|
Home > |
|
|---|
Модули безопасности SafeNet Luna - это специально спроектированные устройства, которые осуществляют криптографические операции и сохраняют в безопасности криптографические ключи. Их назначение - защищать секретные данные от кражи, применяя современные методы и системы безопасности. HSM - это полностью самостоятельное устройство, включающее аппаратную и программную составляющие, созданное для криптографических преобразований данных, генерирования ключей и их безопасного хранения.
HSM управляет криптографическими ключами, которые применяются для контроля доступа к данным в течение всего их жизненного цикла: их создание, распределение, замену, хранение, отзыв и архивацию после вывода из обращения.
HSM выпускаются в двух видах:
>Отдельные сетевые программно-аппаратные комплексы, включающие все необходимое для выполнение заданных функций. [примечание переводчика] Далее мы будем использовать термин МОДУЛЬ (appliance) для ВСЕГО устройства, состоящего из шасси (корпуса с электронной начинкой) и установленного внутрь HSM, а термин HSM для обозначения установленного в МОДУЛЬ криптографического апаптера, в котором, собственно, вся криптография и сосредоточена. Иногда термины МОДУЛЬ и HSM перепутываются, но это, простите, погрешности перевода. Буду понемногу вычищать...
>Карты, которые устанавливаются в серверы или ПК, подсоединенные к сети
В нашем случае это SafeNet Luna Network HSM и SafeNet Luna PCIe HSM соответственно. Каждый тип SafeNet Luna HSM выпускается в нескольких моделях, различающихся производительностью и возможностями.
Основные различия между двумя типами HSM приведены в разделе Features
Ниже приведен пример подключеня HSM Luna и его место в инфраструктуре ИТ. Некоторый элементы необязательны и в ряде случаев могут не применяться.
Рисунок 1: архитектура PCIe HSM
1.PCI HSM - это карта PCIe, устанавливаемая в сервер (приложений). Непосредственный доступ к ней осуществляется с рабочей станции через клиентское приложение Luna. Для конфигурирования и администрирования PCIe HSM клиент использует команды интерфейса LunaCM, а сами криптографические операции, запрошенные приложениями, осуществляются клиентом через крипто-API.
2.Backup HSM нужен исключительно для создания и восстановления резервных копий ключевого материала, хранящегося на PCIe HSM. Backup HSM можно подключать
a. непосредственно к серверу с установленным PCIe HSM или
b. к другому серверу, имеющему сетевое соединение, через сервис Remote Backup Service (RBS), что дает возможность делать резервирование удаленно.
Рисунок 2: архитектура HSM в сетевом исполнении (ПАК)
1.Внутри специального, защищенного от вскрытия корпуса с сетевыми и иными портами, установлен тот же PCIe HSM. Этот HSM может иметь один или более логических разделов (называемых партициями, представляющими собой независимые виртуальные HSM), независимый доступ к которым могут иметь различные пользователи и/или группы пользователей.
2.Первоначальные настройки HSM осуществляются c терминала через серийный порт HSM. После того, как первоначальные настройки сделаны, можно управлять HSM удаленно через SSH. И при первом и при втором типе подключения, для управления HSM используется специальный интерфейс командной строки LunaSH.
3.Для осуществления криптографических операций, необходимо с управляющей рабочей станции через клиентское приложение Luna client зайти в HSM или на партицию. В свою очередь, для управления или конфигурирования, Luna client использует интерфейс LunaCM. Для проведения крипто-операций применяются крипто-API, такие как PKCS#11, Java, JCPROV, CSP, и KSP.
4.Backup HSM нужен исключительно для создания и восстановления резервных копий ключевого материала, хранящегося на PCIe HSM. Backup HSM можно подключать
a. непосредственно к портам корпуса HSM или
b. к рабочей станции, управляющей HSM или
c.к другому серверу, имеющему сетевое соединение, через сервис Remote Backup Service (RBS), что дает возможность делать резервирование удаленно.
SafeNet Luna Network HSM управляет криптографическими ключами, а также хранит и защищает их от несанкционированного доступа. Модули SafeNet Luna Network HSM внедрены и надежно работают в большем, чем какие-либо другие, количестве информационных систем, как локальных, так и облачных и гибридных. На сегодня SafeNet Luna Network HSM - наиболее распространенный HSM общего назначения на компьютерном рынке; обладающие самой высокой производительностью и безопасностью, наряду с наилучшей поддержкой со стороны разработчиков программного обеспечения и информационных систем, Модули SafeNet Luna Network HSM можно смело назвать лидирующим продуктом в области новых технологий криптозащиты.
