nShield Connect
Los módulos de seguridad hardware (HSM) nShield Connect son dispositivos en red certificados para brindar servicios de clave criptográfica a aplicaciones distribuidas en servidores y máquinas virtuales.
HSM nShield Connect
Los HSM nShield Connect son dispositivos de seguridad hardware certificados para brindar servicios criptográficos a diferentes aplicaciones en red. Los dispositivos HSM nShield son plataformas a prueba de manipulaciones para funciones como cifrado, firma digital, generación y protección de claves. Con sus completas funcionalidades, estos HSM soportan un amplio rango de usos: autoridades de certificación, firma de código y mucho más.
La configuración remota evita costosos viajes al centro de datos
Los últimos modelos nShield Connect XC proporcionan un puerto serie opcional para que las empresas eviten costosos viajes al centro de datos. Las funcionalidades de configuración remota incluyen:
- Inicialización y modificación de la configuración de red de un HSM (por ejemplo, la dirección IP).
- Soporte para modelos proveedor/inquilino donde el proveedor configura el dispositivo HSM nShield antes de pasar el control a un inquilino. La separación de roles evita que el material de clave sea expuesto al proveedor.
- Al final de cada ciclo de uso, purga de material de clave y desactivación del dispositivo HSM nShield con vistas a su próximo despliegue.
En el centro de datos, los técnicos solo necesitan montar y cablear el dispositivo HSM nShield y conectar un concentrador en serie. Tras completar esta operación, nShield Connect XC soporta configuración y administración completamente remotas. De este modo, se reduce la necesidad de especialistas en el centro de datos. Los clientes ganan eficiencia y control sobre sus HSM.
Ventajas de nShield Connect
Arquitectura de gran alcance
Puede crear y hacer crecer su patrimonio HSM con Security World, el ecosistema unificado de Entrust que ofrece escalabilidad, equilibrio de carga, conmutación por error y recuperación en caso de desastres.
Procesamiento de datos más rápido
Alcance uno de los mayores ritmos de transacción criptográfica de la industria. Ideal para entornos donde el rendimiento es fundamental.
Protección de lógica empresarial sensible
Ejecute el código dentro de los límites nShield para proteger sus aplicaciones y los datos que procesan.
Especificaciones técnicas
Soluciones hardware certificadas
Entrust ha obtenido una amplia variedad de certificaciones para productos nShield. Con estas certificaciones, nuestros clientes demuestran el cumplimiento de estrictos estándares de la industria.
Cumplimiento de normativas de seguridad
- FIPS 140-2 Nivel 2 y Nivel 3
- Acreditación USGv6
- Certificación eIDAS y Common Criteria EAL4 + AVA_VAN.5 y ALC_FLR.2 según el perfil de protección EN 419221-5 y esquema Dutch NSCIB
- Puede servir como base de un sistema de firma remota con certificación EN 419 241-2 para eIDAS.
- Cumple BSI AIS 31 para generación de números aleatorios verdadera o determinista
- Certificación ICP Brasil nivel NSC3
- Certificación CSA NITES de Singapur para los modelos nShield Connect XC
Cumplimiento de normas de seguridad y medio Ambiente
- UL, CE, FCC, C-TICK, ICES de Canadá
- RoHS2, WEEE
Elevados ritmos de transacción
Los HSM nShield destacan por su elevado ritmo de transacciones ECC y RSA. ECC es uno de los algoritmos criptográficos más eficientes. Es ideal para aplicaciones que requieren bajo consumo de energía (por ejemplo, aplicaciones ejecutadas en pequeños sensores o dispositivos móviles).
XC Medio | XC Alto |
Firma RSA (tps) con rendimiento para longitudes de clave recomendadas por el NIST | |
3500 | 8600 |
850 | 2025 |
firma ECC (tps) con rendimiento para longitudes de clave recomendadas por el NIST | |
75121 | 144001 |
Nota 1: El rendimiento indicado requiere activar ECDSA con RNG rápida. Solicítelo sin cargo al soporte técnico de Entrust.
Amplio soporte para diferentes API, algoritmos criptográficos y sistemas operativos
API soportadas
- PKCS # 11, OpenSSL, Java (JCE), Microsoft CAPI/CNG y Web Services (requiere Web Services Option Pack)
Algoritmos criptográficos compatibles
- Algoritmos asimétricos de clave pública: RSA, Diffie-Hellman, ECMQV, DSA, KCDSA, ECDSA, ECDH, Edwards (X25519, Ed25519ph)
- Algoritmos simétricos AES, AES-GCM, ARIA, Camellia, CAST, RIPEMD160 HMAC, SEED, Triple DES
- Hash/resumen de mensaje: SHA-1, SHA-2 (224, 256, 384, 512 bits), HAS-160
- Nuestra completa implementación de la suite B con ECC incluye Brainpool y curvas personalizadas
- ECKA (Elliptic Curve Key Agreement) disponible mediante API Java y nCore
- ECIES (Elliptic Curve Integrated Encryption Scheme) disponible mediante API Java, PKCS#11 y nCore
Los módulos de seguridad hardware (HSM) nShield soportan de forma nativa la mayoría de estos algoritmos criptográficos. Para utilizar algoritmos de curva elíptica ECC o de Corea del Sur se requieren licencias de activación opcionales.
