Entrust nShield HSMs | Eine Klasse für sich

Unbegrenzte Skalierbarkeit

Die einzigartige Security World-Architektur von Entrust unterstützt im Gegensatz zu einigen alternativen HSMs die Speicherung einer unbegrenzten Anzahl von Schlüsseln und ist dabei weniger aufwendig in der Bereitstellung. Mithilfe der Entrust Security World-Architektur können Organisationen alle nShield HSMs in ihrer Umgebung zentral verwalten. Unabhängig davon, ob zwei oder viele nShield HSMs im Einsatz sind – Teams können eine einheitliche Richtlinien- und Betriebsverwaltung etablieren. Security World ermöglicht eine schnelle Skalierbarkeit, indem der Master-Schlüssel auf das neue nShield HSM migriert wird – so lassen sich HSMs mühelos einer bestehenden Gruppe hinzufügen. Dies ermöglicht es einer Organisation, die Leistung zu steigern, das Lastenausgleichs- und Failover-System zu erweitern oder die Kapazität zur Schlüsselverarbeitung zu erhöhen.

Vor Ort aufrüstbar, optimierte Leistung

Entrust nShield HSMs ermöglichen es Kunden, eine höhere Leistung mühelos zu erzielen. Die nShield 5 HSM-Modelle sind bis zu 40 % schneller als die Vorgängerversionen und unterstützen damit die steigende Nachfrage von Anwendungen, die höchste Anforderungen an Datensicherheit stellen.

Benutzerdefinierte API

Für eine optimale, fein abgestufte Steuerung bei der Integration mit nShield HSMs bietet die native nCore API mehrere Vorteile gegenüber der weit verbreiteten PKCS#11 API – insbesondere bei der Verarbeitung paralleler Anfragen und der effizienten Verwaltung einer großen Anzahl von Schlüsseln. Die nCore-API wurde entwickelt, um eine schlankere und effizientere Schnittstelle für die Interaktion mit nShield HSMs bereitzustellen und dabei die maximalen Fähigkeiten jedes kryptografischen Gerätetyps auszuschöpfen.

Flexibilität

Entrust Security World bietet Teams die nötige Flexibilität, um ihre HSM-Operationen an die spezifische Umgebung, die betrieblichen Abläufe und die Sicherheitsanforderungen ihrer Organisation anzupassen. Je nach Bedarf können Sicherheitsteams die Schlüsselautorisierung manuell oder vollständig automatisiert verwalten. Beispielsweise können in transaktionsbasierten Umgebungen Vorgänge vorab autorisiert und bei Bedarf ausgeführt werden, während hochsensible Aufgaben die manuelle Freigabe durch mehrere Administratoren erfordern können.

Zukunftssichere HSMs

Krypto-Agilität – die Fähigkeit von Organisationen, neue und aufkommende Verschlüsselungsmethoden nahtlos zu übernehmen – war noch nie so wichtig wie heute. Die erste Welle postquantenkryptografischer Algorithmen wurde standardisiert, und weitere Algorithmen werden fortlaufend eingeführt. Wir wissen bereits von NISTs Plan, klassische Algorithmen wie RSA und ECDSA bis 2030 auszumustern und ihre Verwendung bis 2035 vollständig zu untersagen.

Unsere nShield 5 HSMs bieten Krypto-Agilität direkt ab Werk – dank ihres Sicherheitsprozessors, einem Field-Programmable Gate Array (FPGA), das vor Ort über Firmware-Updates flexibel neu programmiert werden kann. Dies reduziert kosten- und zeitintensive Hardware-Aktualisierungen und erhöht die Widerstandsfähigkeit gegenüber Quantencomputern, die die heute verwendeten Verschlüsselungstechniken gefährden könnten. Während wir uns auf die bevorstehenden Herausforderungen durch Quantencomputer vorbereiten, sind HSMs entscheidend für die Sicherheit und das Vertrauen in IT-Systeme, die Cloud und das Internet. Entrust nShield HSMs sind zudem für Multi-Tenancy (zukünftiges Update) ausgelegt und können vor Ort ganz einfach per Firmware-Update aufgerüstet werden.

