USB Token ve Cloud HSM, kod imzalama anahtarlarının güvenli saklanması için kullanılan iki temel yöntemdir. 2026 itibarıyla CA/Browser Forum tüm kod imzalama anahtarlarının HSM'de saklanmasını zorunlu kıldığından, bu iki seçenek arasında doğru karar vermek kritik önem taşımaktadır.
USB Token ve Cloud HSM Nedir?
USB Token
USB Token, fiziksel bir donanım güvenlik cihazıdır. Özel anahtar cihazın içinde üretilir ve asla dışarı çıkmaz. Yaygın modeller: SafeNet eToken 5110, YubiKey 5 FIPS, Luna Network HSM.
Cloud HSM
Cloud HSM, özel anahtarların bulut tabanlı donanım güvenlik modüllerinde saklandığı bir servistir. Anahtara API veya web arayüzü üzerinden erişilir. Örnekler: DigiCert KeyLocker, Certum SimplySign, AWS CloudHSM, Azure Key Vault.
Detaylı Karşılaştırma Tablosu
| Kriter | USB Token | Cloud HSM |
|---|---|---|
| Fiziksel Cihaz | Gerekli (USB) | Gerekli değil |
| CI/CD Uyumu | Zor (fiziksel bağlantı gerekli) | Mükemmel (API tabanlı) |
| Uzaktan Erişim | Yok | Her yerden erişilebilir |
| Güvenlik Seviyesi | FIPS 140-2 Level 2+ | FIPS 140-2 Level 3 (genellikle) |
| Ekip Kullanımı | Token fiziksel olarak paylaşılmalı | Birden fazla kullanıcı aynı anda |
| Kaybolma/Arıza Riski | Yüksek | Düşük (yedekli altyapı) |
| Ek Maliyet | Token cihazı (₺500-₺2.000) | Genellikle sertifika fiyatına dahil |
| Kurulum Zorluğu | Sürücü kurulumu gerekli | Web/API yapılandırması |
| Platform Desteği | Windows ağırlıklı | Cross-platform (Windows, macOS, Linux) |
USB Token Ne Zaman Tercih Edilmeli?
- İnternet bağlantısı olmayan izole ortamlarda
- Tek geliştiricili küçük projelerde
- Fiziksel güvenlik kontrolünün önemli olduğu durumlarda
- Mevcut USB Token altyapınız varsa
Cloud HSM Ne Zaman Tercih Edilmeli?
- CI/CD pipeline'ları olan otomatize edilmiş build süreçlerinde
- Birden fazla geliştiricinin imzalama yapması gerektiğinde
- Uzaktan çalışma yapan ekiplerde
- Yüksek hacimli imzalama işlemlerinde
- Cross-platform (Windows + macOS + Linux) geliştirme ortamlarında
Popüler Cloud HSM Çözümleri
DigiCert KeyLocker
DigiCert'in cloud kod imzalama çözümü. CI/CD entegrasyonu, API erişimi ve detaylı audit log özelliklerine sahip. Kurumsal projeler için ideal.
Certum SimplySign
Certum'un mobil ve masaüstü uyumlu cloud imzalama çözümü. Uygun fiyatı ve kolay kullanımı ile öne çıkar. Türkiye'de KodImzalama.com üzerinden temin edilebilir.
Azure Key Vault
Microsoft'un cloud HSM hizmeti. Azure DevOps pipeline'ları ile doğal entegrasyon sağlar. FIPS 140-2 Level 2/3 sertifikalı.
Sık Sorulan Sorular
Cloud HSM güvenli mi?
Evet, cloud HSM çözümleri genellikle FIPS 140-2 Level 3 sertifikalıdır ve USB Token'lardan (Level 2) daha yüksek güvenlik standardına sahiptir. Özel anahtar hiçbir zaman HSM'den dışarı çıkmaz.
USB Token kaybedersem ne olur?
USB Token kaybedilirse veya arızalanırsa, özel anahtar geri kazanılamaz. Sertifikanızı iptal ettirip yeni sertifika almanız gerekir. Bu nedenle Cloud HSM backup ve redundancy avantajı sunar.
Cloud HSM ile CI/CD pipeline'da imzalama yapabilir miyim?
Evet, cloud HSM'nin en büyük avantajı budur. GitHub Actions, Jenkins, Azure DevOps, GitLab CI gibi platformlarla API üzerinden entegre olarak otomatik imzalama yapabilirsiniz.
Yorumlar
Henüz yorum yapılmamış. İlk yorumu siz yapın!
Yorum Yaz