Мы занимаемся информационной безопасностью

Thales HSM

Аппаратные модули безопасности

HSM Thales nShield Connect XC и Connect+

Thales nShield Connect XC и Connect+ – высокоэффективные сетевые аппаратные модули безопасности (HSM) для криптографической защиты программных приложений и виртуальных машин. С nShield Connect компании получают мощный инструмент аппаратного контроля над серверными системами, необходимый в тех случаях, когда программного уровня защиты становится недостаточно. Модули nShield Connect XC и Connect+ в полной мере воплотили знания и опыт компании Thales в обеспечении безопасности инфраструктур и сочетают в себе высочайший уровень надежности и простоту управления. Благодаря этому проще определять и выстраивать политику безопасности и автоматизировать сложные и подверженные рискам административные задачи бизнеса.

Thales nShield Connect XC и Connect+ полностью совместимы с другими решениями семейства nShield. Это позволяет комбинировать эти устройства наиболее оптимальным образом и масштабировать их в соответствии с растущими потребностями бизнеса. Обновленная линейка nShield Connect включает ряд моделей различной производительности, включая модули nShield Connect XC, оптимизированные под механизмы эллиптической криптографии. Младшие модели линейки могут быть легко обновлены до старших без замены аппаратного модуля, только посредством обновления программной части. Каждая компания может выбрать решение с оптимальными техническими характеристиками под свои задачи. Аппаратные средства обеспечивают отказоустойчивость и бесперебойную работу модулей, что делает их оптимальным выбором для центров обработки и передачи данных высокой доступности.

Thales nShield Connect – это независимая сертифицированная система безопасности. Она осуществляет управление ключами, реализует криптографические операции, такие как шифрование и использование электронных подписей в различных бизнес-приложениях, поддерживает критические системы безопасности, включая инфраструктуру управления открытыми ключами, системы управления идентификацией, базами данных, расширения безопасности для служб доменных имен и т.д. nShield Connect сертифицирован по стандартам FIPS 140-2 Level 3 и Common Criteria EAL4+.

Thales nShield connect 6000


Возможности Thales nShield Connect+/HC

  • Аппаратная структура модуля исключает слабые стороны, присущие программным средствам защиты информации;
  • Мощная архитектура управления ключами сокращает операционные расходы;
  • Централизованная платформа обеспечивает максимальные возможности применения и масштабируемость;
  • Гибкая структура системы оптимально подходит для сред высокой информационной доступности;
  • Сетевая архитектура поддерживает традиционные, виртуальные и облачные инфраструктуры;
  • Обновление посредством апгрейда программной составляющей.

Физические методы защиты

  • HSM Thales nShield Connect+ и Connect XC – это специальные сетевые устройства, изолирующие криптографические процессы и ключи шифрования от приложений и операционных систем хоста и делающее их доступными только через жестко контролируемый криптографический интерфейс;
  • Корпус модулей Thales nShield Connect+/XC имеет высочайший уровень надежности благодаря особой конструкции, исключающей взлом, а также применению технологии эпоксидной герметизации для защиты внутренних схем и специальных меток системы безопасности, разоблачающих попытки несанкционированного доступа к модулю;
  • Дополнительная возможность, реализуемая при помощи технологии CodeSafe: перемещение частей кода приложения, особенно нуждающихся в защите, из хост-сервера в так называемую «песочницу» (приложение для безопасного хранения данных) внутри оборудования, физически защищаемую самим HSM;
  • Мониторинг состояния внешней среды, включая целостность корпуса, блоков питания и температуры для обнаружения угроз нападения;
  • Строгая аутентификация компьютеров пользователей, имеющих доступ к общим ресурсам Thales nShield Connect+/XC.

