Ihmisten ja yritysten on suojattava omaisuuttaan salausavaimilla. Mutta heidän on myös suojattava nämä avaimet. HSM saattaa olla vastaus.
Kyberrikollisia löytyy kaikkialta, ja he kohdistavat ja hyökkäävät kaikkiin kohtaamiaan herkkiin laitteisiin, ohjelmistoihin tai järjestelmiin. Tämä on vaatinut yksityishenkilöt ja yritykset ryhtymään seuraavan tason turvatoimiin, kuten salausavainten käyttöön, suojellakseen IT-omaisuuttaan.
Salausavainten hallinta, mukaan lukien niiden luominen, tallentaminen ja tarkastaminen, on kuitenkin usein suuri este järjestelmien turvaamisessa. Hyvä uutinen on, että voit hallita salausavaimia turvallisesti Hardware Security Module (HSM) -moduulin avulla.
Mikä on laitteiston suojausmoduuli (HSM)?
HSM on fyysinen tietokonelaite, joka suojaa ja hallitsee kryptografisia avaimia. Siinä on tyypillisesti vähintään yksi suojattu kryptoprosessori, ja se on yleisesti saatavilla plugin-korttina (SAM/SIM-kortti) tai ulkoisena laitteena, joka liitetään suoraan tietokoneeseen tai verkkopalvelimeen.
HSM: t on suunniteltu suojaamaan salausavaimien elinkaarta väärentämisen kestävillä, peukaloinnin havaitsevilla laitteistomoduuleilla ja suojaamaan tietoja useilla tekniikoita, mukaan lukien salaus ja salauksen purku. Ne toimivat myös suojattuina arkistojina salausavaimille, joita käytetään esimerkiksi tietojen salaukseen, digitaalisten oikeuksien hallintaan (DRM) ja asiakirjojen allekirjoittamiseen.
Kuinka laitteiston suojausmoduulit toimivat?
HSM: t varmistavat tietoturvan luomalla, turvaamalla, ottamalla käyttöön, hallitsemalla, arkistoimalla ja hävittämällä salausavaimia.
Käyttöönoton aikana yksilölliset avaimet luodaan, varmuuskopioidaan ja salataan tallennusta varten. Valtuutettu henkilöstö ottaa avaimet käyttöön ja asentaa ne HSM: ään, mikä mahdollistaa valvotun pääsyn.
HSM: t tarjoavat hallintatoimintoja salausavainten valvontaan, ohjaukseen ja kiertoon alan standardien ja organisaatiokäytäntöjen mukaisesti. Esimerkiksi uusimmat HSM: t varmistavat vaatimustenmukaisuuden noudattamalla NIST: n suositusta käyttää vähintään 2048-bittisiä RSA-avaimia.
Kun kryptografisia avaimia ei enää käytetä aktiivisesti, arkistointiprosessi käynnistyy, ja jos avaimia ei enää tarvita, ne tuhoutuvat turvallisesti ja pysyvästi.
Arkistointi sisältää käytöstä poistettujen avainten tallentamisen offline-tilaan, mikä mahdollistaa kyseisillä avaimilla salattujen tietojen hakemisen tulevaisuudessa.
Mihin laitteiston suojausmoduuleja käytetään?
HSM: ien ensisijainen tarkoitus on suojata salausavaimet ja tarjota olennaisia palveluita henkilöllisyyksien, sovellusten ja tapahtumien suojaamiseksi. HSM: t tukevat useita yhteysvaihtoehtoja, mukaan lukien yhteyden muodostaminen verkkopalvelimeen tai offline-käyttö erillisinä laitteina.
HSM: t voidaan pakata älykorteiksi, PCI-korteiksi, erillisiksi laitteiksi tai pilvipalveluksi nimeltä HSM as a Service (HSMaaS). Pankkitoiminnassa HSM: itä käytetään pankkiautomaateissa, EFT: issä ja PoS-järjestelmissä muutamia mainitakseni.
HSM: t suojaavat monia jokapäiväisiä palveluita, mukaan lukien luottokorttitiedot ja PIN-koodit, lääketieteelliset laitteet, kansalliset henkilökortit ja passit, älymittarit ja kryptovaluutat.
Laitteiston suojausmoduulien tyypit
HSM: itä on kaksi pääluokkaa, joista kukin tarjoaa erilliset suojaominaisuudet, jotka on räätälöity tietyille toimialoille. Tässä on saatavilla erilaisia HSM-tyyppejä.
1. Yleiskäyttöiset HSM: t
Yleiskäyttöiset HSM: t sisältävät useita salausalgoritmit, mukaan lukien symmetriset, epäsymmetriset, ja hash-funktiot. Nämä suosituimmat HSM: t tunnetaan parhaiten poikkeuksellisesta suorituskyvystään arkaluonteisten tietotyyppien, kuten kryptolompakoiden ja julkisen avaimen infrastruktuurin, suojaamisessa.
HSM: t hallitsevat lukuisia salaustoimintoja, ja niitä käytetään yleisesti PKI: ssä, SSL/TLS: ssä ja yleisessä arkaluonteisessa suojauksessa. Tämän vuoksi yleiskäyttöisiä HSM: itä käytetään yleensä auttamaan täyttämään yleiset alan standardit, kuten HIPAA-turvavaatimukset ja FIPS-yhteensopivuus.
