Žmonės ir įmonės turi apsaugoti savo turtą naudodami kriptografinius raktus. Tačiau jie taip pat turi apsaugoti tuos raktus. HSM gali būti atsakymas.
Kibernetinių nusikaltėlių galima rasti visur, jie taikosi ir atakuoja kiekvieną pažeidžiamą įrenginį, programinę įrangą ar sistemą, su kuria susiduria. Dėl to asmenys ir įmonės turėjo imtis naujo lygio saugumo priemonių, pavyzdžiui, naudoti kriptografinius raktus, kad apsaugotų savo IT turtą.
Tačiau kriptografinių raktų valdymas, įskaitant jų generavimą, saugojimą ir tikrinimą, dažnai yra pagrindinė kliūtis užtikrinant sistemų apsaugą. Geros naujienos yra tai, kad galite saugiai valdyti kriptografinius raktus naudodami aparatinės įrangos saugos modulį (HSM).
Kas yra aparatinės įrangos saugos modulis (HSM)?
HSM yra fizinis skaičiavimo įrenginys, apsaugantis ir valdantis kriptografinius raktus. Paprastai jame yra bent vienas saugus kriptoprocesorius ir jis dažniausiai pasiekiamas kaip papildinio kortelė (SAM / SIM kortelė) arba išorinis įrenginys, tiesiogiai prijungiamas prie kompiuterio ar tinklo serverio.
HSM yra specialiai sukurti siekiant apsaugoti kriptografinių raktų gyvavimo ciklą, naudojant apsaugotus nuo klastojimo aparatūros modulius ir apsaugoti duomenis naudojant kelis technologijas, įskaitant šifravimą ir iššifravimą. Jie taip pat tarnauja kaip saugios kriptografinių raktų, naudojamų tokioms užduotims kaip duomenų šifravimas, skaitmeninių teisių valdymas (DRM) ir dokumentų pasirašymas, saugyklos.
Kaip veikia aparatinės įrangos saugos moduliai?
HSM užtikrina duomenų saugumą generuodami, saugant, diegdami, tvarkydami, archyvuodami ir sunaikindami kriptografinius raktus.
Teikimo metu generuojami unikalūs raktai, sukuriamos atsarginės kopijos ir užšifruojami saugojimas. Tada raktus skiria įgalioti darbuotojai, kurie juos įdiegia į HSM, kad būtų galima kontroliuoti prieigą.
HSM siūlo valdymo funkcijas, skirtas kriptografinio rakto stebėjimui, kontrolei ir rotacijai pagal pramonės standartus ir organizacijos politiką. Pavyzdžiui, naujausi HSM užtikrina atitiktį vykdydami NIST rekomendaciją naudoti bent 2048 bitų RSA raktus.
Kai kriptografiniai raktai nebenaudojami aktyviai, suaktyvinamas archyvavimo procesas, o jei raktai nebereikalingi, jie saugiai ir visam laikui sunaikinti.
Archyvavimas apima išjungtų raktų saugojimą neprisijungus, kad ateityje būtų galima gauti tais raktais užšifruotus duomenis.
Kam naudojami aparatinės įrangos saugos moduliai?
Pagrindinis HSM tikslas yra apsaugoti kriptografinius raktus ir teikti esmines paslaugas, skirtas apsaugoti tapatybes, programas ir operacijas. HSM palaiko kelias ryšio parinktis, įskaitant prisijungimą prie tinklo serverio arba naudojimą neprisijungus kaip atskirus įrenginius.
HSM gali būti supakuoti kaip intelektualiosios kortelės, PCI kortelės, atskiri prietaisai arba debesies paslauga, vadinama HSM kaip paslauga (HSMaaS). Bankininkystėje HSM naudojami bankomatuose, EFT ir PoS sistemose.
HSM apsaugo daugelį kasdienių paslaugų, įskaitant kredito kortelių duomenis ir PIN kodus, medicinos prietaisus, nacionalines asmens tapatybės korteles ir pasus, išmaniuosius skaitiklius ir kriptovaliutas.
Aparatinės įrangos saugos modulių tipai
HSM yra suskirstyti į dvi pagrindines kategorijas, kurių kiekviena siūlo skirtingas apsaugos galimybes, pritaikytas konkrečioms pramonės šakoms. Čia yra įvairių tipų HSM.
1. Bendrosios paskirties HSM
Bendrosios paskirties HSM yra daug šifravimo algoritmai, įskaitant simetrinius, asimetrinius, ir maišos funkcijos. Šios populiariausios HSM geriausiai žinomos dėl savo išskirtinių savybių apsaugant jautrių duomenų tipus, tokius kaip kriptovaliutos piniginės ir viešojo rakto infrastruktūra.
HSM valdo daugybę kriptografinių operacijų ir dažniausiai naudojami PKI, SSL/TLS ir bendrai jautrių duomenų apsaugai. Dėl šios priežasties bendrosios paskirties HSM paprastai naudojami siekiant atitikti bendruosius pramonės standartus, tokius kaip HIPAA saugumo reikalavimai ir FIPS atitiktis.