Plataformas soportadas:
Sistemas operativos Windows y Linux (RedHat, SUSE, etc.). Máquinas virtuales y contenedores de los principales proveedores de servicios en la nube.
Fiabilidad
Calculado con una temperatura operativa de 25ºC y Telcordia SR-332 "Reliability Prediction Procedure for Electronic Equipment" del estándar MTBF.
- Connect XC 107.384 horas
Opciones y accesorios
Calificaciones y opciones de rendimiento
Para cumplir necesidades de rendimiento de su aplicación, Entrust proporciona modelos nShield Connect que puede consultar en la pestaña Especificaciones técnicas. Puede seleccionar modelos de rendimiento, o adquirir actualizaciones in situ para mejorar el rendimiento de modelos XC.
Licencias para clientes
Los HSM nShield Connect se distribuyen con tres licencias de cliente. Cada licencia permite conectarse a una dirección IP. Puede adquirir licencias adicionales. Consulte en la siguiente tabla el máximo de licencias de cliente soportado por cada modelo nShield Connect.
Máximo número de licencias de cliente por modelo nShield Connect
- XC Base/500 + 10 licencias
- XC Mid/1500 + 20 licencias
- XC High/6000+ Unlimited*
Nota* requiere la activación de la licencia de cliente empresarial
Paquete de opciones software
Entrust ofrece paquetes de opciones software para sus HSM nShield.
nShield Monitor
La plataforma de monitoreo nShield Monitor proporciona visibilidad 24x7 del estado de los HSM nShield. Con esta solución, equipos especializados en seguridad pueden inspeccionar los módulos de seguridad hardware (HSM) y detectar cualquier problema de seguridad informática, configuración o uso que comprometa su infraestructura.
Paquetes para administración remota
Con nShield Remote Administration, los operadores administran HSM nShield distribuidos: agregan aplicaciones, actualizan firmware, verifican el estado, reinician y mucho más. Todo ello desde su oficina para ahorrar viajes y dinero. Los kits de configuración remota contienen hardware y software para instalar y utilizar la herramienta. Estos paquetes están disponibles para HSM nShield Solo y nShield Connect.
Recuperación en caso de desastres en la nube
Aumento de la redundancia y la confiabilidad de las implementaciones en las instalaciones.
- Servicio por suscripción
- Agrega recursos de HSM fuera del sitio
- Conveniente y rentable
CodeSafe
CodeSafe permite ejecutar aplicaciones en el ámbito seguro de los HSM nShield. Las aplicaciones ejecutadas incluyen criptografía y lógica empresarial de alto valor relacionada con banca, métricas, agentes de autenticación, agentes de firma digital y procesos de encriptación personalizados. CodeSafe está disponible con HSM nShield Solo (certificado FIPS 140-2 Nivel 3) y nShield Connect.
CipherTools
EntrustTools es un conjunto de tutoriales, documentos de referencia, programas de ejemplo y bibliotecas adicionales. Con estas herramientas, los desarrolladores aprovechan al máximo las capacidades de integración de los HSM nShield. Además de ser compatibles con diferentes API, las herramientas permiten ejecutar aplicaciones personalizadas con HSM nShield. EntrustTools Developer Toolkit se incluye de forma gratuita en el ISO/DVD de Security World.
nToken
Con las tarjetas PCIe nTokens, los equipos se seguridad disponen de identificación y verificación hardware para autenticar a los clientes de sus HSM nShield Connect.
Activación de la criptografía de curva elíptica (ECC)
La licencia para criptografía de curva elíptica ECC habilita el uso de EC-DH, EC-DSA y EC-MQV en nShield HSM.
Activación KCDSA
Con la licencia para KCDSA puede usar los siguientes algoritmos en los HSM nShield: KCSDA (Korean Certificate-based Digital Signature Algorithm), HAS-160, SEED y ARIA.
Rieles
Entrust proporciona rieles opcionales para montar nShield Connect en un rack de 19'' sin bandeja. Entrust recomienda utilizar siempre estos rieles porque las piezas de otros fabricantes podrían no ser compatibles.
Teclado
Con la rueda táctil situada en la parte frontal de la unidad puede ejecuta fácilmente varias funciones de los HSM nShield Connect. Entrust proporciona un teclado USB opcional para mayor facilidad de uso.
Piezas reemplazables in situ
Los operadores pueden sustituir componentes nShield Connect in situ y con un tiempo de inactividad mínimo. Estos componentes reemplazables incluyen fuentes de alimentación intercambiables en caliente y una bandeja de ventilador que se puede sustituir in situ (con nShield Connect en modo de espera).