Мы занимаемся информационной безопасностью

Thales HSM

Аппаратные модули безопасности

HSM Thales nShield Solo XC и Solo+

Thales nShield Solo+ и Solo XC – доступные высокопроизводительные решения по обеспечению безопасности, выполненные в виде карты расширения с разъемом PCIe, предназначенные для встраивания в отдельно стоящий сервер. Эти аппаратные модули безопасности (HSM) обеспечивают аппаратное ускорение и разгрузку серверов при работе с криптографией и способны удовлетворить даже самые взыскательные требования к производительности и быстродействию. nShiled Solo+ Solo XC будут эффективны там, где программной защиты информации уже не достаточно. Модули обеспечивают физические и логические методы защиты данных. Используя архитектуру Security World (специальная разработка Thales), устройства семейства nShield Solo обеспечивают близкую к абсолютной надежность системы и простоту использования. Это облегчает выстраивание политики безопасности с использованием двойного контроля и позволяет автоматизировать выполнение сложных и подверженных рискам административных задач бизнеса.

Thales nShield Solo Plus Photo

Thales nShield Solo+ и Solo XC полностью совместимы с другими моделями HSM семейства nShiel, что позволяет выбирать оптимальные сочетания решений для предприятий любого уровня и масштабировать их в соответствии с меняющимися потребностями. Кроме модулей со стандартными механизмами криптографии, в линейке nShield Solo имеется модель под названием Solo XC, оптимизированная под механизмы эллиптической криптографии (ECC). nShield Solo+ и Solo XC позволяют осуществлять управление ключами и криптографические операции выполнения электронной подписи, получившие широкое распространение в коммерческих и платежных бизнес-приложениях. Обеспечивается надежная защита таких систем как инфраструктура открытых ключей (PKI), базы данных, сети передачи данных, системы доменных имен (DNSSEC) и подписание программного кода. Линейка Thales nShield Solo сертифицирована на соответствие стандартам FIPS 140-2 Level 3 и Common Criteria EAL4+.

Thalel nShield Solo XC


Возможности Thales nShield Solo+/XC

  • Аппаратная структура модуля исключает слабые стороны, присущие программным средствам защиты информации;
  • Мощная архитектура управления ключами сокращает операционные расходы;
  • Встраиваемая конструкция модуля обеспечивает высокую производительность;
  • Обеспечивается изоляция критических функций безопасности и минимизируется взаимозависимость IT-систем;
  • Соответствие отраслевому стандарту FIPS 140-2 Level 3 – гарантия того, что nShield Solo+/XC станет оптимальным решением даже для организаций с самыми высокими требованиями к системам безопасности информации.

Физические методы защиты:

  • Специальный модуль безопасности в виде карты PCIe изолирует криптографические операции и ключи шифрования от приложений и операционных систем хоста и обеспечивает доступ к ним только через жестко контролируемый криптографический интерфейс;
  • Модули Thales nShield Solo+ и Solo XC имеют устойчивую к физическим атакам конструкцию. Применение технологии эпоксидной герметизации защищает внутренние схемы модуля;
  • Мониторинг состояния внешней среды, включая целостность корпуса, питание и температуру для обнаружения угроз нападения;
  • Дополнительная возможность, реализуемая при помощи технологии CodeSafe: перемещение частей кода приложения, особенно нуждающихся в защите, из хост-сервера в так называемую «песочницу», физически защищенное пространство для безопасного хранения данных и выполнения кода внутри модуля HSM.

Логические методы защиты:

  • Все администраторы и пользователи, которые получают доступ к HSM, проходят индивидуальную процедуру строгой аутентификации при помощи смарт-карт, управляемых непосредственно модулем. Больше нет необходимости полагаться на ненадежные пароли, которые зачастую используются группой лиц и применяются в нескольких приложениях;
  • Четкое разделение обязанностей администраторов и офицеров безопасности в Thales nShield Solo+/XC значительно повышает уровень защищенности ключей в отличие от программных средств защиты информации, где пользователи с особым уровнем доступа (супервизор или администратор) имеют расширенные права, в том числе, и в отношении доступа к паролям;
  • Двойной контроль, реализованный в Thales nShield Solo+/XC, требует совместной работы и, более того, кворума нескольких администраторов или офицеров безопасности, например, для выполнения критических операций, таких как восстановление мастер-ключа шифрования. Метод взаимного контроля позволяет минимизировать угрозу появления злонамеренных инсайдеров. В модулях nShield Solo этот метод легко конфигурируется и позволяет реализовать близкую к абсолютной систему защиты;
  • Опционально предусмотрена возможность строгой проверки целостности данных и усиления политики для приложений, дополнительно защищенных посредством технологии CodeSafe.