Находясь в сетевой среде, модули SafeNet Luna Network HSM способны защищать криптографические ключи и работать в качестве крипто-ускорителей для широчайшего спектра приложений, обеспечивающих безопасность данных. В модулях предусмотрен целый ряд мер, повышающих безопасность соединений и одновременно сочетающих в себе простоту администрирования при взаимодействии с выделенными и сетевыми приложениями.
Ресурсами Модуля одновременно может пользоваться сразу несколько сетевых приложений (клиентов). Точно так же как, например, когда почтовые и web-серверы обслуживают огромное количество пользователей, SafeNet Luna Network HSM предоставляет мощные ресурсы для крипто-обработки данных и управления ключами своим пользователям. Это достигается совместной работой встроенного HSM, сертифицированного по FIPS 140-2 и Криптографического Механизма, соответствующего таким же требованиям к безопасности, что и традиционный HSM. Помимо этого, SafeNet Luna Network HSM предоставляет Криптографическому Механизму дополнительный слой безопасности при управлении. Это дает возможность криптографическому Механизму обслуживать сразу несколько клиентов.
В SafeNet Luna Network HSM реализована концепция партиций, или виртуальных HSM, технология, которая позволяет разделить один физический HSМ на несколько логических, каждый из которых может иметь свою политику администрирования, свою систему контроля доступа, хранить и обрабатывать свои собственные данные, независимые от остальных партиций. Партиции можно представить себе как "банковские ячейки" в "хранилище" под управлением Криптографического Механизма. Хранилище надежно защищает данные во всех ячейках одновременно, а каждая ячейка защищает данные конкретного пользователя от остальных пользователей, имеющих доступ в хранилище. В зависимости от конфигурации, каждый SafeNet Luna Network HSM может иметь до 1000 партиций.
Доступ к одной или нескольким партициям может быть предоставлен одному или нескольким клиентам. Под Клиентами здесь понимаются приложения или серверы приложений, которые подключаются к SafeNet Luna Network HSM. Такими клиентами могут быть, например, зашифрованные базы данных, веб-сервер с SSL, или Удостоверяющий центр; эти приложения могут использовать HSM для хранения чувствительных криптографических данных или в качестве крито-ускорителя. Каждому клиенту присваивается одна или несколько партиций. Аутентификация клиента осуществляется по цифровому сертификату и уникальному номеру.
Возможности SafeNet Luna Network HSM настолько велики, что предприятиям нет теперь необходимости самостоятельно внедрять их в своих ИТ-системах а прибегнуть к услугам организаций, предоставляющих криптографический функционал в качестве услуги - HSM as a Service- не жертвуя безопасностью своих данных. На сегодняшний день только SafeNet Luna Network HSM способны предоставить надежный контроль за ключами в многопользовательских средах - облачных, локальных и гибридных.
SafeNet Luna PCIe HSM спроектированы для того, чтобы, применяя небольшого размера универсальное устройство, можно было решить задачи хранения, защиты и управления криптографическими ключами, которые используются для обеспечения криптографической защиты данных и транзакций. Применение SafeNet Luna PCIe HSM даёт возможность делегировать ресурсоёмкие криптографические преобразования специально созданному для этого высокопроизводительному криптографическому процессору. SafeNet Luna PCIe HSM устанавливается в серверы и устройства безопасности и позволяет создавать недорогие системы, обеспечивающие высокий уровень безопасности работы с ключами в соответствии с требованиями стандарта FIPS 140-2. SafeNet Luna PCIe HSM наделены разнообразными наборами функций, включая удаленное управление, централизованный контроль и возможности резервирования.
SafeNet Luna PCIe HSM- это плата формата PCIe и она имеют одну партицию. Плата устанавливается в хост - это может быть сервер или специальное сетевое устройство, шасси которго поддерживает PCIe. Доступ к ней. Доступ к партиции разрешается только пользователю с соответствующей ролью. В SafeNet Luna PCIe HSM есть аппаратный ускоритель ECC (ElipticCurveCryptography), применяемый при разработках приложений для маломощных устройств (как, например, смартфоны, планшеты). Стоимость лицензии на ECC включена в стоимость Модуля. Алгоритм ECC позволяет достичь высокой стойкости ключей при меньшей, по сравнению с ключами RSA длине и при этой требует меньше вычислительных мощностей.
