Пользовательские лицензии

Каждый модуль nCipher nShield Connect+ и Connect XC поставляется в комплекте с 3-мя лицензиями. Для тех организаций, которые хотят включить в систему более 3-х клиентов, доступны дополнительные лицензии под заказ. Кроме этого, для повышения безопасности клиентов, подключенных к HSM, организации могут использовать дополнительный криптомодуль nToken.

Технология CodeSafe

Технология CodeSafe позволяет разработчикам создавать программы, которые загружаются в безопасную среду HSM. Это надежно защищает данное ПО от внутренних атак, вредоносного программного обеспечения, троянов и других угроз, с которыми они могли бы столкнуться на незащищенных серверах. CodeSafe реализует принцип «песочницы» - защищенной аппаратной среды. Это позволяет проверять целостность кода и осуществлять его исполнение во взломоустойчивом режиме, что станет идеальным решением для приложений, работающих в недоверенной среде. Возможность безопасного выполнения приложений обеспечивает наличие дополнительных функций детализированного контроля доступа и авторизации. Это является гарантией безопасности критически важных ресурсов, таких как секретные ключи или энергонезависимая память пользователя. Технология CodeSafe доступна во всех моделях nShield, сертифицированных по стандарту FIPS 140-2 Level 3, кроме nShield Edge.

CipherTools. Инструментарий разработчика

При помощи инструментария CipherTools разработчики могут воспользоваться всеми возможностями, которые предоставляют HSM nCipher nShield при интеграции с пользовательскими приложениями.

Инструментарий включает подробную справочную документацию, примеры программ, написанных на языках высокого уровня, дополнительные версии библиотек для расширения возможностей интеграции с бизнес-приложениями по сравнению с теми возможностями, которые предлагают стандартные программные интерфейсы API.

Активация механизма эллиптической криптографии

Модули nShield предлагают большое количество стандартных механизмов криптографического шифрования, включая AES, DSA и RSA. Для организаций, желающих использовать механизм эллиптической криптографии, доступны специальные модули nShield Connect XC, оптимизированные непосредственно под этот механизм шифрования и отличающиеся повышенной мощностью. В этих моделях лицензия ECC входит в комплект поставки.

Защита баз данных

Базы данных зачастую содержат наиболее важную для организации и поэтому ценную для злоумышленников информацию. Поэтому многие разработчики применяют в своих базах встроенные средства шифрования. Пакет безопасности баз данных nShield осуществляет поддержку API для Microsoft Extensible Key Management (расширенного управления ключами). Это позволяет организациям обеспечивать повышенную безопасность ключей, защищающих информацию в Microsoft SQL Server 2008 с применением Transparent Data Encryption (прозрачное шифрование данных). Кроме этого, данный пакет обеспечивает разделение функций управления ключами многоуровневых баз данных и администрирования этих баз.

В Oracle 11g TDE перечисленные функции являются стандартными, и приобретать данный пакет не нужно.

payShield аутентификация держателей карт для модулей nShield

Для защиты кредитных карт и онлайн-банкинга от мошенничества многие финансовые организации предпринимают дополнительные меры безопасности для транзакций, осуществляемых без использования карт. payShield аутентификация держателей карт для модулей nShield дополняет другие продукты Thales по обеспечению безопасной аутентификации держателей банковских карт различными способами, например, посредством Chip (Gemalto) и PIN (CAP), а также через протокол 3-DSecure, входящий в программы Visa (Verified by Visa) и MasterCard (MаsterCard SecureCode) по обеспечению безопасных методов оплаты в Интернете. Данная опция интегрируется с такими системами аутентификации держателей карт, как ActivIdentity, Arcot, Bell ID и Gemalto.

Удаленный оператор

Модули HSM, как правило, функционируют в безопасных с физической точки зрения автономных центрах обработки данных, часто в резервных центрах. Многие организации считают непрактичной необходимость физического доступа к HSM для осуществления повседневных операций. Функция «Удаленный оператор» экономит время и сокращает транспортные затраты сотрудников, предоставляя возможность работать с HSM в безопасном режиме непосредственно со своего рабочего места.

Активация KCDSA

Правительственные организации и учреждения национальной безопасности предпочитают использовать проприетарные криптографические алгоритмы для защиты наиболее уязвимой и ценной информации. Такие алгоритмы выгодно базировать на платформе HSM. Так, активация алгоритма KCDSA позволила учреждениям Южной Кореи использовать сертифицированную цифровую подпись (Korean Certificate-based Digital Signature Algorithm) на базе nCipher nShield. Thales рекомендует организациям, использующим собственные алгоритмы шифрования, защищенные платформой HSM, дополнительно использовать технологию CodeSafe.

nToken

Организациям, которые хотят повысить уровень безопасности пользователей HSM, рекомендуется применять устройства nToken. Это специальные карты PCI или PCI Express, обеспечивающие строгую аутентификацию для пользователей сетевых HSM, таких как nShield Connect+ или Connect XC, гарантирующую, что аутентифицируемое лицо является подлинным. Также можно приобрести дополнительные устройства к каждой лицензии. Модификация PCI является полноразмерной, модификация PCI Express представляет собой карты формата с низким профилем. Устройства nToken не совместимы с виртуальными серверами.

