Ljudje in podjetja morajo zaščititi svoja sredstva s kriptografskimi ključi. Vendar morajo te ključe tudi zaščititi. HSM so morda odgovor.
Kibernetske kriminalce je mogoče najti povsod, ciljajo in napadajo vsako dovzetno napravo, kos programske opreme ali sistem, na katerega naletijo. Zaradi tega so posamezniki in podjetja morali sprejeti varnostne ukrepe naslednje stopnje, kot je uporaba kriptografskih ključev, da zaščitijo svoja sredstva IT.
Vendar pa je upravljanje kriptografskih ključev, vključno z njihovim ustvarjanjem, shranjevanjem in nadzorom, pogosto velika ovira pri varovanju sistemov. Dobra novica je, da lahko varno upravljate kriptografske ključe z uporabo strojnega varnostnega modula (HSM).
Kaj je varnostni modul strojne opreme (HSM)?
HSM je fizična računalniška naprava, ki ščiti in upravlja kriptografske ključe. Običajno ima vsaj en varen kriptoprocesor in je običajno na voljo kot vtičnična kartica (kartica SAM/SIM) ali zunanja naprava, ki se priključi neposredno na računalnik ali omrežni strežnik.
HSM-ji so namensko izdelani za zaščito življenjskega cikla kriptografskih ključev z uporabo strojnih modulov, ki so odporni proti posegom in so vidni pri posegih, ter zaščito podatkov prek več tehnike, vključno s šifriranjem in dešifriranjem. Služijo tudi kot varna skladišča za kriptografske ključe, ki se uporabljajo za naloge, kot so šifriranje podatkov, upravljanje digitalnih pravic (DRM) in podpisovanje dokumentov.
Kako delujejo varnostni moduli strojne opreme?
HSM zagotavljajo varnost podatkov z ustvarjanjem, varovanjem, uvajanjem, upravljanjem, arhiviranjem in odstranjevanjem kriptografskih ključev.
Med zagotavljanjem se edinstveni ključi ustvarijo, varnostno kopirajo in šifrirajo za shranjevanje. Ključe nato namesti pooblaščeno osebje, ki jih namesti v HSM, kar omogoča nadzorovan dostop.
HSM ponujajo funkcije upravljanja za spremljanje, nadzor in rotacijo kriptografskega ključa v skladu z industrijskimi standardi in organizacijskimi politikami. Najnovejši HSM-ji na primer zagotavljajo skladnost z uveljavljanjem priporočila NIST o uporabi vsaj 2048-bitnih ključev RSA.
Ko se kriptografski ključi ne uporabljajo več aktivno, se sproži proces arhiviranja in če ključi niso več potrebni, se varno in trajno uničijo.
Arhiviranje vključuje shranjevanje razveljavljenih ključev brez povezave, kar omogoča prihodnje iskanje podatkov, šifriranih s temi ključi.
Za kaj se uporabljajo varnostni moduli strojne opreme?
Glavni namen HSM-jev je zaščititi kriptografske ključe in zagotoviti bistvene storitve za zaščito identitet, aplikacij in transakcij. HSM podpirajo več možnosti povezovanja, vključno s povezovanjem z omrežnim strežnikom ali uporabo brez povezave kot samostojne naprave.
HSM je mogoče pakirati kot pametne kartice, kartice PCI, ločene naprave ali storitev v oblaku, imenovano HSM kot storitev (HSMaaS). V bančništvu se HSM uporabljajo v bankomatih, EFT-jih in sistemih PoS, če naštejemo le nekatere.
HSM ščitijo številne vsakodnevne storitve, vključno s podatki o kreditnih karticah in kodami PIN, medicinskimi pripomočki, nacionalnimi osebnimi izkaznicami in potnimi listi, pametnimi števci in kriptovalutami.
Vrste varnostnih modulov strojne opreme
HSM-ji so v dveh glavnih kategorijah, od katerih vsaka ponuja različne zaščitne zmogljivosti, prilagojene določenim panogam. Tukaj so različne vrste HSM, ki so na voljo.
1. HSM za splošne namene
HSM za splošne namene imajo več funkcij algoritmi šifriranja, vključno s simetričnimi, asimetričnimiin zgoščene funkcije. Ti najbolj priljubljeni HSM-ji so najbolj znani po svoji izjemni zmogljivosti pri zaščiti občutljivih vrst podatkov, kot so kripto denarnice in infrastruktura javnih ključev.
HSM-ji upravljajo številne kriptografske operacije in se pogosto uporabljajo v PKI, SSL/TLS in splošni zaščiti občutljivih podatkov. Zaradi tega se HSM za splošne namene običajno uporabljajo za pomoč pri izpolnjevanju splošnih industrijskih standardov, kot so varnostne zahteve HIPAA in skladnost s FIPS.
