¿Qué es un módulo de seguridad de hardware (HSM)?

Los módulos de seguridad de hardware (HSM) son dispositivos de hardware sólidos y resistentes a manipulaciones que aseguran los procesos criptográficos generando, protegiendo y administrando claves utilizadas para cifrar y descifrar datos y crear firmas y certificados digitales. Los HSM se prueban, validan y certifican con los estándares de seguridad máximos, incluidos FIPS 140-2 y Criterios Comunes . Entrust es un proveedor global líder de HSM de la familia de productos HSM de uso general nShield . Los HSM permiten a las organizaciones: Cumplir y superar los estándares regulatorios establecidos y emergentes para la ciberseguridad, que incluyen GDPR , eIDAS , PCI DSS , HIPAA , etc. Lograr altos niveles de seguridad de datos y confianza Mantener altos niveles de servicio y agilidad empresarial Ver video: ¿Qué son los módulos de seguridad de hardware? (3:18)

What is HSM as a service or Cloud HSM?

HSM as a service is a subscription-based offering where customers can use a hardware security module in the cloud to generate, access, and protect their cryptographic key material, separately from sensitive data. The service offering typically provides the same level of protection as an on-premises deployment, while enabling more flexibility. Customers can transfer CapEx to OpEx, enabling them to only pay for the services they need, when they need them. nShield as a Service uses dedicated FIPS 140-2 Level 3 certified nShield HSMs. The offering delivers the same full set of features and functionality as on-premise nShield HSMs, combined with the benefits of a cloud service deployment. This allows customers to fulfill either their cloud first objectives or deploy a mix of on-premise and as-a-Service HSMs, with maintenance of the as-a-Service appliances performed by the experts at Entrust. Watch Video - What is nShield as a Service? (3:06)

Why should I use an HSM?

Cryptographic operations like encryption and digital signing are worthless if the private keys they use are not well protected. Attackers today have grown much more sophisticated in their ability to locate private keys that are stored or are in use. HSMs are the gold standard for protection of private keys and associated cryptographic operations, and enforce the policy defined by the using organization for users and applications that can access those keys. HSMs can be used with many different types of applications that perform encryption or digital signing. The top 10 use cases for HSMs, from the 2021 Ponemon Global Encryption Trends Study (May 2021) , are shown in the figure below.

What value does an HSM provide?

HSMs enhance and extend the security of a wide range of applications that perform encryption and digital signing.

What is a Root of Trust?

Root of Trust (RoT) is a source that can always be trusted within a cryptographic system. Because cryptographic security is dependent on keys to encrypt and decrypt data and perform functions such as generating digital signatures and verifying signatures, RoT schemes generally include a hardened hardware module. A principal example is the hardware security module (HSM) which generates and protects keys and performs cryptographic functions within its secure environment. Because this module is for all intents and purposes inaccessible outside the computer ecosystem, that ecosystem can trust the keys and other cryptographic information it receives from the root of trust module to be authentic and authorized. This is particularly important as the Internet of Things (IoT) proliferates, because to avoid being hacked, components of computing ecosystems need a way to determine information they receive is authentic. The RoT safeguards the security of data and applications and helps to build trust in the overall ecosystem. RoT is a critical component of public key infrastructures (PKIs) to generate and protect root and certificate authority keys; code signing to ensure software remains secure, unaltered and authentic; and creating digital certificates and machine identities for credentialing and authenticating proprietary electronic devices for IoT applications and other network deployments.

What is random number generation?

Random number generation (RNG) refers to the random numbers created by an algorithm or device. It is important that cryptographic keys are created using a certified source of random numbers, which is a challenging problem for software-based systems When the source of entropy for a random number generator is derived from software-based measurements, it cannot be guaranteed that the entropy will not be predictable, or able to be influenced. An HSM uses a hardware-based source of entropy for its RNG that has been verified to provide a good source of entropy in all normal operating conditions. This is important for use cases like BYOK (Bring Your Own Key) , which allows users to create and manage keys that they upload to cloud service providers.

¿Qué son los módulos de seguridad de hardware?

¿Qué es un módulo de seguridad hardware (HSM)?

Los módulos de seguridad hardware (HSM) son dispositivos hardware sólidos y resistentes a manipulaciones que aseguran procesos criptográficos. Para ello, generan, protegen y administran las claves utilizadas para cifrar y descifrar datos, crear firmas y emitir certificados digitales. Los HSM se prueban, validan y certifican según rigurosos estándares como FIPS 140-2 y Common Criteria. Con la familia de HSM nShield de uso general, Entrust es un líder global en módulos criptográficos hardware (HSM).