Логические методы защиты

  • Все администраторы и пользователи, которые получают доступ к HSM Thales nShield Connect+/XC, проходят индивидуальную процедуру строгой аутентификации при помощи смарт-карт, управляемых непосредственно модулем. Больше нет необходимости полагаться на ненадежные пароли, которые зачастую используются группой лиц и применяются в нескольких приложениях;
  • Четкое разделение обязанностей администраторов и офицеров безопасности в Thales nShield Connect+/XC значительно повышает уровень защищенности ключей в отличие от программных средств защиты информации, где пользователи с особым уровнем доступа (супервизор или администратор) имеют расширенные права, в том числе, и в отношении доступа к паролям;
  • Двойной контроль, реализованный в Thales nShield Connect+/XC, требует совместной работы и, более того, кворума нескольких администраторов и операторов, например, для выполнения критических операций, таких как восстановление мастер-ключа шифрования. Метод взаимного контроля минимизирует угрозу появления инсайдеров. В nShield Connect+/XC этот метод легко конфигурируется и позволяет реализовать близкую к абсолютной систему защиты;
  • Опционально предусмотрена возможность строгой проверки целостности данных и усиления политики для приложений, дополнительно защищенных посредством технологии CodeSafe.

Преимущества Thales nShield Connect+/XC

  • Автоматическое безопасное управление ключами шифрования и создание их резервных копий значительно упрощают интеграцию модулей HSM и делают их использование в бизнес-процессах значительно проще и доступнее;
  • Разнообразные стандартные прикладные интерфейсы (API) для широкого спектра программных продуктов и серьезное предварительное тестирование на совместимость с наиболее популярными приложениями минимизируют риски при развертывании системы безопасности;
  • Механизмы криптографического ускорения снижают нагрузку на клиентские компьютеры и повышают общую производительность и эффективность систем;
  • Отсутствие ограничений по общему количеству ключей шифрования расширяет возможности масштабирования системы;
  • Резервное копирование устраняет необходимость сохранения дубликатов ключей шифрования в выделенных аппаратных средствах или дорогостоящих специализированных HSM;
  • Защищенный корпус комплектуется уникальной двойной системой энергоснабжения и резервной системой охлаждения с возможностью горячей замены непосредственно в процессе работы;
  • Возможность объединять модули HSM как на отдельных серверах, так и в рамках группы серверов, позволяет создавать наиболее отказоустойчивые системы с возможностью балансировки нагрузки;
  • Удаленный доступ позволяет офицерам безопасности и администраторам выполнять свои обязанности в безопасном режиме, снижая риски и затраты на эксплуатацию системы;
  • В модулях Thales nShield Connect+ и Connect XC также реализована удаленная синхронизация приложений, защищенных технологией CodeSafe (опционально).

Пользовательские лицензии

Каждый модуль Thales nShield Connect+ и Connect XC поставляется в комплекте с 3-мя лицензиями. Для тех организаций, которые хотят включить в систему более 3-х клиентов, доступны дополнительные лицензии под заказ. Кроме этого, для повышения безопасности клиентов, подключенных к HSM, организации могут использовать дополнительный криптомодуль nToken.

Технология CodeSafe

Технология CodeSafe позволяет разработчикам создавать программы, которые загружаются в безопасную среду HSM. Это надежно защищает данное ПО от внутренних атак, вредоносного программного обеспечения, троянов и других угроз, с которыми они могли бы столкнуться на незащищенных серверах. CodeSafe реализует принцип «песочницы» - защищенной аппаратной среды. Это позволяет проверять целостность кода и осуществлять его исполнение во взломоустойчивом режиме, что станет идеальным решением для приложений, работающих в недоверенной среде. Возможность безопасного выполнения приложений обеспечивает наличие дополнительных функций детализированного контроля доступа и авторизации. Это является гарантией безопасности критически важных ресурсов, таких как секретные ключи или энергонезависимая память пользователя. Технология CodeSafe доступна во всех моделях nShield, сертифицированных по стандарту FIPS 140-2 Level 3, кроме nShield Edge.

CipherTools. Инструментарий разработчика

При помощи инструментария CipherTools разработчики могут воспользоваться всеми возможностями, которые предоставляют HSM Thales nShield при интеграции с пользовательскими приложениями.

Инструментарий включает подробную справочную документацию, примеры программ, написанных на языках высокого уровня, дополнительные версии библиотек для расширения возможностей интеграции с бизнес-приложениями по сравнению с теми возможностями, которые предлагают стандартные программные интерфейсы API.

