Каковы наилучшие стратегии управления корпоративными ключами?
Шифрование — это передовой метод защиты данных, который во многих случаях является обязательным в случае защиты особо конфиденциальных данных, таких как финансовые данные, сведения о состоянии здоровья и данные потребителей. В качестве криптографического механизма при шифровании используются алгоритм и ключ для защиты данных. В случае потери ключа данные утрачиваются. Поэтому крайне важно обеспечить защиту ключей и их доступность для авторизованных лиц, чтобы бизнес-процессы, для которых необходимы данные, могли выполняться бесперебойно.
По мере того как организации шифруют все больше данных для обеспечения безопасности, управление ключами и их защита становятся все более сложными задачами. Дисперсные ключи часто не имеют четкой политики владения или масштабируемого управления. Без надежного управления ключами безопасность, обеспечиваемая сильным алгоритмом, может быть поставлена под угрозу.
Стратегия управления корпоративными ключами имеет большое значение для предотвращения утечки данных, экономии за счет повышения эффективности, упрощения соблюдения нормативных требований и обеспечения цифровой трансформации.
Что такое система управления ключами?
Национальный институт стандартов и технологий США (NIST) определяет «систему управления ключами» и предоставляет рекомендации по передовой практике управления криптографическими ключами в своей специальной публикации 800-57.
В специальной публикации 800-57 NIST система управления ключами (KMS) определена таким образом: «Система управления криптографическими ключами и их метаданными (например, генерация, распространение, хранение, резервное копирование, архивирование, восстановление, использование, отзыв и уничтожение). Автоматизированная система управления ключами может использоваться для надзора, автоматизации и обеспечения безопасности процесса управления ключами».
Хотя в настоящее время шифрование встроено в различные приложения, часто оно соответствует только базовым возможностям для создания и хранения ключей и не может соответствовать рекомендациям по наилучшей практике для управления ключами, подробно описанной в специальной публикации 800-57 NIST.
По мере увеличения числа приложений, использующих шифрование, система управления ключами необходима для обеспечения безопасности критически важных криптографических ключей и данных, которые они защищают.
В чем заключается управление ключами шифрования?
Управление ключами шифрования охватывает полный жизненный цикл криптографических ключей, начиная с генерации и заканчивая хранением, защитой, распространением, обновлением и в конечном итоге уничтожением ключей. Поскольку ключи лежат в основе безопасности всего механизма шифрования, крайне важно, чтобы они имели самый высокий уровень защиты — сертифицированный аппаратный модуль безопасности (HSM).
Что такое управление ключами аппаратных модулей безопасности (HSM)?
Наилучший способ безопасного управления жизненным циклом ключей шифрования — аппаратный модуль безопасности. Управление ключами HSM — это использование сертифицированных и защищенных от взлома устройств, известных как аппаратные модули безопасности (или HSM), для безопасного управления полным жизненным циклом ключей шифрования.
Развернутые локально или в облаке, HSM предоставляют выделенные криптографические возможности, позволяют устанавливать политики безопасности, регулирующие процесс управления ключами, а также обеспечивать соблюдение этих политик. Специалисты в области кибербезопасности и регулирующие органы считают использование HSM передовым методом для эффективного управления криптографическими ключами.
Подробнее о наших модулях nShield HSM и корпоративных решениях, которые они обеспечивают.
Что такое сервер управления ключами (KMS)?
Широкое внедрение технологии шифрования в коммерческих приложениях привело к распространению ключей шифрования. По мере того как организации пытались сохранить контроль над своими критически важными ключами, был создан протокол совместимости управления ключами (KMIP), чтобы обеспечить единообразный способ управления криптографическими ключами для различных приложений. Для управления ключами в совместимых с KMIP приложениях KMS предоставляет механизм управления этими ключами в необходимом масштабе.
Entrust KeyControl — это виртуальное устройство, которое обеспечивает KMS для широкого спектра клиентских приложений, совместимых с KMIP. В сочетании с HSM KMS позволяет организациям управлять ключами шифрования в необходимом масштабе.
Подробнее об Entrust KeyControl для управления корпоративными ключами.
В чем разница между HSM и KMS?
HSM предоставляет аппаратный корень доверия для безопасной генерации, защиты и использования ключей шифрования. KMS используется для эффективного управления полным жизненным циклом ключей в необходимом масштабе и с соблюдением стандартов соответствия.
Entrust KeyControl позволяет предприятиям легко управлять всеми ключами шифрования, частотой их ротации и способами их безопасной передачи для использующих их приложений.
Все ли ключи шифрования одинаковы?
Нет. Так же как существуют различия между алгоритмами шифрования, есть множество различий и между ключами шифрования. Ключи могут быть симметричными или асимметричными, с различным использованием и разных размеров.
Вне зависимости от типа в качественных ключах всегда должны использоваться истинные случайные числа, генерируемые утвержденным FIPS аппаратным генератором случайных чисел — возможность, обычно предоставляемая сертифицированными аппаратными модулями безопасности (HSM).
Возможно ли управление корпоративными ключами в облаке?
Надежные ключи шифрования, как правило, разрабатывались локально с использованием HSM, но по мере того как организации осуществляют миграцию операций в облако, ключи также могут генерироваться в облаке с использованием выделенных облачных HSM.
Облачные HSM, также называемые HSM как услуга, предоставляют те же криптографические функции, что и локальные HSM, но без необходимости обслуживать и размещать локальные устройства.
В случае миграции приложений и данных в облако организациям необходимо подумать о том, как меняется уровень владения, контроля и принадлежности по сравнению с локальной моделью.
Подробнее об nShield как услуге, нашем облачном решении HSM.