Сменные блоки питания nShield

nCipher nShield Connect+ и Connect XC имеют резервируемые блоки питания с возможностью горячей замены непосредственно в процессе работы. Это обеспечивает стабильную, бесперебойную работу системы.

Резервная система охлаждения

В nCipher nShield Connect предусмотрен резервный блок охлаждения, Блок расположен вне защищенной части HSM, поэтому заменять вентиляторы можно, не выключая модуль.

Клавиатура

Большинство функций настройки nCipher nShield Connect+ и Connect XC легко выполняются при помощи сенсорной панели управления на передней части корпуса, для выполнения определенных операций можно также использовать клавиатуру, как разработанную Thales, так и стандартную.

Направляющие

Для установки модулей nShield Connect+ или Connect XC в серверные шкафы, Thales предлагает специальные направляющие. Их использование облегчит установку и позволит эффективнее использовать место в серверной. Рекомендуется использовать именно оригинальные направляющие nCipher, т.к. другие производители не гарантируют совместимость направляющих с модулями nShield Connect+/XC. Для установки модуля nShield Connect достаточно двух направляющих.

Модуль nCipher nShield Connect+ доступен в 3 основных вариантах: nShield Connect 500+, nShield Connect 1500+ и nShield Connect 6000+. Цифры в названии модулей указывают на примерное количество в секунду операций по выполнению цифровой подписи по алгоритму RSA 1024 бит. Также доступны модули nShield Connect XC, оптимизированные под механизм эллиптического криптографического шифрования и отличающиеся высокой производительностью.

Функциональные возможности

• Аппаратное хранение и обработка ключей шифрования и приложений
• Криптографическая разгрузка и ускорение
• Многоуровневая аутентификация и контроль доступа
• Строгое разделение обязанностей администраторов и операторов
• Опционально доступное устройство nToken обеспечивает непревзойденный уровень аутентификации
• Хранение, резервирование, репликация и восстановление ключей шифрования
• Безопасное хранение неограниченного количества ключей шифрования
• Кластеризация и балансировка нагрузки
• Неограниченное логическое/криптографическое разделение ключей приложений

Совместимость с ОС

• Windows, Linux, Solaris, IBM AIX, HP-UX
• Виртуальные: VMware, Hyper-V, AIX LPARs

Интерфейсы приложений:

• PKCK#11, OpenSSL, Java (JCE), Microsoft CAPI, CNG
• nCore (низкоуровневый интерфейс для разработчиков от Thales)

Совместимость и расширяемость:

• Модули совместимы с nCipher nShield Connect, nShield Solo PCI/PCIe/PCIe+ и nShield Edge
• Архитектура управления ключами "Security World" поддерживает балансировку нагрузки между разными моделями nShield

Подключение:

• Два гигабитных сетевых порта (обслуживание двух сегментов сети)

Криптографические алгоритмы:

• Ассиметричные алгоритмы открытых ключей: RSA, Диффи-Хеллмана, DSA, KCDSA, ECDSA, ECDH
• Симметричные алгоритмы: AES, ARIA, Camellia, CAST, RIPEMD160 HMAC, SEED, Triple DES
• Хэширование: SHA-1, SHA-2 (224, 256, 384, 512бит)
• Полноценная реализация лицензированных алгоритмов эллиптической криптографии (ECC), а также поддержка пользовательских алгоритмов ECC

Соответствие стандартам безопасности

• FIPS 140-2 Level 2 и Level 3

Бесперебойная работа

• Твердотельные накопители данных
• Двойная система энергоснабжения и система охлаждения с возможностью «горячей замены»

Управление и мониторинг

• Удаленное администрирование, включающее добавление приложений, обновление программного обеспечения и проверку состояния nShield
• Поддержка системного журнала диагностики Syslog
• Система контроля производительности
• Интерфейс с командной строкой (CLI)/ графический интерфейс пользователя (GUI)
• Агент мониторинга SNMP

Физические характеристики

• Габариты: стандартный U1 для монтажа в 19’’ серверную стойку с интегрированным считывателем смарт-карт
• 43.4х430х705 мм, Вес 11.5 кг
• Напряжение сети: 100-240V (автоматическое определение), 50-60Hz (номинальное)
• Потребление электроэнергии: до 1.2А при 110V/60Hz или 0.2А при 220V/50Hz