FAQ - Frequently Asked Questions

 

Allgemeines | Bereitstellung und Betrieb | Support und Wartung


Allgemeines

  • Was ist Clouds HSM?

    Bei Anwendungen und Daten, welche strenge gesetzliche, regulatorische und vertragliche Vorschriften erfüllen müssen, müssen kryptographische Schlüssel je nach dem besonders geschützt werden. Clouds HSM wird diesen Anforderungen gerecht und macht es möglich, Verschlüsselungsschlüssel mittels eines physischen HSM zu schützen, ohne eigene Hardware zu beschaffen.
    Clouds HSM-Kunden erhalten eine eigene Partition (User Space) auf einem HSM-Cluster, den Securosys betreibt. Die Partition ist nur dem jeweiligen Kunden zugänglich. Er hat die volle Kontrolle über seine Schlüsseldaten.

  • Was ist ein HSM?

    Ein Hardware-Sicherheitsmodule (HSM) ist eine Hardware-Appliance, die eine sichere Schlüsselspeicherung und kryptografische Vorgänge in einem manipulationssicheren Hardwaregerät ermöglicht. HSM dienen der sicheren Speicherung und Verwendung kryptografischer Schlüsselinformationen, ohne dass diese außerhalb der kryptografischen Begrenzung der Appliance preisgegeben werden.

  • Was kann ich mit Clouds HSM tun?

    Clouds HSM ist für eine Vielzahl von Anwendungsfällen geeignet: Public Key Infrastructure (PKI), Dokumenten-Signierung, Datenbank-Verschlüsselung, Code-Signierung, Transaktionssicherung etc. Hier finden Sie Informationen zu Anwendungen.

  • Wie funktioniert Clouds HSM?

    Nachdem der Krypto-Provider installiert und konfiguriert wurde, wird automatisch eine Verbindung mit der Partition im HSM-Cluster des Clouds HSM Service hergestellt. Sie ist kryptografisch gesichert. Die Synchronisierung und der Lastenausgleich zwischen den HSM, welche dem Service-Paket entsprechen, geschieht automatisch. Sollte ein HSM-Standort nicht erreichbar sein, schaltet der Provider automatisch auf den anderen Standort um.

  • Welche Anwendungen können Clouds HSM nutzen?

    Anwendungen können die durch Clouds HSM unterstützten Standard-APIs verwenden. Dabei spielt es keine Rolle, ob die Anwendungen auf der eigenen Infrastruktur laufen oder aus einem anderen Clouds Service betrieben werden. Die Verbindung mit Clouds HSM stellt der Krypto-Provider für Java JCE, Microsoft CNG, PKCS#11 her.

  • Wann sollte ich Clouds HSM benutzen?

    Die Verwendung von Clouds HSM empfiehlt sich, wenn Sie Folgendes benötigen:
    -    Speicherung von Schlüsseln in HSM
    -    FIPS 140-2-Konformität
    -    Integration in Anwendungen über PKCS#11-, Java JCE- oder Microsoft CNG-Schnittstellen
    -    Leistungsstarke kryptografische Beschleunigung

  • Ist Clouds HSM FIPS 140-2-konform?

    Der Clouds HSM Service beruht auf FIPS 140-2 Level 3 konformen physischen HSM, welche mit einer Firmware betrieben werden und zusätzliche Leistungsmerkmale bietet (z.B. zusätzliche Kryptografische Funktionen). Sollte für Sie der Betrieb der HSM im FIPS 140-2 Modus relevant sein, so kontaktieren Sie uns bitte.

  • Was sind die ersten Schritte im Clouds HSM?

    Die wichtigsten Informationen zu den ersten Schritten finden Sie im „Clouds HSM User Guide“

  • Wie kündige ich den Clouds HSM Service?

    Das Clouds HSM Service Paket ist jeweils mit einer Frist von einem Monat vor Ablauf der Vertragslaufzeit schriftlich zu kündigen.

  • Wie wird Clouds HSM fakturiert?

    Der Clouds HSM Service hat eine minimale Laufzeit von 12 Monaten, wahlweise mit viertel- / halb- oder jährlicher Fakturierung.

Bereitstellung und Betrieb

  • Wie richte ich den Zugang meiner Anwendung mit Clouds HSM ein?

    Nach initialer Konfiguration der HSM-Partition (User Space) durch Securosys erhalten die Kunden die Zugangsdaten. Informationen zur Installation und Konfiguration des Krypto-Providers sind im „Clouds HSM User Guide“ festgehalten.

  • Wer richtet die HSM Partition ein?

    Die Partition (User Space) auf dem HSM wird durch Securosys nach Kundenvorgaben eingerichtet, gemäss Service-Bestellung.

  • Wer ist für die Beständigkeit von Schlüsseln zuständig?

    Schlüssel werden permanent innerhalb des HSM-Clusters synchronisiert und so redundant gehalten. Für die Beständigkeit und Backup von Schlüsselmaterial ist ausschliesslich der Kunde selbst verantwortlich. Schlüssel können aus dem Cluster exportiert und lokal gesichert werden, sofern siel als exportierbar generiert wurden. Derzeit sind keine anderen Sicherungsoptionen verfügbar.

  • Muss ich die Firmware auf dem HSM verwalten?

    Nein, die Firmware auf der Hardware wird durch Securosys verwaltet.

Support und Wartung

  • Wie erfolgt die Wartung der HSM?

    Routinewartungsarbeiten werden nie gleichzeitig in beiden Rechenzentrenstandorten (Availability Zones) durchgeführt. Dadurch bleibt der Service bei diesen Arbeiten erreichbar.
    Zum Aktualisieren, Ersetzen oder für Tests muss mitunter ein Gerät entfernt werden oder der Cluster aufgebrochen werden. Dieser Eingriff dauert in der Regel nur wenige Minuten, eine Performanceeinbusse kann aber während dieser Zeit auftreten. In gewissen Fällen ist das Anlagen von neuen Schlüsseln dann nicht möglich.
    HSM Firmware Updates werden zuvor angekündigt und zuerst auf SBX ausgerollt. Im Abstand von einem Monat werden die Produktivsysteme (ES, ECO) aktualisiert. So können Kunden ihre Systeme auf dem SBX vor Umstellung testen.
    Nicht planbare, dringende Wartungsarbeiten werden ohne vorherige Benachrichtigung durchgeführt.

  • Ich habe ein Problem mit Clouds HSM. Wo kann ich mich melden?

    Kontaktieren Sie den Clouds HSM Support. Wir sind gerne für Sie da. Die Support- und Antwortzeiten sind definiert über das Servicepaket, für das Sie sich entschieden haben. Als Kunde haben Sie Zugang zu unserem Supportportal. Alternativ können Sie uns ein E-Mail schicken oder anrufen auf +41 44 552 31 31.