudbasierter HSM-Dienst. Er ermöglicht es dem Benutzer, Verschlüsselungsschlüssel zu generieren und sicher zu speichern, ohne dass Wartungsaufgaben wie Einrichtung, Auswertung und Upgrades durchgeführt werden müssen oder das HSM vor Ort verwaltet werden muss, was zu erheblichen Kosten und Betriebsaufwand für Mitarbeiter und Unternehmen führen kann.
HSM-as-a-Service
Hardware-Sicherheitsmodule sind ein wichtiger Bestandteil der kritischen Infrastruktur eines Unternehmens, da sie den Kunden dabei helfen, regulatorische oder Zertifizierungsanforderungen zu erfüllen.
HSM-as-a-Service sind in verschiedenen Konfigurationen möglich. Sie können als vollständig oder teilweise gemeinsam genutzte oder dedizierte HSM bereitgestellt werden. Verwaltungsfunktionen wie die Schlüsselverwaltung können Teil der Servicelösung sein oder vom Kunden im Rechenzentrum des Kunden, als Teil eines erweiterten HSM-Dienstes oder in einer anderen Cloud durchgeführt werden. Um ein sichereres Niveau der Mandantenfähigkeit („starke Mandantenfähigkeit“) zu erreichen, können sie als Mandanten in einem HSM-Container bereitgestellt werden, der je Mandant nach FIPS 140-2 Stufe 3 abgesichert ist. Solche Container bieten je Mandant individuelle Richtlinien und Firmware und nutzen die Skalierbarkeitsvorteile der Cloud.
Die Sicherheit, Compliance und Zuverlässigkeit des bereitgestellten HSM-Dienstes kann erheblich variieren und ist abhängig von:
- dem Schutzniveau des Moduls, das in FIPS 140-2 definiert ist
- dem Schutzniveau der angebotenen Infrastruktur (Netzwerk- und Perimeterschutz, logische Mandantentrennung, Verschlüsselung bei der Übermittlung, Firewalls, DDoS-Schutz, physischer Schutz des betreffenden Gebäudes)
- der Frage, ob der Dienst durch ein Backup an einem anderen Ort gesichert wird
- den vom Hoster eingesetzten Sicherheits- und HR-Verfahren
- den Verfahren zur Überwachung und Überprüfung des Systemzustands, wie beispielsweise regelmäßige Schwachstellentests und automatisierte Penetrationstests
- der Einhaltung branchenüblicher Vorschriften und Standards
- dem Gerichtsbarkeitsbereich, in dem der Dienst gehostet wird (und ob dieser Bereich mit dem Standort des Kunden identisch ist)
Utimaco stellt HSM-Lösungen zur Verfügung, die sowohl PCI HSM- als auch FIPS 140-2-konform sind. Utimaco bietet sowohl Remote-HSM als auch HSM as a Service-Infrastruktur an, die den strengen Infrastruktur-Sicherheitsstandards und Zertifizierungsverfahren entsprechen.
Wichtiger Hinweis
Neben dem lokal bereitgestellten (On-Premise) HSM-Ansatz bieten zahlreiche Cloud-Service-Anbieter und HSM-Gerätehersteller Hardware Security Module "as a Service" oder Managed Services an. Es ist jedoch wichtig zu beachten, dass die Verwendung dieser verwalteten oder Cloud-Dienste universelle HSM-Vorrichtungen bereitstellt, die für die Integration in PCI-DSS-Umgebungen vorteilhaft sein können, aber nicht für die Verwendung in PCI-PIN-, PCI P2PE- oder PCI 3DS-Umgebungen geeignet sind. MYHSM von Utimaco umfasst ein vollständig verwaltetes, Cloud-basiertes HSM (HSM as a Service) in einem PCI-PIN-konformen, bankengerechten Umfeld.