HSM za splošne namene podpirajo tudi povezljivost API z uporabo Java Cryptography Architecture (JCA), Java Cryptography Extension (JCE), Cryptography API Next Generation (CNG), Public-Key Cryptography Standard (PKCS) #11 in Microsoft Cryptographic Application Programming Interface (CAPI), ki uporabnikom omogočata, da izberejo okvir, ki najbolj ustreza njihovim kriptografskim operacije.
2. HSM za plačila in transakcije
HSM za plačila in transakcije so bili zasnovani posebej za finančno industrijo za zaščito občutljivih podatkov o plačilih, kot so številke kreditnih kartic. Ti HSM podpirajo plačilne protokole, kot je APACS, hkrati pa podpirajo več standardov, specifičnih za industrijo, kot sta EMV in PCI HSM, za skladnost.
HSM dodaja dodatno raven zaščite plačilnim sistemom z zaščito občutljivih podatkov med prenosom in shranjevanjem. Zaradi tega so ga finančne institucije, vključno z bankami in plačilnimi procesorji, sprejele kot celovito rešitev za zagotavljanje varne obdelave plačil in transakcij.
Ključne lastnosti varnostnih modulov strojne opreme
HSM služijo kot ključne komponente za zagotavljanje skladnosti s predpisi o kibernetski varnosti, izboljšanje varnosti podatkov in vzdrževanje optimalne ravni storitev. Tukaj so ključne značilnosti HSM, ki jim pomagajo doseči to.
1. Odpornost proti posegom
Primarni cilj zagotavljanja zaščite HSM pred posegi je zaščititi vaše kriptografske ključe v primeru fizičnega napada na HSM.
V skladu s FIPS 140-2 mora HSM vključevati pečate, ki so zaščiteni pred nedovoljenimi posegi, da izpolnjuje pogoje za certificiranje kot naprava ravni 2 (ali višje). Vsak poskus poseganja v HSM, na primer odstranitev ProtectServer PCIe 2 iz njegovega vodila PCIe, bo sprožil dogodek poseganja, ki izbriše ves kriptografski material, konfiguracijske nastavitve in uporabniške podatke.
2. Varna zasnova
HSM so opremljeni z edinstveno strojno opremo, ki izpolnjuje zahteve, ki jih določa PCI DSS, in je v skladu z različnimi vladnimi standardi, vključno s skupnimi merili in FIPS 140-2.
Večina HSM je certificiranih na različnih ravneh FIPS 140-2, večinoma na ravni 3 certificiranja. Izbrani HSM, certificirani na ravni 4, najvišji stopnji, so odlična rešitev za organizacije, ki iščejo zaščito na najvišji ravni.
3. Avtentikacija in nadzor dostopa
HSM služijo kot vratarji, nadzor dostopa do naprav in podatkov varujejo. To je razvidno iz njihove sposobnosti, da aktivno spremljajo HSM za nedovoljene posege in se učinkovito odzovejo.
Če je zaznan poseg, bodo določeni HSM prenehali delovati ali pa izbrisali kriptografske ključe, da preprečijo nepooblaščen dostop. Za dodatno izboljšanje varnosti HSM uporabljajo močne prakse preverjanja pristnosti, kot je večfaktorsko avtentikacijo in stroge politike nadzora dostopa, ki omejujejo dostop pooblaščenim osebam.
4. Skladnost in revizija
Da bi ohranili skladnost, se morajo HSM držati različnih standardov in predpisov. Glavne vključujejo Splošna uredba Evropske unije o varstvu podatkov (GDPR), Varnostne razširitve sistema domenskih imen (DNSSEC), varnostni standard podatkov PCI, skupna merila in FIPS 140-2.
Skladnost s standardi in predpisi zagotavlja zaščito podatkov in zasebnosti, varnost infrastrukture DNS, varno transakcije s plačilnimi karticami, mednarodno priznana varnostna merila in spoštovanje vladnega šifriranja standardi.
HSM vključujejo tudi funkcije beleženja in revizije, kar omogoča spremljanje in sledenje kriptografskih operacij za namene skladnosti.
5. Integracija in API-ji
HSM podpirajo priljubljene API-je, kot sta CNG in PKCS #11, kar razvijalcem omogoča brezhibno integracijo funkcionalnosti HSM v njihove aplikacije. Združljivi so tudi z več drugimi API-ji, vključno z JCA, JCE in Microsoft CAPI.
Zaščitite svoje kriptografske ključe
HSM zagotavljajo nekaj najvišjih ravni varnosti med fizičnimi napravami. Njihova zmožnost ustvarjanja kriptografskih ključev, njihovega varnega shranjevanja in zaščite obdelave podatkov jih postavlja kot idealno rešitev za vsakogar, ki išče večjo varnost podatkov.
HSM vključujejo funkcije, kot so varna zasnova, odpornost proti posegom in podrobni dnevniki dostopa, zaradi česar so vredna naložba za krepitev varnosti ključnih kriptografskih podatkov.