Людям и предприятиям необходимо защищать свои активы с помощью криптографических ключей. Но они также должны защищать эти ключи. HSM могут быть ответом.
Киберпреступников можно найти повсюду, они нацеливаются и атакуют каждое уязвимое устройство, часть программного обеспечения или систему, с которой сталкиваются. Это вынуждает отдельных лиц и компании принимать меры безопасности следующего уровня, такие как использование криптографических ключей, для защиты своих ИТ-активов.
Однако управление криптографическими ключами, включая их создание, хранение и проверку, часто является серьезным препятствием для обеспечения безопасности систем. Хорошая новость заключается в том, что вы можете безопасно управлять криптографическими ключами с помощью аппаратного модуля безопасности (HSM).
Что такое аппаратный модуль безопасности (HSM)?
HSM — это физическое вычислительное устройство, которое защищает криптографические ключи и управляет ими. Обычно он имеет как минимум один защищенный криптопроцессор и обычно доступен в виде сменной карты (SAM/SIM-карты) или внешнего устройства, которое подключается непосредственно к компьютеру или сетевому серверу.
HSM специально созданы для защиты жизненного цикла криптографических ключей с помощью защищенных от несанкционированного доступа аппаратных модулей с защитой от несанкционированного доступа, а также для защиты данных с помощью нескольких методов, включая шифрование и дешифрование. Они также служат в качестве безопасных хранилищ для криптографических ключей, которые используются для таких задач, как шифрование данных, управление цифровыми правами (DRM) и подписание документов.
Как работают аппаратные модули безопасности?
HSM обеспечивают безопасность данных путем создания, защиты, развертывания, управления, архивирования и удаления криптографических ключей.
Во время подготовки уникальные ключи генерируются, резервируются и шифруются для хранения. Затем ключи развертываются уполномоченным персоналом, который устанавливает их в HSM, обеспечивая контролируемый доступ.
HSM предлагают функции управления для мониторинга, контроля и ротации криптографических ключей в соответствии с отраслевыми стандартами и политиками организации. Например, новейшие HSM обеспечивают соответствие требованиям, применяя рекомендацию NIST по использованию ключей RSA длиной не менее 2048 бит.
Как только криптографические ключи перестают активно использоваться, запускается процесс архивирования, и если ключи больше не нужны, они надежно и безвозвратно уничтожаются.
Архивирование включает в себя хранение списанных ключей в автономном режиме, что позволяет в будущем извлекать данные, зашифрованные с помощью этих ключей.
Для чего используются аппаратные модули безопасности?
Основной целью HSM является защита криптографических ключей и предоставление основных услуг для защиты удостоверений, приложений и транзакций. Модули HSM поддерживают несколько вариантов подключения, включая подключение к сетевому серверу или использование в автономном режиме в качестве автономных устройств.
Модули HSM могут быть упакованы в виде смарт-карт, карт PCI, дискретных устройств или облачной службы под названием HSM как услуга (HSMaaS). В банковской сфере HSM используются в банкоматах, EFT и PoS-системах, и это лишь некоторые из них.
HSM защищают многие повседневные услуги, включая данные кредитных карт и PIN-коды, медицинские устройства, национальные удостоверения личности и паспорта, интеллектуальные счетчики и криптовалюты.
Типы аппаратных модулей безопасности
HSM делятся на две основные категории, каждая из которых предлагает различные защитные возможности, предназначенные для конкретных отраслей. Здесь представлены различные типы HSM.
1. HSM общего назначения
HSM общего назначения имеют несколько алгоритмы шифрования, в том числе симметричные, асимметричныеи хэш-функции. Эти самые популярные HSM наиболее известны своей исключительной эффективностью в защите конфиденциальных типов данных, таких как криптокошельки и инфраструктура открытых ключей.
Модули HSM управляют многочисленными криптографическими операциями и обычно используются в PKI, SSL/TLS и общей защите конфиденциальных данных. По этой причине HSM общего назначения обычно используются для обеспечения соответствия общим отраслевым стандартам, таким как требования безопасности HIPAA и соответствие FIPS.
