|
Home > |
|
|---|
Безопасность локального соединения Luna PED и SafeNet Luna HSM обеспечивается подключением PED к специальному порту HSM.
>в HSM сетевого исполнения этот порт расположен на задней панели
>в HSM в виде карты PCIe, разъем для подключения PED находится прямо на карте. Компьютер (сервер) в который установлена карта HSM, не имеет к ней доступа.
В случае локального PED (модели LUNA до версии 7 с опцией Local PED и все модели LUNA 7 c опцией PED), соединение между ним и HSM осуществляется непосредственно через соединительный кабель, минуя память и шину сервера.
В случае удаленного соединения (модели LUNA до версии 7 (с опцией Remote-PED AUTH), и все модели LUNA 7+ c опцией PED) обмен информацией между PED и HSM происходит через утилиту PedServer, установленную на компьютере оператора, к которому подсоединяется PED, и утилиту PedClient на HSM. Здесь возможны два варианта соединения:
>стандартное, инициированное клиентом соединение, когда PedClient вызывает PedServer; данные PED Key зашифровываются на обоих концах соединения с помощью утилиты Remote PED Vector (она расположена на оранжевом USB-ключе со стороны PED и на самом HSM)
>peer-to-peer, инициированное HSM – когда PedServer вызывает PedClient. Данные PED Key зашифровываются на обоих концах соединения с помощью утилиты Remote PED Vector (она расположена на оранжевом USB-ключе со стороны PED и на самом HSM), а сетевое соединение защищается по TLS.
Аутентификационные данные ни в какой момент времени не циркулируют в открытом виде.
Существуют три способа захода в Модуль:
>Административный - через SSH или непосредственное подключение через серийный порт с доступом к интерфейсу командной строки LunaSH
>Клиентский - через TLS (NTLS), при котором для выполнения криптографических операций в выделенных областях памяти (партициях) клиентское приложение использует SafeNet Luna HSM API
>The Trusted Path– он используется для обмена аутентификационными данными между PED и USB-ключами - при этом данные передаются только в зашифрованном виде, что исключает возможность их утечки через управляющий терминал
В SafeNet Luna HSMs с PED-аутентификацией аутентификационные данные пользователей с ролевым доступом защищаются комбинацией USB-ключей и паролей.
Для выполнения задач администрирования (таких, как установление действующих на весь HSM политик, обновление прошивки и конфигурирование функций, создание резервных копий, восстановление с резервных копий, создание или удаление партиций и пр.), Вам нужно будет аутентифицироваться в качестве SO (Security Officer) или HSM Admin(для каждого HSM предусмотрена только по одной такой роли). Аутентификационные данные SO/HSM Admin хранятся на синем USB-ключе. Этот ключ вставляется в PED, подсоединенный к HSM локально, либо удаленно.
Для выполнения операций по управлению партициями предусмотрена роль Partition User. Для HSM в форм-факторе PCIe такая роль присваивается только одному пользователю. Для сетевых устройст таких ролей может быть несколько – по одной на каждую партицию. Аутентификационные данные пользователей с ролями CO (Crypto Officer) или Partition User хранятся на черном ключе. Соединение с HSM может быть локальным или удаленным. Для управления партициями через интерфейс LunaSH необходимо вначале войти в HSM с паролем admin.
>В случае SafeNet Luna PCIe HSM, Вам нужно просто зайти в хост, на котором установлена плата, и воспользоваться командным интерфейсом LunaCM. Чтобы пользователь с ролью Partition User/CO смог осуществить вход и выполнять команды по администрированию партиций, кто-то должен находиться рядом с PED и вставить требуемый для этого черный ключ или партиция должна находиться в активном состоянии.
>Хорошей практикой является разделение паролей для управления партициями и администрирования Модулем. Кроме того, различные партиции должны иметь разлмчные пароли.
А если Вы вводите различные роли и для Crypto Officer и для Crypto User, то каждый из них должен иметь свой, отличающийся от другого, пароль.
Для того, чтобы клиентское приложение (клиент) смогло получить доступ к партиции и выполнить криптографические операции, приложение должно сообщить свою роль и передать Partition Password (всё это происходит автоматически).
>Стандартный клиент использует тот же пароль (Partition Password), что и Partition User, однако клиент не знает пароль admin и не имеет доступа к командам LunaSH. В случае SafeNet Luna PCIe HSM аутентификация клиента проходит так же, как и аутентификация для доступа к командам LunaCM, поэтому в данном случае безопасность и разделение ролей должна обеспечиваться применением USB-ключей.
>Кроме того, пароли Crypto User client и Crypto Officer должны быть различны.
Эта роль предусматривает ограниченный доступ к HSM для управления журнальными файлами. Используется белый ключ. Роль аудитора является самостоятельной и не имеет общих функций с другими ролями.
