أخبار ar.wedoany.com، أطلقت شركة Securosys السويسرية، المتخصصة في تصنيع وحدات أمان الأجهزة (HSM)، وكيلاً لإدارة المفاتيح الخارجية موجهًا لمنصة Microsoft Azure. يدعم هذا الحل إدارة المفاتيح الخارجية في بيئة Azure Key Vault Managed HSM، ويستهدف بشكل أساسي المؤسسات العاملة في القطاعات الخاضعة للرقابة التنظيمية مثل القطاع المالي والرعاية الصحية والقطاع العام، وذلك لتمكينها من الاحتفاظ بالتحكم في مفاتيح التشفير أثناء استخدام الخدمات السحابية.
يكمن جوهر إدارة المفاتيح الخارجية في مبدأ "عدم دخول مواد المفاتيح إلى المنصة السحابية". تقوم المؤسسات بإنشاء المفاتيح وتخزينها وإدارتها داخل بيئة Securosys Primus HSM أو CloudHSM الخاصة بها، بينما يحتفظ جانب Azure Key Vault Managed HSM بمراجع المفاتيح الخارجية، وقدرات التحكم في الوصول، والتدقيق. عندما تحتاج خدمة Azure إلى تنفيذ عمليات تشفير مثل تغليف المفاتيح أو فك تغليفها، يتم إرسال الطلب إلى Managed HSM، ثم يتم توجيهه عبر وكيل Securosys EKM Proxy إلى بيئة HSM الخارجية الخاضعة لسيطرة المؤسسة لإتمام العملية الحسابية، وبعدها يتم إرجاع النتيجة إلى الخدمة على جانب Azure. بهذه الطريقة، يمكن لأنظمة الأعمال الاستمرار في استخدام واجهات إدارة المفاتيح ونظام الصلاحيات الخاص ببيئة Azure، بينما تبقى مواد المفاتيح الأساسية داخل حدود HSM المملوكة أو الخاضعة لتحكم العميل.
تخدم هذه الحلول بشكل أساسي القطاعات شديدة التنظيم. تحتاج المؤسسات المالية ومؤسسات الرعاية الصحية والقطاع العام عادةً إلى تلبية متطلبات سيادة البيانات، وسيادة المفاتيح، وتدوين مسارات التدقيق، والعزل الامتثالي، ولا يمكنها الاعتماد فقط على مفاتيح مدارة من قبل المنصة السحابية.
يلعب وكيل Securosys EKM Proxy دور الموصل في البنية التحتية. فهو يربط بين Azure Key Vault Managed HSM وبيئة Securosys HSM، مما يمكن خدمات Azure من استدعاء المفاتيح الخارجية لتنفيذ عمليات التشفير الخاضعة للرقابة. تعتمد قنوات الاتصال على مصادقة TLS ثنائية الاتجاه، حيث يجب أن يتم المصادقة المتبادلة بين Managed HSM وخدمة الوكيل قبل معالجة الطلبات؛ وتقتصر واجهة الوكيل على عمليات التشفير فقط، ولا تحل محل إدارة دورة حياة المفاتيح داخل HSM الخارجي. لا يزال إنشاء المفاتيح ونسخها الاحتياطي وتدويرها وإتلافها واستعادتها يتم داخل بيئة Securosys HSM، مما يعني أنه بينما تحصل المؤسسات على التحكم في المفاتيح، فإنها تتحمل أيضًا مسؤولية تشغيلية أكثر اكتمالاً لإدارة المفاتيح.
بالنسبة لبنية أمان المؤسسات السحابية، فإن إدارة المفاتيح الخارجية ليست مجرد "طبقة إضافية من التشفير"، بل هي تغيير لحدود التحكم في المفاتيح. في النمط التقليدي لإدارة المفاتيح من قبل العميل (Customer-Managed Keys)، غالبًا ما تظل المفاتيح موضوعة داخل خدمة إدارة المفاتيح الخاصة بالمنصة السحابية. أما في الإدارة الخارجية للمفاتيح، فتُترك مواد المفاتيح الأساسية داخل HSM الخاضع لتحكم العميل، بينما يحتفظ الجانب السحابي فقط بمراجع المفاتيح ومعلومات التحكم في الصلاحيات. يمكن للمؤسسات الخاضعة للرقابة التنظيمية الاستمرار في استخدام تطبيقات Azure والتخزين وقواعد البيانات والخدمات السحابية، مع تشغيل مفاتيح التشفير الجذرية الأساسية داخل وحدات أمان أجهزة مستقلة، وذلك لتلبية متطلبات إدارة المخاطر الداخلية والتدقيق التنظيمي وحوكمة البيانات عبر الحدود.
يفرض هذا الحل أيضًا متطلبات على زمن الاستجابة للنظام، ومسارات الشبكة، وسعة HSM. عند استدعاء خدمة Azure لمفتاح خارجي، يمر الطلب عبر ثلاث مراحل: Managed HSM، وEKM Proxy، وHSM الخارجي. تحتاج المؤسسات إلى ضمان إمكانية الوصول إلى خدمة الوكيل، وصحة تكوين الشهادات، وكفاية إنتاجية مجموعة HSM، والقدرة على تسجيل سجلات التدقيق على جانبي الوكيل وHSM. بالنسبة لعمليات التشفير عالية التردد، وأنظمة المعاملات المالية، ومنصات بيانات الرعاية الصحية، وأحمال العمل السحابية الحكومية، لا يزال نشر إدارة المفاتيح الخارجية بحاجة إلى التحقق من جوانب مثل التوافر، والتبديل عند الفشل، وعمليات تدوير المفاتيح، وإغلاق حلقة التدقيق.
بعد إطلاق Securosys لوكيل إدارة المفاتيح الخارجية الموجه لـ Azure، ستتوسع قدرات HSM الخاصة بها بشكل أكبر لتندمج في أنظمة الأمان السحابية الرئيسية. ستركز جهود التطبيق اللاحقة على تكوين اتصال Azure Managed HSM، ونشر Securosys Primus HSM أو CloudHSM، وإدارة شهادات mTLS، والتنسيق في دورة حياة المفاتيح، والتدقيق الامتثالي، وخطط نقل العملاء في القطاعات الخاضعة للرقابة التنظيمية.