Bendrosios paskirties HSM taip pat palaiko API ryšį naudojant Java Cryptography Architecture (JCA), Java Cryptography Extension (JCE), Cryptography API Next Generation (CNG), Viešąjį raktą 11 kriptografijos standartas (PKCS) ir „Microsoft“ kriptografinių taikomųjų programų sąsaja (CAPI), leidžiantys vartotojams pasirinkti sistemą, kuri geriausiai tinka jų kriptografijai. operacijos.
2. Mokėjimo ir operacijų HSM
Mokėjimo ir operacijų HSM buvo specialiai sukurti finansų pramonei, siekiant apsaugoti slaptą mokėjimo informaciją, pvz., kredito kortelių numerius. Šie HSM palaiko mokėjimo protokolus, pvz., APACS, ir tuo pačiu laikosi kelių specifinių pramonės standartų, tokių kaip EMV ir PCI HSM, kad būtų laikomasi.
HSM prideda papildomą mokėjimo sistemų apsaugos lygį, nes saugo slaptus duomenis perdavimo ir saugojimo metu. Dėl to finansų įstaigos, įskaitant bankus ir mokėjimų tvarkytojus, priėmė jį kaip vientisą sprendimą, užtikrinantį saugų mokėjimų ir operacijų tvarkymą.
Pagrindinės techninės įrangos saugos modulių savybės
HSM yra svarbūs komponentai, užtikrinantys kibernetinio saugumo taisyklių laikymąsi, didinant duomenų saugumą ir palaikant optimalų paslaugų lygį. Štai pagrindinės HSM savybės, padedančios tai pasiekti.
1. Atsparumas sugadinimui
Pagrindinis HSM atsparumo klastojimo tikslas yra apsaugoti jūsų kriptografinius raktus fizinės HSM atakos atveju.
Remiantis FIPS 140-2, HSM turi turėti neatitikimus antspaudus, kad būtų galima gauti 2 (ar aukštesnio) lygio įrenginio sertifikatą. Bet koks bandymas sugadinti HSM, pvz., „ProtectServer PCIe 2“ pašalinimas iš PCIe magistralės, suaktyvins klastojimo įvykį, kuris ištrins visą kriptografinę medžiagą, konfigūracijos nustatymus ir vartotojo duomenis.
2. Saugus dizainas
HSM yra aprūpinti unikalia technine įranga, atitinkančia PCI DSS keliamus reikalavimus ir atitinkančią įvairius vyriausybės standartus, įskaitant „Common Criteria“ ir FIPS 140-2.
Dauguma HSM yra sertifikuoti įvairiais FIPS 140-2 lygiais, dažniausiai 3 lygio sertifikatais. Atrinkti HSM, sertifikuoti 4 lygiu, aukščiausiu lygiu, yra puikus sprendimas organizacijoms, ieškančioms aukščiausio lygio apsaugos.
3. Autentifikavimas ir prieigos kontrolė
HSM tarnauja kaip vartai, kontroliuoti prieigą prie įrenginių ir duomenų jie saugo. Tai akivaizdu iš jų gebėjimo aktyviai stebėti HSM, kad jie nebūtų sugadinti, ir veiksmingai reaguoti.
Jei aptinkamas klastojimas, tam tikri HSM arba nustos veikti, arba nuvalys kriptografinius raktus, kad būtų išvengta neteisėtos prieigos. Norėdami dar labiau padidinti saugumą, HSM naudoja stiprią autentifikavimo praktiką, pvz., kelių veiksnių autentifikavimas ir griežta prieigos kontrolės politika, ribojanti prieigą tik įgaliotiems asmenims.
4. Atitiktis ir auditas
Norėdami išlaikyti atitiktį, HSM turi laikytis įvairių standartų ir taisyklių. Tarp pagrindinių yra Europos Sąjungos Bendrasis duomenų apsaugos reglamentas (BDAR), Domeno vardų sistemos saugos plėtiniai (DNSSEC), PCI duomenų saugos standartas, bendrieji kriterijai ir FIPS 140-2.
Standartų ir reglamentų laikymasis užtikrina duomenų ir privatumo apsaugą, DNS infrastruktūros saugumą, saugų mokėjimo kortelių operacijos, tarptautiniu mastu pripažinti saugumo kriterijai ir vyriausybės šifravimo laikymasis standartus.
HSM taip pat apima registravimo ir audito funkcijas, leidžiančias stebėti ir sekti kriptografines operacijas atitikties tikslais.
5. Integracija ir API
HSM palaiko populiarias API, tokias kaip CNG ir PKCS #11, todėl kūrėjai gali sklandžiai integruoti HSM funkcijas į savo programas. Jie taip pat suderinami su keliomis kitomis API, įskaitant JCA, JCE ir Microsoft CAPI.
Apsaugokite savo kriptografinius raktus
HSM užtikrina aukščiausią saugumo lygį tarp fizinių įrenginių. Jų galimybė generuoti kriptografinius raktus, saugiai juos saugoti ir apsaugoti duomenų apdorojimą yra idealus sprendimas visiems, ieškantiems didesnio duomenų saugumo.
HSM apima tokias funkcijas kaip saugus dizainas, atsparumas klastojimui ir išsamūs prieigos žurnalai, todėl jie yra vertinga investicija į svarbių kriptografinių duomenų saugumą.
