曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精

<delect id="ygmw2"><rp id="ygmw2"></rp></delect>
      1. <object id="ygmw2"><option id="ygmw2"></option></object>
        <object id="ygmw2"><option id="ygmw2"></option></object>

        您當前的位置:   首頁 > 新聞中心
        您必須了解的HSM知識!
        發布時間:2022-03-23 00:09:10   閱讀次數:

        image.png

        什么是硬件安全模塊?HSM 解釋

        硬件安全模塊是專門設計用于安全存儲和使用加密密鑰的計算設備。讓我們分解一下 HSM 是什么,它們是如何工作的,以及為什么它們對公鑰基礎設施如此重要。


        什么是 HSM,它有什么作用?為什么有這么多公司使用 HSM?HSM 在企業環境中的實際用途是什么?


        讓我們把它一一列舉出來。


        什么是硬件安全模塊 (HSM)?HSM 定義和解釋

        如果您用來加密數據的密鑰被暴露,加密數據就不安全——這就是 HSM 可以節省時間的地方。硬件安全模塊 (HSM)是防篡改和防入侵的硬件組件,組織用于保護和存儲其加密密鑰,同時仍可供授權用戶使用。它們的目的是控制對貴公司敏感私鑰的訪問并限制風險。


        HSM 使您的員工無需直接訪問即可使用您組織的私鑰?;旧?,您的軟件(例如,托管在 Web 服務器上)可以執行加密功能和身份驗證,而無需將您的私鑰副本加載到您的 Web 服務器上的內存中(它可能容易受到攻擊)。加密功能都在 HSM 的安全環境范圍內完成。在這個安全的小氣泡內執行這些操作,可以通過將私鑰隱藏在安全位置來防止敏感數據受到損害。


        為了更好地理解這個概念,可以將 HSM 想象成自動售貨機。自動售貨機在隔離的內部環境中存儲飲料和食品。它旨在接受用戶輸入(即您的項目選擇)并生成輸出(即彈出美味的小吃),您無法訪問自動售貨機的內部或更改其功能。


        同樣,HSM 接受用戶輸入并生成輸出(例如簽名證書或軟件),而用戶(或應用程序)無需查看、訪問或更改您的加密密鑰。這是因為它的功能是在其安全環境的范圍內執行的,并且沒有任何密鑰可以以可讀格式從 HSM 中完全導出、提取或刪除。因此,就像自動售貨機一樣,您可以使用它來獲得所需的輸出,但您無法查看或訪問設備的內部工作原理以及使其成為可能的所有單獨組件。


        使用 HSM 如何幫助您的業務

        您可能想知道為什么需要使用硬件安全模塊。我的意思是,當您可以簡單地使用 Web 服務器的內置功能時,為什么還要經歷設置 HSM 的麻煩和成本呢?


        HSM 提供的密鑰存儲比使用傳統 Web 服務器獲得的密鑰存儲安全得多。當公司使用其 Web 服務器運行許多應用程序時,這可能會導致網絡犯罪分子可以利用的漏洞。HSM 是具有有限用途和攻擊向量的設備。這就是為什么:

        • 公共證書頒發機構和注冊機構使用這些設備來創建、存儲和管理它們的敏感密鑰對。(注意:他們通常將根 CA 離線存儲,以使其盡可能安全。)


        • 擁有私有 PKI 的公司使用這些設備來使用和存儲他們用來簽署 PKI 證書、軟件代碼和文檔的密鑰。


        使用 HSM 可以幫助您保護您的私人代碼簽名密鑰并避免像 HashiCorp 今年早些時候面臨的暴露問題。4 月 22 日,HashiCorp 通知客戶,他們用于簽署官方產品下載和更新的 GPG 私鑰由于第三方(Codecov)安全事件而暴露。


        基本上,情況的癥結在于未經授權的用戶利用了一個漏洞,使他們能夠從 Codecov 的持續集成 (CI) 環境中導出敏感數據。HashiCorp 的 CI 環境——其中包含公司的 GPG 私鑰和其他“敏感機密”——屬于暴露的 CI 環境。如果 HashiCorp 將他們的密鑰存儲在安全的 HSM 中而不是 CI 中,那么它就不會被暴露。