Yleiskäyttöiset HSM: t tukevat myös API-yhteyttä käyttämällä Java Cryptography Architecturea (JCA), Java Cryptography Extension (JCE), Cryptography API Next Generation (CNG), julkista avainta Cryptography Standard (PKCS) #11 ja Microsoft Cryptographic Application Programming Interface (CAPI), joiden avulla käyttäjät voivat valita kehyksen, joka sopii parhaiten heidän kryptografiaan toiminnot.
2. Maksu- ja tapahtuma-HSM: t
Maksu- ja maksuliikenne HSM: t on suunniteltu erityisesti finanssialalle suojaamaan arkaluontoisia maksutietoja, kuten luottokorttinumeroita. Nämä HSM: t tukevat maksuprotokollia, kuten APACS, samalla kun ne noudattavat useita toimialakohtaisia standardeja, kuten EMV ja PCI HSM.
HSM: t lisäävät maksujärjestelmiin ylimääräisen suojakerroksen suojaamalla arkaluontoisia tietoja lähetyksen ja tallennuksen aikana. Tämä on saanut rahoituslaitokset, mukaan lukien pankit ja maksujen käsittelijät, ottamaan sen kiinteänä ratkaisuna maksujen ja tapahtumien turvallisen käsittelyn varmistamiseksi.
Laitteiston suojausmoduulien tärkeimmät ominaisuudet
HSM: t ovat kriittisiä komponentteja kyberturvallisuusmääräysten noudattamisen varmistamisessa, tietoturvallisuuden parantamisessa ja optimaalisen palvelutason ylläpitämisessä. Tässä ovat HSM: n tärkeimmät ominaisuudet, jotka auttavat heitä saavuttamaan tämän.
1. Peukaloinnin esto
Ensisijainen tavoite HSM: ien tekemisen peukalointisuojaksi on suojata salausavaimesi, jos HSM: ää vastaan tapahtuu fyysinen hyökkäys.
FIPS 140-2:n mukaan HSM: ssä on oltava peukaloinnin havaitsevat sinetit, jotta se voidaan sertifioida tason 2 (tai korkeammalla) laitteeksi. Kaikki yritykset peukaloida HSM: ää, kuten ProtectServer PCIe 2:n poistaminen PCIe-väylästä, laukaisevat peukalointitapahtuman, joka poistaa kaiken salausmateriaalin, kokoonpanoasetukset ja käyttäjätiedot.
2. Turvallinen suunnittelu
HSM: t on varustettu ainutlaatuisella laitteistolla, joka täyttää PCI DSS: n asettamat vaatimukset ja noudattaa useita viranomaisstandardeja, mukaan lukien Common Criteria ja FIPS 140-2.
Suurin osa HSM: istä on sertifioitu erilaisilla FIPS 140-2 -tasoilla, enimmäkseen Level 3 -sertifioinnilla. Valitut HSM: t, jotka on sertifioitu tasolle 4, korkeimmalle tasolle, ovat loistava ratkaisu organisaatioille, jotka etsivät huipputason suojausta.
3. Todennus ja kulunvalvonta
HSM: t toimivat portinvartijoina, valvoa pääsyä laitteisiin ja tietoihin he suojelevat. Tämä käy ilmi niiden kyvystä tarkkailla HSM: iä aktiivisesti peukaloinnin varalta ja reagoida tehokkaasti.
Jos peukalointi havaitaan, tietyt HSM: t joko lakkaavat toimimasta tai pyyhkivät salausavaimet luvattoman käytön estämiseksi. Turvallisuuden parantamiseksi edelleen HSM: t käyttävät vahvoja todennuskäytäntöjä, kuten monivaiheinen todennus ja tiukat kulunvalvontakäytännöt, jotka rajoittavat pääsyn valtuutettuihin henkilöihin.
4. Vaatimustenmukaisuus ja tarkastus
Vaatimustenmukaisuuden säilyttämiseksi HSM: iden on noudatettava erilaisia standardeja ja määräyksiä. Tärkeimpiä ovat mm Euroopan unionin yleinen tietosuoja-asetus (GDPR), Domain Name System Security Extensions (DNSSEC), PCI Data Security Standard, Common Criteria ja FIPS 140-2.
Standardien ja määräysten noudattaminen varmistaa tietojen ja yksityisyyden suojan, DNS-infrastruktuurin turvallisuuden, suojatun maksukorttitapahtumat, kansainvälisesti tunnustetut turvallisuuskriteerit ja valtion salauksen noudattaminen standardit.
HSM: t sisältävät myös loki- ja auditointiominaisuuksia, jotka mahdollistavat salaustoimintojen seurannan ja seurannan vaatimustenmukaisuustarkoituksiin.
5. Integrointi ja API: t
HSM: t tukevat suosittuja sovellusliittymiä, kuten CNG ja PKCS #11, jolloin kehittäjät voivat integroida HSM-toiminnot saumattomasti sovelluksiinsa. Ne ovat myös yhteensopivia useiden muiden sovellusliittymien kanssa, mukaan lukien JCA, JCE ja Microsoft CAPI.
Suojaa kryptografiset avaimesi
HSM: t tarjoavat fyysisten laitteiden korkeimpia suojaustasoja. Niiden kyky luoda kryptografisia avaimia, tallentaa ne turvallisesti ja suojata tietojenkäsittelyä tekee niistä ihanteellisen ratkaisun kaikille parannettua tietoturvaa etsiville.
HSM: t sisältävät ominaisuuksia, kuten suojatun suunnittelun, peukaloinnin eston ja yksityiskohtaiset pääsylokit, mikä tekee niistä kannattavan sijoituksen tärkeiden salaustietojen turvallisuuden vahvistamiseen.