Backups leicht gemacht

Wir sind uns der zunehmenden Bedeutung vereinfachter, automatisierter Backup- und Wiederherstellungsverfahren bewusst. Einige auf dem Markt erhältliche HSMs erfordern Backup-HSMs und manuelle, arbeitsintensive HSM-Klonvorgänge. Unsere Security World-Architektur ermöglicht einfache, automatisierte Backups von HSM-Dateien. Mit Security World können Teams HSM-Dateien unter Verwendung bestehender Dateiverwaltungsprozesse sichern und Schlüssel sicher in der bequemeren Anwendungsschicht statt in der HSM-Schicht verwalten.

HSMs mit hoher Sicherheit

Durch die Erlangung der FIPS 140-3 Level 3-Zertifizierung gehört Entrust zu den wenigen Anbietern, die die äußerst strengen Anforderungen an Datensicherheit von Regierungen, Finanzinstituten und Unternehmen weltweit erfüllen können. Die nShield 5 HSMs haben außerdem die Common Criteria EAL4+-Zertifizierung erreicht und erfüllen damit die neuesten Industriestandards für HSMs, um den strengen eIDAS-Anforderungen der Europäischen Union gerecht zu werden. Zusammen mit der FIPS 140-3-Zertifizierung sind die Entrust nShield 5 HSMs ideal aufgestellt, um den wachsenden Bedarf von Organisationen an globaler Compliance-Unterstützung zu erfüllen.

Bewährte Lösung

Entrust nShield HSMs sind seit über 25 Jahren Marktführer – mit mehr als 100.000 ausgelieferten Einheiten. Unsere HSMs werden kontinuierlich weiterentwickelt, um Marktprobleme zu lösen und aufkommende Branchentrends zu unterstützen. In Kombination mit dem erstklassigen 24/7-Support kann das nShield HSM nahezu jede Geschäftsanwendung unterstützen.

Über 150 Integrationen mit Alliance-Partnern für Entrust nShield HSMs:

Entrust nShield HSMs bieten hochgradige Sicherheit für eine Vielzahl gängiger Anwendungsfälle, darunter PKI, privilegiertes Zugriffsmanagement, Datenbanksicherheit und Code Signing. Mit über 150 Alliance-Partnern und validierten Partnerintegrationen zur Unterstützung einer Vielzahl von Anwendungen sind unsere Hardware-Sicherheitsmodule einzigartig konzipiert, um Risiken zu minimieren und Ihre geschäftskritischen Anwendungen in unterschiedlichen Anwendungsfällen abzusichern.

CodeSafe

Die Entrust CodeSafe-Software ist eine innovative und leistungsstarke Funktion, die es ermöglicht, Anwendungscode innerhalb der geschützten Umgebung eines manipulationssicheren nShield HSM auszuführen – ohne die FIPS- oder Common Criteria-Zertifizierung des nShield HSM zu beeinträchtigen, im Gegensatz zu Lösungen anderer HSM-Anbieter. Diese Funktion schützt sicherheitskritische kryptografische Prozesse oder proprietäre Geschäftslogik vor potenziell gefährdeten Anwendungsserver-Umgebungen und schafft einen vertrauenswürdigen Raum innerhalb des HSM – gemeinsam mit dem zugehörigen Schlüsselmaterial. Beispielsweise kommen bei der Verschleierung sensibler Kreditkartennummern zur Erfüllung von Anforderungen an die Zahlungskartensicherheit proprietäre kryptografische Verfahren wie Format Preserving Encryption (FPE) zum Einsatz. Um diese sensible Geschäftslogik zu schützen, wird sie innerhalb der physischen FIPS-Grenzen des HSM ausgeführt – und bietet so eine zusätzliche Sicherheitsebene. 