Аналогично SafeNet Luna Network HSM, модуль SafeNet Luna PCIe HSM хранит криптографические ключи, применяя аппаратную защиту; чувствительная информация никогда не покидает защищенный периметр. SafeNet Luna PCIe HSM обеспечивает приложениям криптографический функционал, соответствующий стандарту PKCS#11 и выполняемый в защищенной от взлома аппаратной среде. Применяя SafeNet Luna PCIe HSM в ваших системах, вы можете предложить рынку экономичное сертифицированное по требованиям FIPS 140-2 и Common Criteria решения.
SafeNet Luna PCIe HSM является наиболее мощным встраиваемым HSM на рынке.
| SafeNet Luna Network HSM Appliance | SafeNet Luna PCIe HSM |
|---|---|
|
>Расширяется пользователем до 1000 партиций >Укрепленная операционная система >Шасси обеспечивает высокий уровень безопасности, надежность сетевых соединений, защиту от воздействия окружающей среды >Периодическое обновление прошивки и программного обеспечения >Автоматическое ведение журнальных файлов |
>Ограничено 1ой партицией >Совместим с внешними операционными системами: Windows, Linux >Позволяет создавать собственную защиту от физического доступа >Периодическое обновление прошивки >Невысокая стоимость и компактность |
При выборе типа HSM (сетевой или встраиваемый) полезно помнить о том, что каждое приложение может работать только с одним встроенным HSM - сервер баз данных использует свой, защищаемый SSL веб-сервер - свой. По мере разрастания системы их нужно всё больше и больше. А применение сетевого типа - SafeNet Luna Network HSM позволяет избежать этого, выделяя по мере необходимости партиции для новых приложений. A PCIe HSM полезен, когда требуется обеспечить надежную защиту ограниченного ресурса. А HSM в сетевом исполнении позволяет решать масштабные и сложные задачи защиты данных в системах, как, например, облачные.
И SafeNet Luna Network HSM и SafeNet Luna PCIe HSM представлены несколькими моделями с различными возможностями. Выбор модели определяется потребностями вашей организации.
ПРИМЕЧАНИЕ Уровни сертификации по FIPS, приведенные для каждой модели ниже, указывают на степень ее защищенности. Перед внедрением HSM в систему необходимо проверять текущий уровень сертификации; это в основном относится к системам, требования к которым определяются регуляторно.
Модели Luna A обеспечивают безопасное хранение криптографической информации в контролируемом и простом в управлении окружении. В моделях Luna A используется парольная схема аутентификации. Модели Luna A выпускаются в различных вариантах производительности:
| Model | SafeNet Luna Network HSM | SafeNet Luna PCIe HSM |
|---|---|---|
| Luna A700 |
>Стандартная производительность >2MB памяти >аутентификация по паролю >5 партиций |
>Стандартная производительность >2MB памяти >аутентификация по паролю |
| Luna A750 |
>Производительность уровня enterprise >16MB memory >аутентификация по паролю >5 партиций, расширяется до 20 |
>Производительность уровня enterprise >16MB памяти >аутентификация по паролю |
| Luna A790 |
>Максимальная производительность >32MB памяти >аутентификация по паролю >10 партиций, расширяется до 1000 |
>Максимальная производительность >32MB памяти >аутентификация по паролю |
Модели Luna S обеспечивают безопасное хранение криптографической информации в окружении с высоким уровнем защиты. В моделях Luna S используется многофакторная аутентификация с помощью устройства ввода ПИН - PED. Модели Luna S выпускаются в различных вариантах производительности:
| Model | SafeNet Luna Network HSM | SafeNet Luna PCIe HSM |
|---|---|---|
| Luna S700 |
>Стандартная производительность >2MB памяти >Многофакторная аутентификация >5 partitions |
>Стандартная производительность >2MB памяти >Многофакторная аутентификация |
| Luna S750 |
>Уровень производительности enterprise >16MB памяти >Многофакторная аутентификация >5 партиций, расширяется до 20 |
>Уровень производительности enterprise >16MB памяти >Многофакторная аутентификация |
| Luna S790 |
>Максимальная производительность >32MB памяти >Многофакторная аутентификация >10 партиций, расширяется до 1000 |
>Максимальная производительность >32MB памяти >Многофакторная аутентификация |