        HSM 如何提高 IT 和數據安全性

        HSM 在 PKI 和一般網絡安全方面還有許多其他用途和用途。您可以使用 HSM 來:

        • 在整個生命周期內存儲和保護您的所有加密密鑰。HSM 通常是獨立的網絡連接設備,與您的服務器分開。這有助于在所有生命周期階段(從生成一直到最終銷毀或撤銷)確保您的密鑰安全。


        • 為您的 PKI 生成密碼學強度最高的密鑰。HSM 具有內置的真隨機數生成器 (TRNG),可提供隨機性和不可預測性。


        • 通過“歸零”保護您的密鑰的安全性。由于 HSM 是防篡改設備(適用于邏輯和物理攻擊),它們的構建目的是擦除或銷毀所有存儲的加密數據以防止泄露。


        • 保護您組織的加密操作和服務。將這些功能(例如簽署 PKI 證書、應用程序和文檔)限制為僅在 HSM 的安全、獨立環境中發生有助于防止密鑰泄露。


        • 通過負載平衡提高服務器性能。HSM 設備是精簡的獨立設備,可以承擔執行操作的責任,否則會使您的服務器陷入困境。一些 HSM 可以通過卸載加密操作來充當 Web 流量加速器。


        • 保護您的密鑰免受可能導致妥協的不安全提取?!鞍b”或加密您的加密密鑰,以防止以純文本格式提取它們。


        • 保護您的開發、測試和生產環境的密鑰。HSM 保護與您的內部生產和測試環境相關的軟件和系統使用的私有 PKI 密鑰,因此這些系統可以使用它們而無需直接訪問它們。(注意:為每個環境使用單獨的 HSM 以避免數據安全風險——切勿在多個環境中使用相同的 HSM)。


        • 確保遵守數據安全法規并簡化審計流程。HSM 通常是經過驗證的硬件組件,可確保合規性,因為它們符合特定的行業標準。他們還提供防篡改日志,通知您:

          • 他們用來執行什么加密操作


          • 執行這些操作的時間


          • 誰負責授權這些操作。


        硬件安全模塊選項:物理設備與基于云的 HSM

        擁有安全加密存儲選項對所有企業來說都很重要,尤其是當他們的需求隨著業務的增長而發展時。好消息是 HSM 在物理尺寸和應用方面各不相同。一些 HSM 是小型插卡或 USB 設備,而其他 HSM 是公司存儲在安全位置的大型外部設備和設備。


        對于許多企業來說,硬件安全模塊的成本可能非常高。SecurityToday.com 2018 年的一篇文章稱,部署單個 HSM 的成本可能高達 40,000 美元,而且該價格不包括其他相關成本,例如額外的硬件、支持和維護。因此,自己做所有事情可能不是一個可行的選擇。


        但是,僅僅因為您的公司買不起這些設備中的一種或多種,并不意味著您仍然無法享受使用 HSM 的優勢。一些供應商(例如 Thales 和 Amazon Web Services)現在提供基于云的 HSM 產品和服務。


        在使用云 HSM 時,有幾種不同的選擇:

        • 租用存儲在異地數據中心的專用物理 HSM 設備。


        • 付費訪問 HSM 供應商的設備或設備的功能。


        • 為訪問供應商的共享 HSM 中的虛擬環境付費。


        這里的想法是,您不必購買需要在現場保護的昂貴物理設備,而是可以“租用”專用物理設備或支付訪問由第三方供應商控制的功能的費用,成本更低.


        正如您可以想象的那樣,每種方法都有優點和缺點,但您最終需要決定哪種方法最適合您的組織或業務。請務必仔細閱讀服務水平協議 (SLA),以確保它們是您所需要的。


        當然,也有一種方法可以讓你吃蛋糕——這意味著你可以使用 HSM,而無需購買或租用。當您與托管 PKI (mPKI) 服務提供商合作時,這是可能的。例如,DigiCert 是一個 mPKI 提供商,其平臺是使用 HSM 構建的。當您使用他們的平臺時,您可以在后端利用他們的安全 HSM,而無需購買或租用這種昂貴的硬件。


        硬件安全模塊與可信平臺模塊:HSM 和 TPM 是否相同?

