Хората и фирмите трябва да защитават активите си с помощта на криптографски ключове. Но те също трябва да защитят тези ключове. HSM може да са отговорът.
Киберпрестъпниците могат да бъдат намерени навсякъде, като се насочват и атакуват всяко податливо устройство, част от софтуера или система, които срещат. Това наложи лица и компании да предприемат мерки за сигурност от следващо ниво, като използване на криптографски ключове, за да защитят своите ИТ активи.
Въпреки това, управлението на криптографски ключове, включително генерирането, съхраняването и одита им, често е основна пречка при защитата на системите. Добрата новина е, че можете безопасно да управлявате криптографски ключове с помощта на хардуерен модул за сигурност (HSM).
Какво представлява хардуерен модул за сигурност (HSM)?
HSM е физическо изчислително устройство, което защитава и управлява криптографски ключове. Обикновено има поне един защитен криптопроцесор и обикновено се предлага като плъгин карта (SAM/SIM карта) или външно устройство, което се свързва директно към компютър или мрежов сървър.
HSM са създадени специално за защита на жизнения цикъл на криптографските ключове, като използват устойчиви на подправяне и видими подправяне хардуерни модули и защитават данните чрез множество техники, включително криптиране и декриптиране. Те също така служат като сигурни хранилища за криптографски ключове, които се използват за задачи като криптиране на данни, управление на цифрови права (DRM) и подписване на документи.
Как работят хардуерните модули за сигурност?
HSM гарантират безопасността на данните чрез генериране, защита, внедряване, управление, архивиране и изхвърляне на криптографски ключове.
По време на осигуряването се генерират уникални ключове, архивират се и се криптират за съхранение. След това ключовете се разполагат от оторизиран персонал, който ги инсталира в HSM, което позволява контролиран достъп.
HSM предлагат функции за управление за наблюдение, контрол и ротация на криптографски ключове според индустриалните стандарти и организационни политики. Най-новите HSM, например, осигуряват съответствие чрез прилагане на препоръката на NIST за използване на RSA ключове от поне 2048 бита.
След като криптографските ключове вече не се използват активно, процесът на архивиране се задейства и ако ключовете вече не са необходими, те се унищожават сигурно и за постоянно.
Архивирането включва съхраняване на излезли от употреба ключове офлайн, което позволява бъдещо извличане на данни, криптирани с тези ключове.
За какво се използват хардуерните модули за сигурност?
Основната цел на HSM е да защитават криптографски ключове и да предоставят основни услуги за защита на самоличности, приложения и транзакции. HSM поддържат множество опции за свързване, включително свързване към мрежов сървър или използване офлайн като самостоятелни устройства.
HSM могат да бъдат пакетирани като смарт карти, PCI карти, дискретни устройства или облачна услуга, наречена HSM като услуга (HSMaaS). В банкирането HSM се използват в банкомати, EFT и PoS системи, за да назовем само няколко.
HSM защитават много ежедневни услуги, включително данни за кредитни карти и ПИН кодове, медицински устройства, национални лични карти и паспорти, интелигентни измервателни уреди и криптовалути.
Видове хардуерни модули за сигурност
HSM се предлагат в две основни категории, всяка от които предлага различни защитни способности, пригодени за специфични индустрии. Ето различните налични видове HSM.
1. HSM с общо предназначение
HSM с общо предназначение разполагат с множество алгоритми за криптиране, включително симетрични, асиметрични, и хеш функции. Тези най-популярни HSM са най-известни с изключителната си производителност при защита на чувствителни типове данни, като крипто портфейли и инфраструктура с публичен ключ.
HSM управляват множество криптографски операции и обикновено се използват в PKI, SSL/TLS и обща защита на чувствителни данни. Поради това HSM с общо предназначение обикновено се използват, за да помогнат за постигане на общи индустриални стандарти като изисквания за сигурност на HIPAA и съответствие с FIPS.
HSM с общо предназначение също поддържат API свързаност, използвайки Java Cryptography Architecture (JCA), Java Cryptography Extension (JCE), Cryptography API Next Generation (CNG), Public-Key Cryptography Standard (PKCS) #11 и Microsoft Cryptographic Application Programming Interface (CAPI), позволяващи на потребителите да избират рамката, която най-добре отговаря на техните криптографски операции.
