Definición: HSM as a Service es un servicio de HSM basado en la nube. Permite al usuario generar claves de cifrado y almacenarlas de forma segura, al tiempo que elimina la necesidad de llevar a cabo tareas de mantenimiento como la configuración, la evaluación y las actualizaciones, o la necesidad de gestionar el HSM in situ, lo que puede suponer importantes costes y gastos operativos para los empleados y las organizaciones.
Explicación de HSM-as-a-Service
Los módulos de seguridad de hardware son una parte importante de la infraestructura crítica de una organización, ya que ayudan a los clientes a cumplir los requisitos normativos o de certificación.
Los HSM as a Service pueden tener distintas configuraciones, como HSM total o parcialmente compartidos o dedicados. Las funciones de gestión, como la gestión de claves, podrían formar parte de la solución de servicio o ser realizadas por el cliente en su centro de datos, como parte de un servicio HSM ampliado o en una nube diferente. Para generar un nivel más seguro de multiarrendamiento ("multiarrendamiento fuerte"), pueden proporcionarse como arrendatarios en HSM en contenedores, protegidos por FIPS 140-2 Level 3 por arrendatario. Estos contenedores proporcionan políticas y firmware individuales por inquilino y ofrecen las ventajas de escalabilidad de la nube.
La seguridad, la conformidad y la fiabilidad del servicio HSM prestado pueden variar significativamente y dependen del:
- nivel de protección del módulo que se define en FIPS 140-2
- el nivel de protección de la infraestructura ofrecida (protección de la red y del perímetro, separación lógica de inquilinos, cifrado en tránsito, cortafuegos, protección DDoS, protección física del edificio de alojamiento)
- si está respaldado por un servicio de copia de seguridad en una ubicación diferente
- procedimientos de seguridad y RRHH aplicados por el hoster
- procedimientos de supervisión y verificación de la salud del sistema, como pruebas periódicas de vulnerabilidad, pruebas de penetración automatizadas
- cumplimiento de los reglamentos y normas del sector
- el área de jurisdicción donde se aloja el servicio (y si esta área coincide con la ubicación del cliente)
Utimaco es capaz de proporcionar soluciones HSM que son compatibles con PCI-HSM, así como con FIPS 140-2. Utimaco ofrece HSMs remotos así como infraestructura HSM-as-a-Service siguiendo estrictos estándares de seguridad de infraestructura y procedimientos de certificación.
Nota Importante
Aparte del enfoque HSM desplegado localmente (on-premise), numerosos proveedores de servicios en la nube y fabricantes de dispositivos HSM ofrecen módulos de seguridad de hardware "como servicio" o servicios gestionados. Sin embargo, es importante tener en cuenta que el uso de estos servicios gestionados o en la nube proporciona dispositivos HSM de uso general que pueden ser beneficiosos para la integración con entornos PCI DSS, pero no son adecuados para su uso en entornos PCI PIN, PCI P2PE o PCI 3DS. MYHSM de Utimaco proporciona HSM basado en la nube totalmente gestionado (HSM-as-a-Service) en un entorno de grado bancario que cumple con PCI PIN.