Los HSM permiten a las organizaciones:

Cumplir y superar los estándares regulatorios establecidos y emergentes para la ciberseguridad, que incluyen GDPR, eIDAS, PCI DSS, HIPAA, etc.
Lograr altos niveles de seguridad de datos y confianza
Mantener altos niveles de servicio y agilidad empresarial

Ver video: ¿Qué son los módulos de seguridad hardware? (3:18)

¿Qué es HSM como servicio o Cloud HSM?

HSM como servicio es una oferta basada en suscripción para que los clientes utilicen un módulo de seguridad hardware en la nube. De este modo, pueden generar, acceder y proteger su material de clave criptográfica al margen de los datos confidenciales. La oferta de servicio proporciona la misma protección que una implementación local y permite mayor flexibilidad. Los clientes pueden transferir CapEx a OpEx para pagar solo los servicios que necesitan, cuando los necesitan.

nShield como servicio utiliza HSM de nShield con certificación FIPS 140-2 de Nivel 3 especializados. La solución ofrece las mismas características y funcionalidades que los HSM de nShield locales, combinados con los beneficios de una implementación de servicios en la nube. Esto permite a los clientes cumplir con sus primeros objetivos en la nube o implementar una combinación de HSM locales y como servicio, mientras los expertos de Entrust mantienen los dispositivos como servicio.

Ver video: ¿Qué es nShield como servicio? (3:06)

¿Por qué debería utilizar un HSM?

Las operaciones criptográficas, como el cifrado y la firma digital, no tienen valor si las claves privadas que utilizan no están bien protegidas. Los atacantes de la actualidad se han vuelto mucho más sofisticados en su capacidad para localizar claves privadas que están almacenadas o en uso. Los HSM son el estándar de oro para la protección de las claves privadas y operaciones criptográficas asociadas, y hacen cumplir la política definida por la organización usuaria para usuarios y aplicaciones que pueden acceder a esas claves. Los HSM se pueden utilizar con muchos tipos diferentes de aplicaciones que realizan cifrado o firma digital. El siguiente diagrama muestra los principales 10 casos de uso de los HSM, según el Estudio de tendencias de cifrado global de Ponemon 2021 (mayo de 2021).

¿Qué valor aporta un HSM?

Los HSM mejoran y amplían la seguridad de una amplia gama de aplicaciones que realizan cifrado y firma digital. La siguiente tabla describe el valor agregado de los HSM para un conjunto de los casos de uso más comunes.

Caso de uso

Caso de uso Nube y contenedores/Kubernetes

Caso de uso Infraestructura de clave pública (PKI)

Caso de uso Acceso privilegiado y Gestión de secretos

Caso de uso Cifrado y tokenización

Caso de uso Administración de claves

Caso de uso Firmas digitales y Firma de código

Caso de uso Aplicaciones TLS/SSL (ADC, firewalls, etc.)

Caso de uso Identidad y autenticación

Caso de uso Pagos

Valor de HSM para el caso de uso

Nube y contenedores/KubernetesMantener el control de claves y datos en la nube; asegure las aplicaciones contenerizadas

Infraestructura de clave pública (PKI)Proteja las claves de firma de CA y la raíz de PKI fundamentales

Acceso privilegiado y gestión de secretosAborde las amenazas internas y simplifique el acceso a secretos para DevOps

Cifrado y tokenizaciónMejore la protección de la clave de cifrado para datos en tránsito y almacenamiento

Gestión de clavesEjecute la política de administración de claves en múltiples nubes y aplicaciones

Firmas digitales y Firma de códigoProteja las claves que garantizan la integridad del software y permiten transacciones legalmente vinculantes

Aplicaciones TLS/SSL (ADC, firewalls, etc.)Asegure las claves de cifrado maestras TLS/SSL

Identidad y autenticaciónCree credenciales de identidad confiables

PagosProteja las claves que crean y firman credenciales de pago

¿Qué es la raíz de la confianza?

En un sistema criptográfico, una raíz de confianza (Root of Trust, RoT) es una fuente en la que siempre se puede confiar. La seguridad criptográfica depende de claves para cifrar y descifrar datos, generar y verificar firmas. Por ello, los esquemas RoT suelen incluir un módulo de hardware reforzado. Un ejemplo principal es el módulo de seguridad hardware (HSM) que genera claves, protege claves y realiza funciones criptográficas dentro de su entorno seguro.