HSM общего назначения также поддерживают подключение API с использованием Java Cryptography Architecture (JCA), Java Cryptography Extension (JCE), Cryptography API Next Generation (CNG), Public-Key Стандарт криптографии (PKCS) № 11 и Microsoft Cryptographic Application Programming Interface (CAPI), позволяющие пользователям выбирать платформу, которая лучше всего подходит для их криптографических операции.
2. Платежные и транзакционные HSM
Платежные и транзакционные HSM были специально разработаны для финансовой отрасли для защиты конфиденциальной платежной информации, такой как номера кредитных карт. Эти HSM поддерживают платежные протоколы, такие как APACS, и в то же время поддерживают несколько отраслевых стандартов, таких как EMV и PCI HSM, для соответствия требованиям.
HSM добавляют дополнительный уровень защиты платежным системам, защищая конфиденциальные данные во время передачи и хранения. Это побудило финансовые учреждения, в том числе банки и платежные системы, принять его в качестве комплексного решения для обеспечения безопасной обработки платежей и транзакций.
Основные характеристики аппаратных модулей безопасности
HSM служат критически важными компонентами для обеспечения соблюдения правил кибербезопасности, повышения безопасности данных и поддержания оптимального уровня обслуживания. Вот ключевые особенности HSM, которые помогают им достичь этого.
1. Защита от взлома
Основная цель защиты HSM от несанкционированного доступа — защитить ваши криптографические ключи в случае физической атаки на HSM.
Согласно FIPS 140-2, HSM должен иметь пломбы с защитой от несанкционированного доступа, чтобы соответствовать требованиям сертификации устройства уровня 2 (или выше). Любая попытка вмешательства в HSM, например удаление ProtectServer PCIe 2 из его шины PCIe, вызовет событие вмешательства, которое удалит все криптографические материалы, настройки конфигурации и пользовательские данные.
2. Безопасный дизайн
Модули HSM оснащены уникальным аппаратным обеспечением, отвечающим требованиям PCI DSS и различным государственным стандартам, включая Common Criteria и FIPS 140-2.
Большинство HSM сертифицированы на различных уровнях FIPS 140-2, в основном на уровне 3. Отдельные модули HSM, сертифицированные на уровне 4, самом высоком уровне, являются отличным решением для организаций, которым требуется максимальная защита.
3. Аутентификация и контроль доступа
HSM служат привратниками, контроль доступа к устройствам и данным они защищают. Это видно по их способности активно отслеживать HSM на предмет несанкционированного доступа и эффективно реагировать.
При обнаружении несанкционированного доступа некоторые модули HSM либо перестают работать, либо стирают криптографические ключи для предотвращения несанкционированного доступа. Для дальнейшего повышения безопасности HSM используют строгие методы аутентификации, такие как многофакторная аутентификация и строгие политики контроля доступа, ограничивающие доступ уполномоченным лицам.
4. Соответствие и аудит
Чтобы поддерживать соответствие, HSM должны соответствовать различным стандартам и правилам. Основные из них включают Общий регламент ЕС по защите данных (GDPR), Расширения безопасности системы доменных имен (DNSSEC), стандарт безопасности данных PCI, общие критерии и FIPS 140-2.
Соблюдение стандартов и правил обеспечивает защиту данных и конфиденциальности, безопасность инфраструктуры DNS, безопасность операции с платежными картами, международно признанные критерии безопасности и соблюдение государственного шифрования стандарты.
HSM также включают функции ведения журнала и аудита, позволяющие отслеживать и отслеживать криптографические операции в целях обеспечения соответствия.
5. Интеграция и API
HSM поддерживают популярные API, такие как CNG и PKCS #11, что позволяет разработчикам беспрепятственно интегрировать функции HSM в свои приложения. Они также совместимы с несколькими другими API, включая JCA, JCE и Microsoft CAPI.
Защитите свои криптографические ключи
HSM обеспечивают один из самых высоких уровней безопасности среди физических устройств. Их способность генерировать криптографические ключи, безопасно хранить их и защищать обработку данных делает их идеальным решением для тех, кто ищет повышенную безопасность данных.
HSM включают в себя такие функции, как безопасная конструкция, защита от несанкционированного доступа и подробные журналы доступа, что делает их выгодным вложением средств для повышения безопасности важных криптографических данных.