Активация механизма эллиптической криптографии

Модули nShield предлагают большое количество стандартных механизмов криптографического шифрования, включая AES, DSA и RSA. Для организаций, желающих использовать механизм эллиптической криптографии, доступны специальные модули nShield Connect XC, оптимизированные непосредственно под этот механизм шифрования и отличающиеся повышенной мощностью. В этих моделях лицензия ECC входит в комплект поставки.

Защита баз данных

Базы данных зачастую содержат наиболее важную для организации и поэтому ценную для злоумышленников информацию. Поэтому многие разработчики применяют в своих базах встроенные средства шифрования. Пакет безопасности баз данных nShield осуществляет поддержку API для Microsoft Extensible Key Management (расширенного управления ключами). Это позволяет организациям обеспечивать повышенную безопасность ключей, защищающих информацию в Microsoft SQL Server 2008 с применением Transparent Data Encryption (прозрачное шифрование данных). Кроме этого, данный пакет обеспечивает разделение функций управления ключами многоуровневых баз данных и администрирования этих баз.

В Oracle 11g TDE перечисленные функции являются стандартными, и приобретать данный пакет не нужно.

payShield аутентификация держателей карт для модулей nShield

Для защиты кредитных карт и онлайн-банкинга от мошенничества многие финансовые организации предпринимают дополнительные меры безопасности для транзакций, осуществляемых без использования карт. payShield аутентификация держателей карт для модулей nShield дополняет другие продукты Thales по обеспечению безопасной аутентификации держателей банковских карт различными способами, например, посредством Chip (Gemalto) и PIN (CAP), а также через протокол 3-DSecure, входящий в программы Visa (Verified by Visa) и MasterCard (MаsterCard SecureCode) по обеспечению безопасных методов оплаты в Интернете. Данная опция интегрируется с такими системами аутентификации держателей карт, как ActivIdentity, Arcot, Bell ID и Gemalto.

Удаленный оператор

Модули HSM, как правило, функционируют в безопасных с физической точки зрения автономных центрах обработки данных, часто в резервных центрах. Многие организации считают непрактичной необходимость физического доступа к HSM для осуществления повседневных операций. Функция «Удаленный оператор» экономит время и сокращает транспортные затраты сотрудников, предоставляя возможность работать с HSM в безопасном режиме непосредственно со своего рабочего места.

Активация KCDSA

Правительственные организации и учреждения национальной безопасности предпочитают использовать проприетарные криптографические алгоритмы для защиты наиболее уязвимой и ценной информации. Такие алгоритмы выгодно базировать на платформе HSM. Так, активация алгоритма KCDSA позволила учреждениям Южной Кореи использовать сертифицированную цифровую подпись (Korean Certificate-based Digital Signature Algorithm) на базе Thales nShield. Thales рекомендует организациям, использующим собственные алгоритмы шифрования, защищенные платформой HSM, дополнительно использовать технологию CodeSafe.

nToken

Организациям, которые хотят повысить уровень безопасности пользователей HSM, рекомендуется применять устройства nToken. Это специальные карты PCI или PCI Express, обеспечивающие строгую аутентификацию для пользователей сетевых HSM, таких как nShield Connect+ или Connect XC, гарантирующую, что аутентифицируемое лицо является подлинным. Также можно приобрести дополнительные устройства к каждой лицензии. Модификация PCI является полноразмерной, модификация PCI Express представляет собой карты формата с низким профилем. Устройства nToken не совместимы с виртуальными серверами.

Сменные блоки питания nShield

Thales nShield Connect+ и Connect XC имеют резервируемые блоки питания с возможностью горячей замены непосредственно в процессе работы. Это обеспечивает стабильную, бесперебойную работу системы.

Резервная система охлаждения

В Thales nShield Connect предусмотрен резервный блок охлаждения, Блок расположен вне защищенной части HSM, поэтому заменять вентиляторы можно, не выключая модуль.

Клавиатура

Большинство функций настройки Thales nShield Connect+ и Connect XC легко выполняются при помощи сенсорной панели управления на передней части корпуса, для выполнения определенных операций можно также использовать клавиатуру, как разработанную Thales, так и стандартную.