Debido a que este módulo es para todos los efectos inaccesible fuera del ecosistema informático, ese ecosistema puede confiar en que las claves y otra información criptográfica que recibe del módulo raíz de confianza es auténtica y está autorizada. Esto es particularmente importante a medida que prolifera el internet de las cosas (IoT), porque para evitar ser pirateados, los componentes de los ecosistemas informáticos necesitan una forma de determinar que la información que reciben es auténtica. El RoT protege la seguridad de los datos y las aplicaciones y ayuda a generar confianza en el ecosistema general.

RoT es un componente crítico de las infraestructuras de clave pública (PKI) para generar y proteger las claves raíz y Certificate Authority, la firma de código para garantizar que el software permanezca seguro, inalterado y auténtico, y la creación de certificados digitales para acreditar y autenticar dispositivos electrónicos patentados para aplicaciones de IoT y otras implementaciones de red.

¿Qué es la generación de números aleatorios?

Generación de números aleatorios (RNG) se refiere a los números aleatorios creados por un algoritmo o dispositivo. Es importante que las claves criptográficas se creen utilizando una fuente certificada de números aleatorios, lo cual es un problema desafiante para los sistemas basados en software.

Cuando la fuente de entropía para un generador de números aleatorios se deriva de mediciones basadas en software, no se puede garantizar que la entropía no sea predecible o no pueda ser influenciada. Un HSM utiliza una fuente de entropía basada en hardware para su RNG que se ha verificado para proporcionar una buena fuente de entropía en todas las condiciones de funcionamiento normales. Esto es importante para casos de uso, como BYOK (Traiga su propia clave), que permite a los usuarios crear y administrar claves que cargan a los proveedores de servicios en la nube.

Certificados digitales

Certificados digitales

Certificado OV TLS/SSL estándar

Certificado OV TLS/SSL Advantage

Certificados OV y EVTLS/SSL para varios dominios

Certificado TLS/SSL multidominio con Validación Extendida (EV)

Certificado OV TLS/SSL comodín

TLS/SSL privado

Certificados de sello electrónico cualificados

Certificados QWAC eIDAS

Certificados QWAC PSD2

Servicios Platinum

Servicios de certificados de Entrust

Plan de suscripción

Comprar certificados

Renovar certificados

Base de conocimientos y soporte

Firma digital

Firma digital

Servicio de automatización de la firma

Servicio de firma remota

Certificados de firma de documentos

Certificados de correo electrónico seguro

Certificados de dispositivos

Certificados de firma de código OV

TrustedX eIDAS

Firmas electrónicas TrustedX

Autoridad de sellado de tiempo de Entrust

Infraestructura de clave pública (PKI)

Infraestructura de clave pública (PKI)

Centro de certificados

Administrador de seguridad

Proveedor de seguridad Entelligence

Pasaporte electrónico

Autoridad de validación

Servidor de recuperación de claves

PKI de Entrust gestionada

PKI como un servicio

Criptografía como servicio

PKI de Microsoft administrado

Autoridad de certificados raíz fuera de línea administrados

Centro criptográfico de excelencia

Seguridad del internet de las cosas (IoT)

Productos

Identidad como servicio

Identity Enterprise

Identity Essentials

Soluciones

Acceso físico y lógico

Movilidad gubernamental compatible con PIV

Usuarios con acceso a información privilegiada

Proteger su VPN

Seguridad y acceso para contratistas

Inicio de sesión en la estación de trabajo

Zero Trust

Bancos de consumidores

Gestión de Identidad del consumidor y Acceso (CIAM)

Portales de clientes

Ciudadano digital

Integración digital

Mejorar la experiencia del usuario

Mitigue las filtraciones de datos

Simplificando la TI

Admitir diversos grupos de usuarios

Verificación de transacciónes

Capacidades de la plataforma

Emisión de credenciales

Reputación del dispositivo

Prueba de identificación

Orquestación de identidad

restablecimiento de contraseña

Controles de acceso basados en roles

Aprovisionamiento seguro de dispositivos

Autenticadores

Autenticación móvil

Autenticación de múltiples factores MFA

Inicio de sesión sin contraseña

Autenticación flexible

Single Sign-On

API/SDK