        如果您認為 HSM 聽起來很像受信任的平臺模塊或 TPM,那么有幾個很好的理由。

        • HSM 和 TPMS 都是防篡改硬件組件


        • 這兩種設備都是硬件信任根的示例,可保護全球消費者和企業日常使用的服務和加密工具。


        但是這兩個設備是一樣的嗎?不可以。TPM 是單個設備中特定于設備的組件,而 HSM 是具有更廣泛應用程序的外部設備,用于處理與組織網絡中的許多或所有設備和應用程序相關的操作。


        TPM 基本上是物理連接到各個設備主板的計算機芯片,以保護其 PKI 密鑰,同時將它們與設備的 CPU 內存分開。它們有助于確保設備完整性并為設備的加密操作提供隔離環境。


        另一方面,HSM 是不限于單個機器的硬件設備。它們旨在供您組織中的應用程序和服務器大規模使用。


        誰使用 HSM,為什么它們對您組織的數字安全很重要?

        美國國家標準與技術研究院 (NIST) 特別出版物“密鑰管理建議:第 2 部分 — 密鑰管理組織的最佳實踐”(SP-800-57 第 2 部分,第 1 版)將硬件安全模塊描述為關鍵的密鑰管理組件。它們是使安全密鑰存儲和加密操作成為可能的物理基礎設施的一部分。


        幾乎所有行業的組織都在使用 HSMS,其中一些包括:

        • 證書頒發機構(公共和私有 CA)

        • 政府和公共部門組織

        • 云服務提供商和供應商

        • 銀行、信用卡公司和其他金融機構

        • 區塊鏈平臺和實體

        • 汽車制造商

        • 娛樂服務提供商

        • 物聯網設備開發商和制造商


        就行業而言,這是相當分散的,對嗎?這種變化的部分原因是硬件安全模塊有兩種主要類型(我們將稍后探討),用于組織的各種用途。 


        HSM 做什么:組織環境中的 HSM 用例和應用程序

        硬件安全模塊通常用于安全地存儲加密密鑰和支付相關信息。然而,就當前和未來的應用而言,它們的用途跨越了整個領域。以下是您目前可以找到全球使用的 HSM 的一些方法:

        • 保護護照相關系統的數字身份

        • 保護根 CA 密鑰(用于公共和私有 CA)

        • 驗證用戶身份信息

        • 在組織環境中實現大規模加密操作

        • 保護區塊鏈簽名中的根密鑰

        • 為各個行業(汽車、制造、醫療設備和游戲機)的互聯技術創建強大的證書

        • 保護流媒體服務的數字水印屬性


        兩種類型的硬件安全模塊:通用型HSM和支付型HSM

        通用型硬件安全模塊(HSM)

        通用 HSM 是所有類型的組織用作其組織整體網絡安全的一部分的那些。這些設備通常使用供應商中立的 API 來促進應用程序的通信和加密服務。這是因為通用 HSM 依賴于公鑰加密標準 #11 (PKCS#11),這是一組標準,概述了應用程序和 HSM 如何為加密操作進行交互和通信。(這實現了不同制造商的應用程序和設備之間的互操作性。)


        他們還必須滿足地理或行業安全驗證和可信度要求和標準,例如:

        • FIPS 140-2 驗證要求。美國聯邦機構必須使用符合 FIPS 140-2(理想情況下至少為 3 級)驗證要求的設備。


        • 信息技術安全評估的通用標準 (CC)。通用標準是全球最廣泛認可的 IT 安全產品標準之一。


        • eIDAS 保護配置文件 EN 419 221-5。這些法規可信度要求基于通用標準,并且是整個歐盟的許多政府實體所要求的。


        • HIPAA 安全規則。技術保障包括加密作為處理涵蓋數據的組織的“可尋址”實施規范。盡管沒有特別提到 HSM,但它們是保護加密和解密過程所需的私鑰的最安全方法。


        支付型硬件安全模塊(HSM)

        正如您可能從名稱中猜到的那樣,第二類 HSM 專注于支付行業并且更加專業。與通用 HSM 一樣,支付 HSM 也是防篡改硬件組件,使企業能夠存儲和保護密鑰和數據。但是,這些密鑰與金融應用程序和交易相關,并執行存儲客戶 PIN 等工作。


