曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精

<delect id="ygmw2"><rp id="ygmw2"></rp></delect>
      1. <object id="ygmw2"><option id="ygmw2"></option></object>
        <object id="ygmw2"><option id="ygmw2"></option></object>

        您當前的位置:   首頁 > 新聞中心
        專業人士眼中的硬件安全模塊(HSM)
        發布時間:2019-07-06 10:13:26   閱讀次數:

        硬件安全模塊HSM)是一種物理計算設備,用于保護和管理用于強認證的數字密鑰并提供密碼處理。傳統上,這些模塊以插件卡或直接連接到計算機或網絡服務器的外部設備的形式出現。


        硬件安全模塊是具有審計和加密功能的物理設備,用于保護敏感信息(如加密密鑰)以及加密/解密信息的性能。一旦您將加密密鑰加載到其中,它就只能被授權方訪問/使用,并且每個訪問/使用都會被記錄下來并且可以被審計。當必須存儲代碼簽名密鑰,頂級證書頒發機構的主加密證書或用于保護有價值數字資產的其他重要密鑰時,這提供了非常顯著的好處。

        專業人士眼中的硬件安全模塊(HSM)(圖1)

        場景1:您是一家軟件開發公司,生產用于金融交易處理的軟件,您可以維護軟件并向客戶發送更新。

        在這種情況下,為了保護您的客戶免于接收聲稱是您的其他人的軟件更新,您將選擇對可執行文件和DLL以及您向客戶端發送的任何更新進行數字簽名(特別是在使用自動交付方法時)。但是現在,用于對代碼進行數字簽名的證書對攻擊者來說非常有價值。您如何保證一名前心懷不滿的員工沒有保存您的證書副本,并且攻擊者沒有從舊備份中獲取副本,您在哪里可以使用它等等?如果它被未經授權的一方使用,您怎么知道?

        這正是這些設備的設計目標。

         

        根據您正在使用的行業,特別是在高度監管的行業中,硬件安全模塊的認證級別和類型可能變得重要,這直接影響功能和定價。

         

        NIST

        美國國家標準與技術研究院(NIST)是美國商務部的計量實驗室和非監管機構。其使命是促進創新和產業競爭力。

         

        FIPS 140-2

        聯邦信息處理標準(FIPS)出版物140-2(FIPS PUB 140-2)是用于批準加密模塊的美國政府計算機安全標準。標題是加密模塊的安全要求。請參閱:https://en.wikipedia.org/wiki/FIPS_140-2

        FIPS 140-2定義了4個級別的HSM,級別1只需要基本的加密功能和經批準的算法(當然是生產級設備,外部實體測試的算法),4級能夠檢測幾乎任何類型的數字或物理攻擊向量并擦除密鑰如果受到損害。2級和3級是最常見的,所以我將詳細介紹它們。

        FIPS 140-2 2級硬件安全模塊

        雖然1級能夠進行加密操作,但2級HSM需要具有物理和數字篡改證據的功能,包括必須打破的防篡改涂層或密封,以實現對明文加密密鑰和關鍵安全參數的物理訪問(CSP)在模塊內。級別2還至少要求基于角色的認證,其中加密模塊認證運營商的授權以承擔特定角色并訪問相應的服務集。

        FIPS 140-2 3級硬件安全模塊

        除了級別2所需的防篡改物理安全機制之外,級別3還試圖阻止入侵者訪問加密模塊中保存的CSP。
        安全級別3所需的物理安全機制旨在檢測和響應對物理訪問,使用或修改加密模塊的嘗試的高概率。
        物理安全機制可以包括使用強外殼和篡改檢測/響應電路,當加密模塊的可移除蓋/門打開時,所述篡改檢測/響應電路將所有明文CSP歸零。

         

        NIST加密模塊驗證程序

        https://csrc.nist.gov/projects/cryptographic-module-validation-program/validated-modules/search

        (關鍵詞:Gemalto)

        這些設備是什么樣的,我有什么選擇?

        這當然在很大程度上取決于您的需求。但是有一些主要的選擇需要考慮。首先,請注意,如果您嘗試保護某些加密密鑰,那么備份它們也需要是安全的,因此在大多數情況下,受HSM保護的內容只能備份到另一個HSM。之后,可用性和延遲成為重要的考慮因素。

         

        專用HSM

        關注

        • 較高的前期成本,對于FIPS 140-2 Level 2 HSM,每臺設備通常> 4,000美元以上,或者對于3級而言是兩倍,并且您可能需要多個單元(攬閣備注:聯系攬閣信息,可以獲取最終產品報價)

        • 托管成本/管理復雜 - 它們占用了數據中心的空間,您需要工程師熟悉它們的工作方式

        • 冗余和異地備份可能需要大量設備

        • 有時開發人員難以集成或需要專業知識 - 每個供應商都可以擁有自己的界面和SDK,但通常支持PKCS#11

        • 謹慎維護QA / STG環境

        優點

        • 到目前為止最安全的選項,因為您在正確配置后控制設備周圍的所有內容

        • 在應用程序旁邊的數據中心內部/共同定位

        • 由您/您的IT管理

        • 專用硬件,所以只有你的東西

        一些很棒的選擇包括SafeNet Luna Network HSM(以前的Luna SA)和SafeNet ProtectServer HSM。

         

        托管HSM

        關注

        • 外部托管/依賴供應商提供服務

        • 應用程序和供應商之間的流量

        • 共享硬件

        • 延遲可能是云混合環境中的一個問題

        • HSM通常需要一些專業知識,因此正確使用它們始終是一個問題

        優點

        • 降低前期成本

        • 供應商管理備份/復制/保證可用性

        • 供應商管理安全性和更新


        AWS CloudHSM是一個很好的選擇,它是FIPS 140-2 Level 3 HSM(攬閣備注:AWS CloudHSM最便宜的報價大概為,100,000人民幣/年。)

         

        由HSM支持的托管服務

        另一種選擇是使用一種抽象與HSM通信的服務,而不是擁有自己的HSM,同時仍然保持安全性。

        關注

        • 外部托管/依賴供應商提供服務

        • 應用程序和供應商之間的流量

        • 延遲可能是云混合環境中的一個問題

        • 共享硬件

        優點

        • 總體成本非常低,有些服務幾乎不存在

        • 供應商管理備份/復制/保證可用性

        • 供應商管理安全性和更新

        • 對于開發人員來說,直接集成,API通常很簡單,不需要專業知識

        一些很好的選擇包括Azure KeyVault和AWS Key Management Service(KMS)。

         

        最后,如果需要擁有您的HSM并控制所有內容,還希望獲得HSM支持的服務API的優勢,攬閣信息將是您的最佳選擇。


        攬閣信息可提供的部分安全產品和解決方案信息

        聯系攬閣信息,您可以獲取到更多滿足全球合規性要求的信息安全產品資料,以及相關的整體解決方案的相關資料。如:


        您還可以得到攬閣信息所提供的優質服務。

        攬閣信息 · 值得您信賴的信息安全顧問!


        相關閱讀

        購買咨詢電話
        021-54410609
        曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精