2. HSM за плащания и транзакции
HSM за плащания и транзакции са специално проектирани за финансовата индустрия, за да защитят чувствителна информация за плащане, като номера на кредитни карти. Тези HSM поддържат протоколи за плащане, като APACS, като същевременно поддържат множество специфични за индустрията стандарти, като EMV и PCI HSM, за съответствие.
HSM добавят допълнително ниво на защита към платежните системи, като осигуряват чувствителни данни по време на предаване и съхранение. Това накара финансовите институции, включително банки и процесори за обработка на плащания, да го приемат като цялостно решение за осигуряване на сигурна обработка на плащания и транзакции.
Основни характеристики на хардуерните модули за сигурност
HSM служат като критични компоненти за осигуряване на съответствие с разпоредбите за киберсигурност, подобряване на сигурността на данните и поддържане на оптимални нива на обслужване. Ето основните характеристики на HSM, които им помагат да постигнат това.
1. Устойчивост на намеса
Основната цел да направите HSMs устойчиви на подправяне е да защитите вашите криптографски ключове в случай на физическа атака срещу HSM.
Съгласно FIPS 140-2, HSM трябва да включва пломби срещу фалшифициране, за да се класира за сертифициране като устройство от ниво 2 (или по-високо). Всеки опит за манипулиране на HSM, като премахване на ProtectServer PCIe 2 от неговата PCIe шина, ще задейства събитие за манипулиране, което изтрива всички криптографски материали, конфигурационни настройки и потребителски данни.
2. Сигурен дизайн
HSM са оборудвани с уникален хардуер, който отговаря на изискванията, определени от PCI DSS и отговаря на различни държавни стандарти, включително Common Criteria и FIPS 140-2.
По-голямата част от HSMs са сертифицирани на различни нива на FIPS 140-2, най-вече на сертифициране на ниво 3. Избраните HSMs, сертифицирани на ниво 4, най-високото ниво, са страхотно решение за организации, които търсят защита от пиково ниво.
3. Удостоверяване и контрол на достъпа
HSM служат като пазачи, контролиране на достъпа до устройствата и данните те защитават. Това е очевидно чрез тяхната способност да наблюдават HSM активно за подправяне и да реагират ефективно.
Ако се установи манипулиране, някои HSM или ще спрат да работят, или ще изтрият криптографските ключове, за да предотвратят неоторизиран достъп. За да подобрят допълнително сигурността, HSM използват силни практики за удостоверяване като многофакторно удостоверяване и строги политики за контрол на достъпа, ограничаващи достъпа до упълномощени лица.
4. Съответствие и одит
За да поддържат съответствие, HSM трябва да се придържат към различни стандарти и разпоредби. Основните включват Общия регламент за защита на данните на Европейския съюз (GDPR), Разширения за сигурност на системата за имена на домейни (DNSSEC), PCI стандарт за сигурност на данните, общи критерии и FIPS 140-2.
Спазването на стандартите и разпоредбите гарантира защита на данните и поверителността, сигурност на DNS инфраструктурата, сигурна трансакции с разплащателни карти, международно признати критерии за сигурност и спазване на правителствено криптиране стандарти.
HSM също така включват функции за регистриране и одит, позволяващи наблюдение и проследяване на криптографски операции за целите на съответствието.
5. Интеграция и API
HSM поддържат популярни API, като CNG и PKCS #11, което позволява на разработчиците безпроблемно да интегрират HSM функционалността в своите приложения. Те също така са съвместими с няколко други API, включително JCA, JCE и Microsoft CAPI.
Защитете своите криптографски ключове
HSM осигуряват едни от най-високите нива на сигурност сред физическите устройства. Способността им да генерират криптографски ключове, да ги съхраняват сигурно и да защитават обработката на данни ги позиционира като идеално решение за всеки, който търси подобрена сигурност на данните.
HSM включват функции като сигурен дизайн, устойчивост на фалшифициране и подробни регистрационни файлове за достъп, което ги прави полезна инвестиция за укрепване на сигурността на важни криптографски данни.
