우리 회사의 직원 개인 키 중 하나가 손상되어 회사에 심각한 결과를 초래했습니다. 현재 회사는 공개/개인 키 관리를 계획하고 있습니다. 임 씨는 어떻게 대기업이 Google을 좋아하는지 궁금합니다. 아마존은 주요 관리를 수행합니다. 그들은 중앙화를 위해 타사 응용 프로그램을 사용합니까? 또는 조직에서 구현할 PKI 정책 세트를 사용하여 수행합니다. 주요 수명주기를 관리하는 방법은 무엇입니까?대기업이 Google, amazon과 같은 방식으로 개인 키 인프라를 관리하는 방법은 무엇입니까?
감사합니다.
나는 그들이 매우 다른 방식으로 그것을한다고 믿지만, 이것을위한 많은 해결책이있다. AWS 관점 들어, 난 당신이 AWS 클라우드 HSM, 보안 키 관리를위한 서비스로 제공된 하드웨어 보안 모듈을 살펴 보시기 바랍니다 것입니다 : 당신이 보안에 대해 정말 편집증 경우 https://aws.amazon.com/cloudhsm
안녕하세요, Julio, aws cloudhsm이 유망 해 보이지만 우리가 찾고있는 조직은 우리가해야 할 조직입니다 githubs에 대한 키 및 기타 계정 수를 관리합니다. 중앙 집중식 키 관리를 위해 다른 제 3 자 서비스를 찾았지만 비용이 많이 들지 않습니다. 더 많이 제안 할 수 있니? – user3392188
매우 상황에 따라 달라집니다 ... 때로는 dropbox 또는 lastpass와 같은 매우 간단하고 저렴한 솔루션이 트릭을 수행 할 수 있습니다. 때로는 값 비싸고 복잡한 시스템이 실제로 필요합니다 ... –
을, 당신은 저장하지 않습니다 개인 키를 파일 시스템에 저장하면 하드웨어에 저장됩니다. SafeNet 또는 Thales/nCipher 같은 회사의 HSM (하드웨어 보안 모듈)은 제품 암호화 키를 사용하도록 설계된 물리적으로 강화 된 보안 장비입니다. HSM에서 키가 생성되면 제거 할 수 없습니다. 즉, 키를 추출하여 다른 곳에서 복사하여 악의적 인 용도로 사용할 수는 없습니다. 또한 공격자가 어플라이언스를 해킹 할 수 없도록 설계된 운영 체제와 소프트웨어를 강화했습니다. 로그인 실패 횟수가 너무 많습니까? 장치가 내용물을 안전하게 지 웁니다. 상자를 열어 키를 누르고있는 플래시 메모리를 제거하려고 시도합니까? 물리적 인 하드웨어 구성 요소에는 에폭시가있어 결국 파손될 것입니다.
또한 이러한 장치에는 일반적으로 암호화 작업이 수행되는 속도를 높이기위한 암호화 가속기가 포함됩니다. 또한 PKCS # 11 또는 JCE와 같은 표준 기반 API를 포함하는 경향이 있으므로 Apache 또는 Java JVM과 같은 다른 소프트웨어와 쉽게 통합 할 수 있습니다.
HSM은 저렴하지는 않지만 암호화 자료의 보안이 정말로 염려되는 경우,이를 보호하는 방법입니다.
"회사 직원의 개인 키 중 하나" 예를 들어 TLS 클라이언트 인증서 나 서명 된 전자 메일의 경우 직원 당 개인 키가있는 경우 HSM은 나쁜 모델이며 스마트 카드를 사용하는 것이 좋습니다. Thales HSM에서 수천 개의 키를 사용할 수 있으며 스마트 카드 나 암호 또는 둘 모두에 의해 개별적으로 제어되는 액세스가 가능합니다. 웹 서버 인증서 또는 코드 서명 키와 같은 경우 HSM이 더 적합합니다. HSM은 스마트 카드 프로비저닝 아키텍처의 일부로 사용될 수도 있습니다. – armb
나는이 게시물에 분노를 표시하는 프로그래머를 많이 느낀다. 프로그래밍과 관련이 없으므로 serverfault.com에 문의해야한다. – jariq