Precisamente los proveedores de servicios de confianza, son organizaciones que realizan operaciones jurídico-tecnológicas para garantizar la integridad y autenticidad de documentos, firmas, archivos e incluso identidades digitales. Estos proveedores de confianza pudieran ayudarnos a crear, validar y enviar una factura electrónica, además de ser una entidad de confianza entre nuestra empresa y la autoridad fiscal. De igual manera, pudieran otorgarnos una identidad en línea mediante un certificado digital que contiene nuestra información y nuestra huella o identidad digital para realizar operaciones como la de firma de un contrato o la digitalización de nuestro archivo muerto.
Para los proveedores de confianza, como en el caso de una entidad acreditadora (Certification Authority), hemos observado dos principales tendencias de ciberseguridad que han cobrado fuerza para impactar su infraestructura de seguridad. Podemos destacar la implementación de nubes híbridas y equipos con altos estándares de seguridad como lo son los Hardware Security Modules (HSM), con los que, además de cumplir con requerimientos gubernamentales, garantizan a sus clientes la seguridad e integridad del material criptográfico más sensible.
Los HSM han evolucionado desde su creación, dejando de ser equipos grandes y de operación compleja a convertirse en equipos ligeros, dinámicos y de manejo amigable, contribuyendo a la reducción de tiempos y complejidad en la implementación de este tipo de dispositivos. Es así como FutureX ha revolucionado la implementación de los Hardware Security Modules en un entorno corporativo a través de su tecnología para la virtualización de estos equipos criptográficos (HSM Virtual).
En una solución que por su misma naturaleza normalmente ve muy poca innovación o evolución más allá de los estándares exigidos, FutureX ha desarrollado una tecnología innovadora. Con la virtualización de este tipo de soluciones, podemos convertir nuestro HSM físico en hasta 20 HSM Virtuales independientes, brindando una mayor seguridad a nuestra información más sensible. Con cada equipo virtual, obtienes su propia llave maestra, custodios (quorum) y tokens criptográficos independientes, aislando todos los controles de seguridad y acceso a los HSM.
Asimismo, permite la virtualización de servicios criptográficos (manteniendo tanto las políticas de FIPS 140-2 nivel 3, como el cumplimiento de PCI) implementando múltiples entornos con HSM Virtual para la separación de funciones como por ejemplo la emisión/validación de transacciones.
Pasemos de la teoría a la aplicación de esta tecnología en la vida real. Analicemos la implementación de virtualización con diferentes casos de uso.
Pero en muchas ocasiones estos proveedores tienen en su sitio productivo un HSM para satisfacer toda la transaccionalidad de estas instancias del aplicativo (Fig1.1); al solo contar con una instancia, ¿qué pasaría al momento de actualizar el firmware de ese HSM? Esta arquitectura nos lleva a no solo bajar el HSM, sino que también el pool de aplicaciones accediendo a ese equipo, obligándolos a que toda la transaccionalidad sea redirigida a un entorno DRP (Fig1.2). En este caso, las arquitecturas del aplicativo multi-instancia se van a un solo HSM.
Pero en muchas ocasiones estos proveedores tienen en su sitio productivo un HSM para satisfacer toda la transaccionalidad de estas instancias del aplicativo (Fig1.1); al solo contar con una instancia, ¿qué pasaría al momento de actualizar el firmware de ese HSM? Esta arquitectura nos lleva a no solo bajar el HSM, sino que también el pool de aplicaciones accediendo a ese equipo, obligándolos a que toda la transaccionalidad sea redirigida a un entorno DRP (Fig1.2). En este caso, las arquitecturas del aplicativo multi-instancia se van a un solo HSM.
Otro caso de implementación podría ser un proveedor de confianza ofreciéndole servicios especializados a un cliente que requiere el resguardo de llaves criptográficas ligadas al procesamiento o servicio de algún aplicativo.
Otro caso de implementación podría ser un proveedor de confianza ofreciéndole servicios especializados a un cliente que requiere el resguardo de llaves criptográficas ligadas al procesamiento o servicio de algún aplicativo.
Al tener este servicio de virtualización, proveemos un mayor nivel de seguridad entre las llaves que nos otorga ese cliente para su custodia. Si las almacenamos en una base de datos, directorio o alguna parte del aplicativo, estas quedan expuestas a terceros que podrían acceder a ellas. Con la tecnología de virtualización, podríamos crear para cada cliente su propio HSM Virtual que resguarde exclusivamente sus llaves y tenga una bitácora que registre sus transacciones; esto provee un nuevo nivel de seguridad para ese cliente al separarlo íntegramente de todos los procesamientos de otros clientes o sistemas que tenemos almacenados en nuestro HSM.
Como verás, la implementación de la tecnología de virtualización que ofrece FutureX, puede ayudar a los proveedores de confianza a robustecer su arquitectura de procesamiento y proporcionar a sus clientes un entorno más seguro para las llaves y transacciones sensibles, ofreciéndoles un HSM Virtual sobre el mismo dispositivo con el que opera actualmente.
Xaviero Cervera
Director de Proyectos
Para CEGA Security: Tania López
+52 9988007295
Para Futurex: Kelly Stremel
+1360-687-1332
Muy interesante la virtualización de los HSM, voy a consultar si la Ley Chilena, mas bien, en las Guías de Acreditación para PSC me permiten tener el HSM virtualizado y fuera de territorio; me gustaría saber un poco mas al respecto ya que nos estamos constituyendo y ser PSC es un foco de interés.
proximamente en http://www.acredita.org