Перейти к основному содержимому
рисунок фиолетового шестиугольника
Аппаратный модуль безопасности nShield 5c

Аппаратные модули безопасности (Hardware Security Modules — HSM) — это надежные, устойчивые к взлому аппаратные устройства, которые защищают криптографические процессы путем генерации и защиты ключей, а также управления ключами, используемыми для шифрования и расшифровки данных и создания цифровых подписей и сертификатов.

Модули HSM прошли испытания и были сертифицированы в соответствии с самыми высокими стандартами безопасности, включая FIPS 140-2 и «Общие критерии». Компания Entrust с ее линейкой продуктов HSM общего назначения nShield является ведущим мировым поставщиком HSM.

Преимущества HSM для организации:

  • Соответствие требованиям действующих и разрабатываемых стандартов в сфере кибербезопасности, включая Общий регламент по защите персональных данных (GDPR), Регламент об электронной идентификации и доверительных услугах (eIDAS), Стандарт безопасности данных индустрии платежных карт (PCI DSS), Закон об ответственности и переносе данных о страховании здоровья граждан (HIPAA) и т. д.
  • Более высокий уровень безопасности данных и доверия к данным.
  • Стабильно высокий уровень обслуживания и гибкость бизнеса.

Что такое HSM как услуга или облачный модуль HSM?

HSM также предоставляется как услуга на основе подписки. Абоненты могут использовать аппаратный модуль безопасности в облаке для генерирования и защиты ключей, а также доступа к криптографическим элементам своих ключей отдельно от конфиденциальных данных. Эта услуга, как правило, обеспечивает тот же уровень защиты, что и физическое развертывание модуля, однако обладает большей гибкостью. Клиенты могут переводить капитальные расходы в операционные, т. е. они оплачивают только необходимые услуги и только тогда, когда пользуются ими.

Услуга nShield as a Service использует специальные модули HSM nShield, сертифицированные по стандартам FIPS 140-2 уровня 3. Это решение предоставляет тот же полный набор функций и возможностей, что и локальные модули HSM nShield, в сочетании с преимуществами развертывания облачного сервиса. Это позволяет клиентам либо выполнять их первоочередные задачи в облаке, либо развертывать сочетание локальных HSM и HSM в виде услуг с обслуживанием устройств в виде услуг силами экспертов Entrust.

Зачем использовать HSM?

Криптографические операции, такие как шифрование и применение цифровой подписи, бесполезны, если используемые при их выполнении закрытые ключи недостаточно хорошо защищены. Сегодня злоумышленники используют сложные методы нахождения хранящихся или используемых закрытых ключей. HSM являются золотым стандартом защиты закрытых ключей и связанных с ними криптографических операций и обеспечивают соблюдение политики, которую использующая эти модули организация определила для пользователей и приложений, способных получать доступ к этим ключам.

Модуль HSM можно использовать совместно с приложениями различных типов, предназначенных для шифрования или применения цифровых подписей. На рисунке ниже представлены основные сценарии использования HSM, описанные в исследовании мировых тенденций шифрования, проведенном организацией Ponemon.

Как развертывают или планируют развертывать HSM в ближайшие 12 месяцев

инфографика о том, как развертывают или планируют развертывать модуль HSM в ближайшие 12 месяцев

Скачайте техническую документацию, чтобы узнать о преимуществах использования аппаратного модуля безопасности.

Что такое корень доверия?

Корень доверия — это источник, который по умолчанию считается доверенным в криптографической системе. Такие компоненты, как аппаратный корень доверия и программный корень доверия, по своей сути являются доверенными, это означает, что они должны быть заведомо безопасными. Наиболее безопасная реализация корня доверия обычно включает в себя аппаратную модель безопасности (HSM), которая генерирует и защищает ключи и выполняет криптографические функции в безопасной среде.

В чем ценность HSM?

Модули HSM повышают и расширяют безопасность для широкого спектра задач, в которых выполняется шифрование и цифровая подпись. В таблице ниже описывается дополнительная ценность HSM для ряда наиболее распространенных сценариев использования.