        支付 HSM 旨在滿足許多不同的標準并使用各種接口。它們還需要與通用 HSM 對應的不同協議和認證,其中一些包括支付卡行業 PTS 硬件安全模塊 (PCI PTS HSM)模塊化安全要求和FIPS 140-2 驗證要求(3 級或更高),以及各種區域安全要求。


        攬閣信息,您可以輕松獲取到以上兩種類型HSM的相關介紹,以及我們根據您的業務場景定制的解決方案,并且您還可以在攬閣信息購買到這些產品。


        使用 HSM 保護 PKI 時要牢記的 5 個實用性

        我們談到了通用 HSM 在組織環境中的一些用途?,F在,讓我們探索一些實際應用。


        1. 在第一天將 HSM 納入您的私有 PKI

        硬件安全模塊提供基礎安全性并信任您的 PKI 需求。這就是為什么它應該從一開始就成為您組織的公鑰基礎設施的一部分,而不是稍后才添加。(從技術上講,您可以稍后將 HSM 添加到您的私有 PKI 架構中——但是,它確實需要大量額外的工作和配置,您可以通過將設備作為初始 PKI 的一部分來避免這些工作。)

        • 將密鑰存儲在服務器上的軟件中會使這些敏感資產面臨暴露和泄露的風險。

        • 在開始時使用 HSM 會創建一個安全記錄,使您的 PKI 可審計。

        • 從一開始就結合 PKI 可為您的私有 CA 可擴展性提供有益于您成長中的組織。


        2. 使您的身份驗證工件和流程更安全

        HSM 允許您存儲組織的加密密鑰并創建啟用用戶、設備和軟件身份驗證所需的 PKI 證書。此外,身份驗證過程本身可以發生在 HSM 的內部環境中。這通過不需要直接訪問、復制或移動密鑰來保證密鑰的安全。


        3. 通過加密卸載提高服務器性能

        您可以使用硬件安全模塊進行加密卸載(例如 SSL/TLS)。SSL/TLS 卸載的目的是通過將這些功能轉移到另一臺設備(例如負載平衡器)來減輕您的 Web 服務器上因加密和解密流量而產生的負擔。


        如果您選擇將私鑰存儲在 HSM 而不是 Web 服務器中,則可以將與該流量相關的加密功能轉移到您的 HSM。


        4. 加密可提取的加密密鑰以提高安全性

        開放 Web 應用程序安全項目 (OWASP) 的密鑰管理備忘單指定,如果您選擇離線或在 HSM 等設備中保護您的加密密鑰,您應該使用密鑰加密密鑰或 KEK 對其進行加密。


        5. 使用擁有自己HSM的mPKI 解決方案或服務

        如果您想避免與私有 PKI 的 HSM 內部管理相關的成本和責任,請選擇使用 HSM 構建平臺的 mPKI 提供商。這樣做可以讓您的授權用戶遠程使用您組織的 HSM 存儲的密鑰,而無需訪問或觸摸這些密鑰。例如,用戶可以對 EV 代碼簽名證書進行簽名,而無需承擔手頭可能丟失或被盜的單個令牌的必要風險。


        最后的想法:要使 HSM 有效,您必須確保它們的安全

        雖然 HSM 是出色的安全工具,但它們要求您采取措施確保它們(以及其中包含的密鑰)的安全。這包括物理安全措施以及數字訪問。


        第一個方面需要將您的硬件安全模塊存儲在安全的物理位置(例如安全的數據中心或服務器機房)。您的 HSM 絕不應存儲在未經授權的個人可以訪問的開放或不安全的位置。  


        HSM 需要強大的訪問控制、策略和流程,以確保您的加密密鑰安全并確保只有授權用戶才能使用它。這樣,未經授權的員工或邪惡的外部方(即網絡犯罪分子)就不會使用您的加密密鑰對您的數據、應用程序或證書進行數字簽名。


        還要確保監視您的 HSM 事件日志。這樣,您就知道誰試圖訪問或使用您的加密密鑰以及他們如何使用它們。


        攬閣信息可提供的部分安全產品和解決方案信息

        聯系攬閣信息,您可以獲取到更多滿足全球合規性要求的信息安全產品資料,以及相關的整體解決方案的相關資料。如:


        您還可以得到攬閣信息所提供的優質服務。

        攬閣信息 · 值得您信賴的信息安全顧問!


        相關閱讀

        購買咨詢電話
        021-54410609
        曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精