Преимущества Thales nShield Solo+/Solo XC

  • Автоматическое безопасное управление ключами шифрования и создание их резервных копий значительно упрощают интеграцию модулей HSM и делают их использование в бизнес-процессах значительно проще и доступнее;
  • Разнообразные стандартные прикладные интерфейсы (API) для широкого спектра программных продуктов и серьезное предварительное тестирование на совместимость с наиболее популярными приложениями минимизируют риски при развертывании системы безопасности;
  • Механизмы криптографического ускорения снижают нагрузку на процессор компьютера и повышают общую производительность и эффективность системы;
  • Отсутствие ограничений по общему количеству ключей шифрования расширяет возможности масштабирования системы;
  • Резервное копирование устраняет необходимость сохранения дубликатов ключей шифрования в выделенных аппаратных средствах или дорогостоящих специализированных HSM;
  • Возможность объединять модули HSM как на отдельных серверах, так и в рамках группы серверов, позволяет создавать наиболее отказоустойчивые системы с возможностью балансировки нагрузки;
  • Удаленный доступ дает офицерам безопасности и администраторам возможность выполнять свои обязанности в безопасном режиме, снижая риски и затраты на эксплуатацию системы;
  • В модуле Thales nShield также реализована удаленная синхронизация приложений, защищенных технологией CodeSafe (опционально).

Cертификация

HSM семейства nShield Solo доступны в 2 версиях: сертифицированной на соответствие стандарту FIPS 140-2 Level 2 и стандарту FIPS 140-2 Level 3.

CipherTools. Инструментарий разработчика

При помощи инструментария CipherTools разработчики могут воспользоваться всеми возможностями, которые предоставляют HSM Thales nShield при интеграции с пользовательскими приложениями.

Инструментарий включает подробную справочную документацию, примеры программ, написанных на языках высокого уровня, дополнительные версии библиотек для расширения возможностей интеграции с бизнес-приложениями по сравнению с теми возможностями, которые предлагают стандартные программные интерфейсы API.

Технология CodeSafe

Технология CodeSafe позволяет разработчикам создавать программы, загружаемые в сертифицированную защищенную среду HSM. Это надежно предохраняет их от внутренних атак, вредоносного программного обеспечения, троянов и других угроз, которым может подвергаться операционная система. В CodeSafe реализована функция «Прозрачный ящик», позволяющая проверять загруженный программный код в безопасной виртуальной среде. Поскольку безопасность чаще зависит от целостности кода, чем от секретности операций, CodeSafe позволяет отлаживать код приложения, не нарушая его целостности. Возможность безопасного выполнения приложений обеспечивает наличие дополнительных функций детализированного контроля доступа и авторизации. Это является гарантией безопасности критически важных ресурсов, таких как секретные ключи или энергонезависимая память пользователя. Технология CodeSafe доступна только для модулей nShield Solo+ и Solo XC, сертифицированных по стандарту FIPS 140-2 Level 3.

Активация механизма эллиптической криптографии

Модули nShield предлагают большое количество стандартных механизмов криптографического шифрования, включая AES, DSA и RSA. Для организаций, желающих использовать механизм эллиптической криптографии, доступна специализированная версия nShield Solo XC, оптимизированные непосредственно под этот механизм шифрования и отличающиеся повышенной производительностью данных операций/ В этих моделях лицензия ECC входит в комплект поставки.

Защита баз данных

Базы данных зачастую содержат наиболее важную для организации и поэтому ценную для злоумышленников информацию. Поэтому многие разработчики применяют в своих базах встроенные средства шифрования. Пакет безопасности баз данных nShield Solo осуществляет поддержку Microsoft Extensible Key Management (расширенного управления ключами). Это позволяет организациям обеспечивать повышенную безопасность ключей, защищающих информацию в Microsoft SQL Server 2008. Кроме этого, данный пакет обеспечивает разделение функций управления ключами многоуровневых баз данных и администрирования этих баз.

В Oracle 11gTDE перечисленные функции являются стандартными, и приобретать данный пакет не нужно.

Использование временных меток

Временные метки безопасности позволяют организациям отслеживать, в какой момент были созданы те или иные данные и не менялись ли они с того времени. Это критично для приложений, содержащих, например, цифровые архивы, инфраструктуры открытых ключей, подписанный программный код, а также нотариальные услуги, патентные заявки, лотереи, ставки, игры и т.д. Сервер временных меток, разработанный Thales, будет оптимальным для организаций, желающих получить готовое решение в этой области. Есть также организации, которым необходимо программно-аппаратное решение либо сочетание функции временных меток и других возможностей HSM. Им подойдет модуль nShield 500, который при помощи дополнительной лицензии Thales может поддерживать стандартные временные метки безопасности. Лицензия, активирующая поддержку временных меток, доступна только для модулей nShield Solo, сертифицированных по стандарту FIPS 140-2 Level 3.