ВАРИАНТ ИСПОЛЬЗОВАНИЯ Польза HSM в сценарии использования
Облако и контейнеры, KubernetesСохранение контроля над ключами и данными в облаке. Защита контейнеризированных приложений.
Инфраструктура открытых ключей (PKI)Защита критически важных корневых ключей PKI и ключей подписи ЦС
Управление привилегированным доступом и конфиденциальностьюУстранение инсайдерских угроз и упрощение доступа к конфиденциальной информации для DevOps
Шифрование и токенизацияУсиление защиты ключей шифрования для данных, находящихся в процессе передачи и хранения
Управление ключамиВнедрение политики управления ключами в нескольких облаках и приложениях
Цифровая и кодовая подписьЗащита ключей, обеспечивающих целостность программного обеспечения и осуществление юридически обязательных транзакций
Приложения TLS/SSL (ADC, межсетевые экраны и т. д.)Защищенные главные ключи шифрования TLS/SSL
Идентификация и аутентификацияСоздание доверенных учетных данных
Entrust HSM для платежейЗащита ключей для создания и подписания платежных учетных данных

Модули HSM доступны в нескольких форм-факторах:

Модули HSM, монтируемые в стойку

 nShield 5c

Модули HSM на основе карт PCI-Express

Изображение продукта — аппаратного модуля безопасности nShield 5S

Классические модули HSM, подключаемые через USB-порт

Изображение продукта — аппаратного модуля безопасности nShield Edge

Что такое генерация случайных чисел?

Генерация случайных чисел (RNG) представляет собой создание случайных чисел с помощью какого-либо алгоритма или устройства. Важно, чтобы криптографические ключи создавались с использованием сертифицированного источника случайных чисел, что является сложной задачей для программных систем.

Если источником энтропии для генератора случайных чисел являются программные данные, невозможно гарантировать непредсказуемость и независимость энтропии от какого-либо влияния. HSM использует надежный аппаратный источник энтропии для процесса RNG. Подтверждено, что этот источник обеспечивает высокую степень энтропии во всех нормальных условиях работы.

Это важно для таких сценариев использования, как BYOK (Bring Your Own Key), который позволяет пользователям создавать ключи, отправляемые поставщикам облачных услуг, и управлять этими ключами.

Почему компания Entrust — лучший поставщик HSM?

Бесчисленное количество организаций выбирают компанию Entrust как надежного партнера в области аппаратных модулей безопасности. Почему? Потому что мы устанавливаем отраслевой стандарт для безопасной и универсальной защиты данных. Мы разрабатываем HSM, внедряем в них инновации и продаем их уже более 25 лет.

Наши HSM nShield разработаны, чтобы обеспечивать надежную безопасность благодаря сильному корню доверия. Используя эти решения, вы можете быть уверены в защите своих криптографических активов.

Ниже приведено, что компания Entrust может вам предложить как доверенный консультант.

  • Комплексная защита. Модули HSM от Entrust имеют надежную и устойчивую к взлому архитектуру, предоставляя высочайшую гарантию защиты ваших конфиденциальных данных от сложных угроз. Наши сертификаты соответствия стандартам FIPS 140-2 уровня 3, FIPS 140-3 уровня 3 и «Общие критерии» EAL4+ демонстрируют нашу приверженность соблюдению строгих стандартов безопасности.
  • Гибкое развертывание. Уникальные компании заслуживают большего, чем универсальная безопасность. Мы предлагаем несколько вариантов развертывания, включая локальные, облачные и гибридные модели. Кроме того, наша обширная экосистема HSM включает более 150 документально подтвержденных интеграций с другими решениями. Таким образом, ваши потребности будут удовлетворены независимо от варианта использования.
  • Инновационные решения. Entrust как компания постоянно внедряет инновации, чтобы опережать развивающиеся проблемы безопасности, включая постквантовую угрозу. В наших устройствах используется архитектура Security World, которая уникальным образом позволяет поддерживать многофункциональную систему управления ключами, охватывающую всю линейку аппаратных модулей безопасности (HSM) общего назначения nShield от Entrust. Кроме того, с помощью инструментария разработчика программного обеспечения CodeSafe вы можете писать и реализовывать конфиденциальные приложения внутри защищенных от взлома границ устройств nShield, сертифицированных по стандарту FIPS.
  • Надежный опыт. Обладая более чем 25-летним опытом, компания Entrust является надежным партнером для компаний по всему миру. Наша команда экспертов стремится предоставлять вам поддержку и рекомендации, необходимые для внедрения и поддержания системы безопасности, соответствующей требованиям будущего.

Ознакомьтесь с нашими решениями HSM и узнайте, как мы можем помочь защитить ваши данные и организацию.