Funkcjonowanie Sprzętowego Modułu Bezpieczeństwa
Współczesna kryptografia zapewnia bezpieczeństwo danych użytkowników, a sposób przetwarzania transakcji elektronicznych gwarantuje zachowanie poufności, integralności i weryfikację tożsamości (uwierzytelnianie).
Szyfrowane dane nie są jednak skutecznie chronione w przypadku niepełnego zabezpieczenia systemów komputerowych służących do przeprowadzania zaszyfrowanych transakcji lub przeznaczonych do zapisywania na nich kluczy.
Hardware Security Module
Odpowiedzią na ten problem jest rozwiązanie opracowane na podstawie technologii sprzętowych modułów bezpieczeństwa HSM (ang. Hardware Security Module).
Jest ono zgodne ze wszystkimi obowiązującymi standardami bezpieczeństwa – wśród nich z wytycznymi amerykańskich norm FIPS 140-2 Poziom 2 i Poziom 3.
Urządzenie UTIMACO HSM spełnia podstawowe wymogi tych standardów:
- Komputer musi być właściwie chroniony, tak aby znajdujące się na nim dane i programy były zabezpieczone przed manipulacją i dostępem osób nieuprawnionych;
- Komunikacja z kryptoprocesorem modułu HSM musi odbywać się za pośrednictwem interfejsu w pełni chronionego przed atakami ze strony interfejsu aplikacji;
- Kryptoprocesor modułu HSM musi mieć system zabezpieczający, który natychmiast rozpoznaje ataki z zewnątrz i aktywnie zapobiega ich skutkom, usuwając zapisane informacje w celu zapewnienia bezpieczeństwa danych.
Utimaco HSM
Odporny na ingerencję z zewnątrz sprzęt jest wyposażony w czujniki pozwalające na automatyczne rozpoznanie ataków oraz obwody umożliwiające podejmowanie odpowiednich środków ochronnych. Moduły Utimaco HSM obecnej generacji chronią przed:
- ekstrakcją i analizą danych
- atakami przeprowadzanymi poprzez zmianę temperatury otoczenia
- atakami mechanicznymi
- atakami chemicznymi
- atakami przy użyciu prądu elektrycznego.
Urządzenia HSM firmy Utimaco mogą służyć do przechowywania ważnych i poufnych informacji oraz danych o dużym znaczeniu dla działalności biznesowej firmy (w tym certyfikatów, kluczy podpisu czy kluczy szyfrujących), a także do zabezpieczenia ich przed kradzieżą i manipulacją z zewnątrz oraz przygotowania ich do dalszego wykorzystania. Klienci mogą w ten sposób tworzyć własną „strefę bezpieczeństwa”, czyli za pomocą modułów HSM w pełni chronić dane także w takich środowiskach, jak zewnętrzne centra obliczeniowe, w których nie kontrolują tożsamości cyfrowych (cryptographic identities), kluczy bądź ich zastosowań ani też nie mają do nich bezpośredniego dostępu.
Utimaco oferuje trzy wymiary bezpieczeństwa
W pierwszych wersjach modułów Utimaco HSM, produkowanych 10 lat temu, najważniejsze było stworzenie podstawowej architektury procesorów i modułów pamięciowych, jak również zastosowane rozwiązanie konstrukcyjne. Dzięki używanej obecnie architekturze, opartej na cyfrowych procesorach sygnałowych o dużej mocy, na szczególną uwagę zasługują obwody zabezpieczające oraz sposób ich optymalizacji.
Utimaco oferuje klientom swoją wiedzę wynikającą z wieloletniego doświadczenia w integracji systemów informatycznych oraz moduł HSM oparty na potrójnym systemie zabezpieczeń:
- bezpieczeństwo kluczy oraz ich aplikacji zgodnie z procedurami kryptograficznymi (np. zawartymi w amerykańskiej normie FIPS 140-2 lub FIPS 140-3);
- bezpieczeństwo i dostępność w sytuacjach awaryjnych;
- bezpieczeństwo inwestycyjne dzięki otwartemu oprogramowaniu opartemu na modułach, które pozwala dostosowywać wersje do nowych lub zaktualizowanych procedur.
Dla naszych ekspertów w dziedzinie ochrony systemów i danych bezpieczeństwo oznacza nie tylko kryptografię czy bezpieczną pamięć kluczy – to również sprzęt z niezbędnymi atestami, jego dostępność i niezawodność.
Bezpieczeństwo sprzętu musi charakteryzować się jak najkorzystniejszym stosunkiem jakości do ceny, zarówno w przypadku standardowych środowisk systemowych, na przykład Microsoft Server, aplikacji, w których narzędzia i funkcje gwarantujące bezpieczeństwo są zintegrowane za pomocą interfejsów PKCS #11, jak i ściśle określonych procedurami transakcji płatniczych.
O wydajności kosztowej Utimaco HSM świadczą elastyczność i integralność – te cechy pozwalają na jego bezproblemowe wdrożenie w procesy biznesowe i architekturę informatyczną przesiębiorstwa. Rozwiązania Utimaco są kompatybilne ze wszystkimi podstawowymi architekturami systemów informatycznych. Dwa warianty oferują dwie koncepcje głównych funkcjonalności:
- Kartowy HSM PCI lub PCIe to najlepsze rozwiązanie dla użytkowników, którzy konfigurują własną infrastrukturę IT i osobiście nią zarządzają, a szczególnie zależy im na bezpieczeństwie danych i kluczy.
- Sieciowy HSM jest odpowiedni dla użytkowników implementujących dedykowane jednostki serwerowe w istniejącej architekturze i oczekujących wyraźnego rozdzielenia funkcji technicznych od wykorzystywanego systemu informatycznego. HSM LAN umożliwia podział ról administratorów w związku z obowiązującym w firmach zróżnicowaniem podmiotów odpowiedzialnych za bezpieczeństwo, systemy oraz sieci.
Bezpieczeństwo w całej swojej prostocie
Kryptografia, certyfikaty, standardy PKCS, interfejsy – tego rodzaju terminy, skróty i techniczne opisy utrudniają zarówno zrozumienie istoty potrzeb, jak i wybór oraz zastosowanie właściwego systemu bezpieczeństwa systemów informatycznych. Samodzielne przeprowadzenie przez klienta szczegółowej analizy potrzeb i wdrożenie skomplikowanych procedur certyfikujących, stworzonych na potrzeby najwyższych standardów bezpieczeństwa modułów HSM, jest i kosztowne, i czasochłonne.
Utimaco HSM łączy w sobie wszystkie niezbędne funkcje, procedury i interfejsy w postaci gotowych do użycia pakietów spełniających oczekiwania i wymogi różnych sektorów przemysłu i procesów biznesowych.
Dokonując wyboru, klient nie musi już starać się zrozumieć, na czym polega kryptografia czy zabezpieczenia sprzętu. Wystarczy, że wybierze standardowy pakiet, na który składa się sprawdzany i doskonalony przez lata atestowany sprzęt i oprogramowanie. Istnieje możliwość modyfikacji rozwiązania zgodnie z jego potrzebami bez konieczności zakupu kolejnej wersji. Można wówczas skorzystać z rozbudowanego portfolio protokołów i aplikacji, które znalazły zastosowanie w innych projektach Utimaco.