Google在其Cloud Next發表了多項雲端安全性服務,其中一項便是雲端託管硬體安全模組HSM(Hardware Security Module)服務,讓用戶可以託管加密金鑰以及執行加密操作,並且與金鑰管理服務(KMS)整合 ,讓用戶使用硬體所建立並保護的金鑰變得非常簡單。

Cloud HSM是在GCP上即將要推出的硬體安全模組服務,透過在雲端上託管,免除企業自行管理HSM叢集的麻煩,不再需要進行擴展或是安全性修補的成本支出,透過API就能操作並自動化使用Cloud HSM服務。Cloud HSM支援對稱與非對稱金鑰,用戶可以使用對稱的AES-256,以及RSA 2048、RSA 3072、RSA 4096、EC P256以及EC P384非對稱加密金鑰來加解密與進行簽章作業。

Google強調,Cloud HSM經過美國政府電腦安全標準FIPS 140-2等級3認證。該項用來認證加密模組的標準,總共有四個等級,而等級三的FIPS 140-2除了包含等級1最基本的加密模組,像採用受認證的演算法或是安全功能外,還加上等級2物理防竄改機制,在等級3階段還多了防止駭客存取關鍵安全參數(CSPs)的加密模組,其所提供的物理安全機制能檢測和回應物理存取、使用與修改。

Cloud HSM與原本的Cloud KMS服務緊密整合,用戶可以在Cloud HSM中建立並儲存客戶管理式的加密金鑰,而這也讓在硬體中建立和保護金鑰的過程變得簡易,並且可以與諸如BigQuery、Google Compute Engine、Google Cloud Storage以及DataProc等與客戶管理式加密金鑰(CMEK)整合的服務一併使用。而且使用Cloud HSM來建立以及使用的金鑰都無法從HSM叢集中刪除,而且金鑰創建過程,也會產出證明Token,用來驗證HSM生成的來源。

而該服務將在全球多個位置與區域中可用,允許用戶將服務放至在需要的位置,以降低延遲與提高可用性,一旦用戶在特定區域建立了金鑰,則該金鑰便會被綁定到該區域的硬體上加以保護。


Advertisement

更多 iThome相關內容