Entrust HSM as a Service

Entrust bietet eine Vielzahl flexibler HSM-Bereitstellungsmodelle, um Ihre spezifische Umgebung und Anwendungen optimal zu unterstützen. Unsere Entrust HSMaaS-Lösung, nShield as a Service, ist eine abonnementbasierte Lösung zur Erzeugung, zum Zugriff und zum Schutz kryptografischen Schlüsselmaterials – getrennt von sensiblen Daten. Dies bietet die gleiche Funktionalität wie lokale HSMs sowie die Vorteile einer Cloud-Service-Bereitstellung, ohne dass Sie die Geräte selbst hosten und warten müssen. Während Kunden, die nShield as a Service nutzen, auf dedizierte HSM-Hardware in einem sicheren Rechenzentrum zugreifen, bieten andere Cloud-basierte HSM-Angebote möglicherweise keine dedizierte Hardware. Diese Lösung kann auch als Notfallwiederherstellungslösung eingesetzt werden und wird vom erstklassigen 24/7-Kundensupport-Team von Entrust unterstützt.

Fähigkeit zur Fernkonfiguration und -verwaltung

nShield HSMs werden häufig in physisch sicheren, lichtgeschützten Rechenzentren an Standorten ausgeführt, die weit von den Personen entfernt sind, die sie verwalten. Mit nShield Remote Administration können Sie Ihre HSMs verwalten – einschließlich Hinzufügen von Anwendungen, Aktualisieren der Firmware und Überprüfen des Status – wo und wann immer Sie wollen. Dies bedeutet weniger Reisen zu Rechenzentren, wodurch Sie Kosten sparen und Ihre Ressourcen optimieren können.

Mit der Fernverwaltung können Sie die meisten typischen HSM-Funktionen ausführen, darunter:

• Konfigurieren neuer nShield HSMs
• Erstellen neuer nShield Security Worlds – der einzigartigen Schlüsselverwaltungsarchitektur von Entrust – und Einbinden neuer HSMs in bestehende Security Worlds
• Aktualisierung von Firmware und Image-Dateien zur Wartung und für Funktionsupdates
• Überwachung und Änderung des HSM-Status und Neustart nach Bedarf

Jedes nShield HSM und jede Remote-Smartcard sind durch die Einbettung eines Schlüssels zum Zeitpunkt der Herstellung eindeutig garantiert, was bedeutet, dass das Vertrauen zwischen diesen beiden Komponenten ohne weiteres hergestellt werden kann. Im Gegensatz zu einigen anderen Anbietern ist keine Pairing-Zeremonie zwischen Entrust HSMs und Remote-Geräten vor dem Einsatz erforderlich.

nShield Software-Optionspakete

Die Software-Optionspakete von Entrust nShield sind einfach einzurichten und zu implementieren und bieten alles, was Sie für die Integration hochsicherer nShield HSMs in Ihre bevorzugte Umgebung benötigen. Für nShield HSMs sind die folgenden Software-Optionspakete verfügbar:

• Webdienste: Cloud-fähige, REST-ähnliche Schnittstelle für hochsichere nShield HSMs
• Containerisierte Anwendungen: Containerisierte Anwendungen, integriert mit hochsicheren, FIPS-zertifizierten nShield HSMs
• Zeitstempelung: Sichere und präzise Zeitstempelung gewährleistet die Integrität und Rückverfolgbarkeit digitaler Aufzeichnungen, Code Signing, Transaktionen, Protokolle und mehr.
• Cloud-Integration: BYOK-Funktionalität zur Verwendung Ihrer nShield-HSMs zum Generieren, Speichern und Verwalten der Schlüssel, auf die Sie sich zur Sicherung Ihrer sensiblen Cloud-gehosteten Anwendungen verlassen
• Datenbanksicherheit: Integration mit Microsoft SQL Server unter Verwendung der Extensible Key Management (EKM) API von Microsoft

Nahtlose Integration mit KeyControl

Entrust nShield HSMs lassen sich nahtlos in Entrust KeyControl integrieren – unser leistungsstarkes System für das Lebenszyklusmanagement von Schlüsseln. KeyControl basiert auf einer dezentralen, tresorbasierten Architektur und bietet zentrale Transparenz sowie Compliance-Management. So wird sichergestellt, dass die Schlüsselverwaltungspraktiken den strengen gesetzlichen Vorschriften und unternehmensinternen Anforderungen entsprechen. Schlüssel und Geheimnisse werden standortbezogen verwaltet und in Übereinstimmung mit Vorgaben zur Datensouveränität behandelt.