Software Option Packs
nShield Software Option Packは、セットアップと導入が簡単で、高保証のnShield HSMをお好みの環境に統合するために必要なものをすべてを提供します。
Webサービス
高保証のnShield HSMのための、クラウドフレンドリーなREST-likeインターフェイス。
コンテナ化アプリケーション
高保証、FIPS認定のnShield HSMと統合されたコンテナ化アプリケーション。
タイムスタンプ
安全で正確なタイムスタンプが、デジタルレコード、コード署名、トランザクション、ログなどにおける整合性と追跡可能性を保証します。
クラウド統合
お使いのnShield HSMを使用して、クラウドでホストされている機密性の高いアプリケーションを保護するため、信頼できる鍵を生成、保存、および管理します。
データベースセキュリティ
MicrosoftのExtensible Key Management(EKM)APIを使用して、Microsoft SQL Serverとの連携を可能にします。
ポスト量子
nShield HSM用のポスト量子暗号アプリケーションを有効にします。
Web Services Option Pack(WSOP)
nShield WSOPは、暗号鍵とデータ保護サービスを必要とするアプリケーションとFIPS認定のnShield HSMとの間にREST-like APIを提供します。nShield HSMは、暗号化、署名、乱数生成、鍵生成などのさまざまな暗号化機能を実行します。
メリットには以下が含まれます:
技術仕様
nShieldの互換性
- 現在のすべてのnShieldモデルとの互換性
- サポートされているバージョンのLinux OS、Windowsサーバ、またはWindows OSを実行しているホストにインストールし、nShield Security Worldソフトウェアをインストールする必要があります
- オペレーターカードセットとソフトカードで保護された鍵をサポート
- nShield Container Option Packと互換性があり、WSOPのインスタンス化をコンテナ化できます
API互換性
- nShield HSMは、サポートされている他のAPI(PKCS#11、Java、CNGなど)を使用するアプリケーションと組み合わせることで、ウェブサービスAPIを使用するアプリケーションをサポートできます
nShield Container Option Pack(nCOP)
コンテナ化されたアプリケーションは、高保証のハードウェアセキュリティモジュールと統合するのが困難な場合があります。 ステージングから本番環境までの時間が重要な場合は、開発サイクル全体を短縮する実証済みの導入モデルとスクリプトが必要です。nCOPを使用すると、HSMサポートをコンテナ化されたソリューションに組み込むプロセスが簡素化され、HSMの統合を心配することなくテンプレート導入モデルを提供できます。
メリットには以下が含まれます:
技術仕様
サポート対象のオペレーティングシステム
- Linuxディストリビューションのみ
サポートされているHSM
- nShield Connect XCおよびnShield 5c HSMとの互換性
- クラウドでホストされるHSM導入のnShield as a Serviceとの互換性
スケーラビリティとライセンス
- nCOPには、ハードサーバまたはアプリケーション コンテナの数に強制的な制限はなく、任意の数のコンテナホスト(物理サーバインスタンスまたは仮想サーバインスタンス)と連携します
- nShield Connect XCまたはnShield 5cと組み合わせて使用する場合、導入の規模に応じてクライアントライセンスが必要になります。 Container Option Packには、必要なクライアントライセンスの数を計算するマルチプライヤーが含まれ、展開する実行アプリケーションコンテナの最大数に基づいて計算されます。さまざまなサイズの導入に必要なクライアントライセンスの数については、以下のガイドラインをご参照ください
互換性
- Red Hat Open Shiftコンテナプラットフォームへの利用
ライセンスオプション
HSMごとのクライアントライセンス | 最大 コンテナホスト |
最大 アプリケーションコンテナ |
---|---|---|
5 | 5 | 50 |
10 | 10 | 100 |
15 | 15 | 150 |
20 | 20 | 200 |
> 25 | > 25 | > 2501 |
注1: エンタープライズクライアントライセンスの購入をお勧めします。
nSHIELD TIME STAMP OPTION PACK
デジタルタイムスタンプは、組織がデータおよびコードの整合性を検証するために不可欠な機能であり、監査証跡を生成すると共に電子署名における否認防止を強制します。 Entrustは、nShield Solo XC HSMにより保護されている安全で高保証のタイムスタンプソリューションを提供します。このタイムスタンプソリューションは、レコード処理を自動化するほか、多様なアプリケーションをサポートします。
メリットには以下が含まれます:
技術仕様
Time Stamping API
- 当社はnShield Solo XC HSMとTime Stamping Option Packを搭載したサーバからタイムスタンプを要求するアプリケーションを構築できるようにするソフトウェアAPIを開発者に提供しています
互換性
- Microsoft Windowsサーバに対応
一元化されたタイムソース
- お客様の要件に応じて、Time Stamping Option Pack は、一元化されたタイムソース、または UTC(協定世界時)標準のどちらかに基づいて生成されます
