Hardware criptográfico en la nube

Un HSM (Hardware Secure Module) es un componente hardware con funciones criptográficas específicas que tiene dos características fundamentales:

  • Permite acelerar las operaciones criptográficas típicas como el cifrado, descifrado, firma, etc.
  • Tiene un encapsulado de seguridad certificado que hace que sea imposible ver lo que está sucediendo en su interior, ni siquiera físicamente.

Los HSM típicamente se utilizan para desarrollar soluciones ad-hoc en las que la introducción de este componente seguro garantiza la confidencialidad en un entorno no confiable. Sin embargo, programándolo de forma adecuada y combinádolo con tecnologías Cloud, es posible ofrecerlo como servicio para ser utilizarlo de forma compartida y ubicua, ganando en flexibilidad y permitiendo reducir costes. Esto proporciona un espacio seguro en la nube para gestionar claves y datos de forma segura sin que el propio proveedor ni ningún atacante puedan acceder a tu información privada.

Procesado seguro de datos sensibles en las infraestructuras cloud por medio de CryptoNodes basados en HSMs

Cuando trasladamos datos privados a la nube es muy importante la forma en que esos datos van a ser gestionados y protegidos ante posibles ataques. Las comunicaciones están generalmente cifradas (por ej. con SSL) y en muchos casos la información sensible es también almacenada cifrada en un almacenamiento cloud. Sin embargo, el problema real aparece cuando los datos tienen que ser proceados en la nube. Existen acuerdos legales entre proveedores cloud y las empresas que hacen uso de su infraestructura, aunque dichos acuerdos son diferentes para cada país y no ofrecen una protección preventiva, sino una compensación en aquellos casos en los que los datos se vean comprometidos.

Muchas empresas intentan resolver este problema trasladándose a clouds privados. Los clouds privados son más cercanos a las empresas y generalmente proporcionan soluciones a medida basadas en los mecanismos de seguridad que ofrecen los proveedores. Este esquema obliga a las empresas a confiar en estos proveedores de cloud privados, pero no garantiza la seguridad de los datos:

  • Las empresas pueden firmar acuerdos para evitar que los proveedores accedan a sus datos sensibles, pero ellos realmente pueden hacerlo. Además, los proveedores no pueden garantizar completamente la protección de datos ante intrusos.
  • Los proveedores pueden ofrecer cifrado a las empresas, pero ellos manejarán las claves, de modo que las empresas necesitan confiar en ellos igualmente. En cualquier caso, los datos sensibles quedarían expuestos durante su procesado en la nube.
  • Los clientes pueden aplicar sus propios mecanismos de seguridad, evitando que el proveedor gestione las claves, pero aún así los datos todavía estarían expuestos durante su procesado en la infraestructura cloud.

Para resolver estos problemas, hemos introducido los CryptoNodes. Un CryptoNode es un servidor cloud equipado con un  hardware criptográfico (Hardware Security Module o HSM), donde es posible realizar operaciones con datos cifrados recibidos directamente desde los clientes desde fuera del cloud. Los datos son descifrados solamente dentro del HSM para ser procesados, pero la certificación de seguridad FIPS 140-2 nivel 3 de los HSMs garantiza que es totalmente imposible acceder a esta información, ni si quiera físicamente. De esta forma las empresas no necesitan confiar en los proveedores de cloud con CryptoNodes, puesto que son ellas quienes manejan las claves de cifrado y envían los datos privados cifrados directamente a los HSMs de los CryptoNodes para su procesado seguro.

criptonube

Soluciones
Productos
Contactar

FacebookTwitterGoogle+LinkedIn