payShield аутентификация держателей карт для модулей nShield

Многие финансовые организации применяют дополнительные меры безопасности для транзакций, осуществляемых без использования карт. payShield аутентификация держателей карт в рамках модулей nShield дополняет другие продукты Thales по обеспечению безопасной аутентификации держателей банковских карт различными способами, например, посредством Chip (Gemalto) и PIN (CAP), а также через протокол 3-D Secure, входящий в программы Visa (Verified by Visa) и MasterCard (MаsterCard SecureCode) по обеспечению безопасных методов оплаты в Интернет. Данная опция интегрируется с такими системами аутентификации держателей карт, как ActivIdentity, Arcot, Bell ID и Gemalto. Организации с повышенными требованиями к системе безопасности информации могут также использовать программное обеспечение payShield Developer для разработки собственных решений. payShield аутентификация держателей карт доступна только для модулей nShield Solo+ и Solo XC, сертифицированных по стандарту FIPS 140-2 Level 3.

Удаленное администрирование

Модули HSM, как правило, функционируют в безопасных с физической точки зрения автономных центрах обработки данных, часто в резервных центрах. Многие организации считают непрактичной необходимость физического доступа к HSM для осуществления повседневных операций. Возможность удаленного администрирования экономит время и сокращает транспортные затраты сотрудников, предоставляя возможность работать с HSM в безопасном режиме непосредственно со своего рабочего места.

Производительность

Модуль Thales nShield Solo+ доступен в 2 вариантах: nShield Solo 500+ и nShield Solo 6000+. Цифры в названии модулей указывают на примерное количество в секунду операций по выполнению цифровой подписи по алгоритму RSA 1024 бит. Также доступны модули nShield Solo XC, оптимизированные под механизм эллиптического криптографического шифрования и отличающиеся высокой производительностью.

Характеристики nShield Connect 500+ nShield Connect 6000 + nShield Connect XC Base nShield Connect XC Mid nShield Connect XC High
Алгоритм RSA 2048 бит (TPS) 150 3000 340 3000 8400
Алгоритм RSA 4096 бит (TPS) 80 500 80 700 2000
ECC Prime Curve Рекомендовая NIST длина ключа 540 2400 570 5000 14000

Форм-фактор

nShield Solo+ Solo XC – это аппаратные модули безопасности в виде карт расширения с интерфейсом PCIe.

Cертификация

nShield Solo доступен в 2 версиях: сертифицированной на соответствие стандарту FIPS 140-2 Level 2 и стандарту FIPS 140-2 Level 3 (модули nShield Solo XC находятся в процессе получения сертификатов).

Функциональные возможности:

  • Встроенная клиент-серверная поддержка приложений
  • Аппаратное хранение и обработка ключей шифрования и приложений
  • Криптографическая разгрузка и ускорение
  • Многоуровневая аутентификация и контроль доступа
  • Строгое разделение обязанностей администраторов и операторов
  • Безопасное хранение, резервирование, репликация и восстановление ключей шифрования
  • Безопасное хранение неограниченного количества ключей шифрования
  • Кластеризация и балансировка нагрузки
  • Неограниченное логическое/криптографическое разделение ключей приложений

Совместимость с ОС:

  • Windows, Linux, Solaris, IBM AIX, HP-UX

Интерфейсы приложений:

  • PKCK#11, OpenSSL, Java (JCE), Microsoft CAPI, CNG
  • nCore (низкоуровневый интерфейс Thales для разработчиков)

Совместимость и обновление:

  • Совместим с nShield Connect/Connect+, nShield Solo PCI/PCIe и nShield Edge
  • Архитектура управления ключами "Security World" поддерживает балансировку нагрузки между разными моделями nShield
  • Обновляемое программное обеспечение

Интерфейсы подключения:

  • PCIe 2,0 (1 линия для nShield Solo+, 4 линии для nShield Solo XC

Криптографические алгоритмы:

  • Ассиметричные алгоритмы открытых ключей: RSA, Диффи-Хеллмана, DSA, KCDSA, ECDSA, ECDH
  • Симметричные алгоритмы: AES, ARIA, Camellia, CAST, RIPEMD160 HMAC, SEED, Triple DES
  • Хэширование: SHA-1, SHA-2 (224, 256, 384, 512бит)
  • Полноценная реализация лицензированных алгоритмов эллиптической криптографии (ECC), а также поддержка пользовательских алгоритмов ECC

Соответствие стандартам безопасности:

  • FIPS 140-2 Level 2 и Level 3, NIST SP 800-131A

Управление и мониторинг:

  • Удаленное администрирование, включающее добавление приложений, обновление программного обеспечения и проверку состояния nShield
  • Поддержка системного журнала диагностики Syslog
  • Система контроля производительности
  • Интерфейс с командной строкой (CLI)/ графический интерфейс пользователя (GUI)
  • Агент мониторинга SNMP

Физические характеристики:

  • Исполнение: стандартные платы PCIe с низким профилем;
  • Энергопотребление: 10 Ватт для Solo+ и 24 Ватта для Solo XC