Обычно PED подключают непосредственно к HSM, однако, в случае затрудненного доступа к HSM, PED можно использовать удаленно.
Для моделей HSM с аутентификацией по PED первоначально создаются один или больше оранжевых ключей. Для этого PED подключается непосредственно к HSM локально и на ключи записывается утилита Remote PED Vector (RPV). После этого HSMом можно управлять удаленно:
1.Объект управления - HSM может быть либо:
•В случае SafeNet Luna PCIe HSM - Установлен в сервер с поддерживаемой операционной системой.
•Модуль SafeNet Luna Network HSM.
Должно присутствовать сетевое соединение.
2.К USB второго компьютера (лаптоп, рабочая станция либо сервер, с поддерживаемой операционной системой) подключается PED. PED запитывается через отдельный блок питания. Компьютер с подключенным PED должен быть в сети. Администрирование удаленного HSM не обязательно должно производиться с именно этого компьютера, но обычно оно так и происходит, так как оператор PED должен иметь возможность координировать свои действия с оператором HSM. Кроме оранжевых ключей, у оператора должны быть:
• Голубой, черный и красный (опционально - белый) ключи PED предварительно инициализированные на HSM
•ИЛИ чистые голубой, черный и красный (опционально - белый) ключи PED которые планируется инициализировать на HSM
3.HSM сконфигурирован так, что он отслеживает запросы от PED на аутентификацию.
4.На компьютере с PED установлен драйвер LunaPED и запущена утилита pedserver.
5.На сервере с HSM запущена утилита pedclient; HSM устанавливает соединение с PED.
6.PED (через pedserver) получает запрос и запрашивает у оператора оранжевый ключ.
PED и HSM (через pedclient/pedserver соответственно) должны удостовериться, что на ключе записан тот же вектор инициализации, что и на HSM, и только после этого они устанавливают защищенное соединение.
7.Офицер безопасности HSM (SO) запускает необходимые команды на HSM пользуясь удаленным компьютером или через соединение SSH.
Вся последующая аутентификация может теперь осуществляться с помощью PED, без необходтимости иметь физический доступ к HSM, который может находиться где угодно.
Объекты в HSM зашифровываются пользователями с ролями HSM Admin (редко) или User (партиция), но расшифровываться они могут только при предъявлении синего ключа (HSM Admin) или черного ключа (User) соответственно.
При отсутствии ключа, которым объект был зашифрован, доступ к нему получить невозможно.
После того, как прошла взаимная аутентификация HSM-PED, для дальнейшей работы приложения с HSM нужны два секрета:
> Административный, он находится на черном ключе,
> пароль приложения, которое хочет получить доступ к выделенной ему партиции - изначально это текст, высвечиваемый на экране PED (Вы можете поменять этот пароль).
Приложение может предъявить свой пароль только после того, как черный ключ открыл партицию для операций (Активировав её). Иными словами, здесь мы имеем два уровня защиты: один - административный и второй -операционный, и при этом первый открывает путь второму.
В стандартном режиме партиции с PED-аутентификацией требуют чтобы ключ и пароль предъявлялись каждый раз, когда приложению или пользователю необходим доступ к партиции. В некоторых случаях, таких, как депизит ключей, это уместно. В большинстве же случаев, требование предъявлять физический ключ неудобно на практике.
Активация позволяет зарегистрированным пользователям и приложениям аутентифицироваться для доступа к партициям без ключа а только паролю. После проведения аутентификации с физическим ключем, пароли пользователей CO или CU, содержащиеся на ключе, кэшируются в память HSM.
Возможность использовать такой режим определяется соответствующей политикой. Включение этой политики позволяет использовать режим активации.
При перезагрузке или кратковременном отключении HSM, активированные роли деактивируются, и активируются заново только при надлежащей процедуры предъявления ключа и пароля.
Режим Автоматической активации допускает автоматическую реактивацию ролей без необходимости ввода соответствующего этой роли ключа и пароля.
Возможность использовать такой режим определяется соответствующей политикой. Включение этой политики позволяет использовать режим активации.
PED-Аутентификация, если сравнивать её с парольной, имеет бесспорные преимущества по:
>Безопасности: пароли и другие закрытые аутентификационные данные нигде не хранятся в открытом виде и не могут быть скомпрометированы
>Ответственность: доступ к ключам можно проконтролировать и отследить
>Ограниченные возможности по копированию: дублирование и передача ключей может быть предотвращена орг. мерами
>Это физический объект: ввод пароля или ПИН через PED и исключает их перехват шпионскими программами
Ключи PED - физические объекты - их можно потерять, забыть. Отсюда и следующие недостатки :
>Политика смены паролей в организации: плановая или обязательная смена паролей затрудняется в случае PED
>Неудобно: в случае необходимости будет очень трудозатратно поменять пароли на всех ключах.