通过VPN将HSM暴露给广域网

Question

对于我们的项目，我们使用第三方应用程序(安装在他们的云上)。出于密码目的，此应用程序需要访问位于我们局域网中的HSM。

所以在安全方面，我在想：

1. 如果HSM可以通过VPN通过互联网访问，我们将承担什么风险(考虑到所有的enc/dec都由HSM完成)？
2. 此配置是否工作？<Internet><FW><Reverse Proxy><FW><HSM><FW><LAN>

提前感谢您的帮助

Answer 1

如果设置正确，则因特网上的VPN是安全的，而且与HSM的任何连接也应该加密。我最关心的是你让一个外部组织进入你的网络。第三方超出了您的控制范围，如果它们被黑客攻击，攻击者可能试图通过该连接渗透到您的组织中。为了降低这种风险，您可能希望将HSM放在一个单独的DMZ中，并且只允许来自该VPN的那些HSM的通信量。对HSM进行渗透测试也是一个好主意，以确保它们配置正确，您不希望它们泄漏信息。