nShield Cloud Integration Option Pack(CIOP)
nShield CIOPは、クラウドサービスユーザが自身の環境で鍵を生成し、クラウドで使用するためにエクスポートすることを可能にします。 利用者は、鍵が強力なエントロピー源を使用して安全に生成され、鍵の長期保存がFIPS認証を受けたHSMによって保護されていることを確信できます。 Amazon Web Services(AWS)、Google Compute Engine、Microsoft Azureの各クラウドサービスに対応しています。
メリットには以下が含まれます:
技術仕様
互換性と必要条件
- 現在のすべての nShield HSM モデルに対応
- Azure BYOK: nShield Security World Software v12.60 およびファームウェア v12.60 以降が必要です
- AWSとGoogle Compute Engine: nShield Security Worldソフトウェアv12.40以降が必要です
- Salesforce: nShield Security Worldソフトウェアv12.70 およびファームウェア v12.70 以降が必要です
プラットフォームサポート
このリリースは、次のようなさまざまなプラットフォームでの互換性が試験済みです:
- Microsoft Windows 11 x64
- Microsoft Windows Server 2022 x64
- Microsoft Windows Server 2022 Core x64
- Red Hat Enterprise Linux 8 x64
- Red Hat Enterprise Linux 9 x64
- Oracle Enterprise Linux 8 x64
nShield Database Security Option Pack
nShield Database Security Option Packにより、nShield HSMとMicrosoft SQL Serverをシームレスに統合できます。 データベース内のデータを暗号化するとデータが保護されますが、データのロックを解除する暗号鍵も保護する必要があります。 HSMを使用すると、データとは別に、暗号鍵を安全で信頼できるプラットフォームに保存することで、暗号鍵を保護できます。
メリットには以下が含まれます:
技術仕様
SQL EKMプロバイダ機能
- SQL EKMプロバイダは、Microsoft SQL Server 2019、Microsoft SQL Server 2017、Microsoft SQL Server 2016のEnterprise Editionをサポートすることがテストされています
サポート対象のプラットフォーム
- Microsoft Windows Server: 2019 R2 Standard(64ビット構成)および2016(64ビット構成)
サポートされているSecurity WorldソフトウェアとnShield HSM
- SQL Server用のDatabase Security Option Packは、v12.40.2以降のSecurity World Software、および現在のすべてのPCIeとネットワーク接続HSMと完全に互換性があります
サポートされている種類のデータベース暗号化
セキュリティの観点から、Microsoft SQL Server は、データベースを保護するための暗号鍵の使用をサポートしています。 これらの暗号鍵は、2 つのレベルの暗号化を実行するために使用できます:
- 透過的データ暗号化(TDE): 既存のクエリやアプリケーションを変更することなく、データベース全体を暗号化します。 SQL ServerがTDE暗号化されたデータベースをディスクストレージからメモリにロードする際、自動的に復号化されます。 これにより、クライアントは手動で復号化することなく、サーバ環境内でデータベースに問い合わせることができます。 データベースは、ディスクストレージに保存されるときに再び暗号化されます。 TDEを使用する場合、データはメモリ内では暗号化によって保護されず、TDEはデータベースごとに一度に1つの暗号化鍵をサポートします。
- セルレベルの暗号化(CLE): 暗号化のためにデータと暗号化鍵を指定する必要があります。 CLEは、1つまたは複数の鍵を使用して個々のセルまたは列を暗号化するため、守秘性の高いデータベースデータに対するきめ細かなアクセスポリシーが可能になります。 指定されたデータのみが暗号化されます:他のデータは暗号化されません。これにより、データベースサーバやクライアントアプリケーションでの露出を最小限に抑えることができます。 CLEはTDEで暗号化されたテーブルにも適用できます。 注意: CLEデータは必要に応じてメモリ内で復号化され、異なる暗号化鍵で同じテーブル内の別々のデータを暗号化することができます。
サポートされている展開構成
- スタンドアロンサービス
- nShield SoloまたはnShield Connectのいずれかを使用したデータベースフェイルオーバークラスター
nShield Post-Quantum Option Pack
nShield Post-Quantum Option Packは、Entrust CodeSafe SDKとliboqsオープンソースライブラリを活用し、耐量子暗号アルゴリズムを顧客に提供します。
メリットには以下が含まれます:
はじめに
要件
- FIPSレベル3のnShield HSM
- CodeSafe
- CodeSafeアクティベーションライセンス
Codesafeについてもっと知る。