Направляющие

Для установки модулей nShield Connect+ или Connect XC в серверные шкафы, Thales предлагает специальные направляющие. Их использование облегчит установку и позволит эффективнее использовать место в серверной. Рекомендуется использовать именно оригинальные направляющие Thales, т.к. другие производители не гарантируют совместимость направляющих с модулями nShield Connect+/XC. Для установки модуля nShield Connect достаточно двух направляющих.

Модуль Thales nShield Connect+ доступен в 3 основных вариантах: nShield Connect 500+, nShield Connect 1500+ и nShield Connect 6000+. Цифры в названии модулей указывают на примерное количество в секунду операций по выполнению цифровой подписи по алгоритму RSA 1024 бит. Также доступны модули nShield Connect XC, оптимизированные под механизм эллиптического криптографического шифрования и отличающиеся высокой производительностью.

Характеристики nShield Connect 500+ nShield Connect 1500+ nShield Connect 6000 + nShield Connect XC Base nShield Connect XC Mid nShield Connect XC High
Алгоритм RSA 2048 бит (TPS) 150 450 3000 340 3000 8400
Алгоритм RSA 4096 бит (TPS) 80 190 500 80 700 2000
ECC Prime Curve Рекомендовая NIST длина ключа 540 1260 2400 570 5000 14000

Функциональные возможности

  • Аппаратное хранение и обработка ключей шифрования и приложений
  • Криптографическая разгрузка и ускорение
  • Многоуровневая аутентификация и контроль доступа
  • Строгое разделение обязанностей администраторов и операторов
  • Опционально доступное устройство nToken обеспечивает непревзойденный уровень аутентификации
  • Хранение, резервирование, репликация и восстановление ключей шифрования
  • Безопасное хранение неограниченного количества ключей шифрования
  • Кластеризация и балансировка нагрузки
  • Неограниченное логическое/криптографическое разделение ключей приложений

Совместимость с ОС

  • Windows, Linux, Solaris, IBM AIX, HP-UX
  • Виртуальные: VMware, Hyper-V, AIX LPARs

Интерфейсы приложений:

  • PKCK#11, OpenSSL, Java (JCE), Microsoft CAPI, CNG
  • nCore (низкоуровневый интерфейс для разработчиков от Thales)

Совместимость и расширяемость:

  • Модули совместимы с Thales nShield Connect, nShield Solo PCI/PCIe/PCIe+ и nShield Edge
  • Архитектура управления ключами "Security World" поддерживает балансировку нагрузки между разными моделями nShield

Подключение:

  • Два гигабитных сетевых порта (обслуживание двух сегментов сети)

Криптографические алгоритмы:

  • Ассиметричные алгоритмы открытых ключей: RSA, Диффи-Хеллмана, DSA, KCDSA, ECDSA, ECDH
  • Симметричные алгоритмы: AES, ARIA, Camellia, CAST, RIPEMD160 HMAC, SEED, Triple DES
  • Хэширование: SHA-1, SHA-2 (224, 256, 384, 512бит)
  • Полноценная реализация лицензированных алгоритмов эллиптической криптографии (ECC), а также поддержка пользовательских алгоритмов ECC

Соответствие стандартам безопасности

  • FIPS 140-2 Level 2 и Level 3

Бесперебойная работа

  • Твердотельные накопители данных
  • Двойная система энергоснабжения и система охлаждения с возможностью «горячей замены»

Управление и мониторинг

  • Удаленное администрирование, включающее добавление приложений, обновление программного обеспечения и проверку состояния nShield
  • Поддержка системного журнала диагностики Syslog
  • Система контроля производительности
  • Интерфейс с командной строкой (CLI)/ графический интерфейс пользователя (GUI)
  • Агент мониторинга SNMP

Физические характеристики

  • Габариты: стандартный U1 для монтажа в 19’’ серверную стойку с интегрированным считывателем смарт-карт
  • 43.4х430х705 мм, Вес 11.5 кг
  • Напряжение сети: 100-240V (автоматическое определение), 50-60Hz (номинальное)
  • Потребление электроэнергии: до 1.2А при 110V/60Hz или 0.2А при 220V/50Hz