Moduł Bezpieczeństwa LAN HSM: Rozwiązanie Sieciowe Utimaco
Sieciowy Hardware Security Module firmy Utimaco jest rozwiązaniem przeznaczonym do zastosowań w układach jeden HSM – wiele aplikacji lub tam, gdzie zalecane jest odseparowanie HSM od reszty infrastruktury sprzętowej.
Utimaco HSM gwarantuje kryptograficzne zabezpieczenie danych serwerów i aplikacji, a jego oprogramowanie integracyjne obsługuje kluczowe standardy branżowe w tym: PKCS#11, Microsoft CSP/CNG, JCE, OpenSSL, wykorzystywane w wielu wariantach wdrożeniowych.
Sprzętowy moduł bezpieczeństwa od Utimaco to nie tylko bezpieczne generowanie oraz przechowywanie kluczy, ale i wszechstronne zastosowanie.
Seria u.trust General Purpose HSM SE została zaprojektowana przyszłościowo, czyli z myślą o technologicznych wyzwaniach, łącząc w sobie doskonałą wydajność z obsługą wielu użytkowników.
Ponadto wszystkie modele Utimaco HSM przystosowane zostały do wymagań kryptografii post-kwantowej i posiadają certyfikat FIPS 140-2 Poziom 3.
Rodzina produktów Utimaco u.trust obejmuje:
- General Purpose HSM seria SE
- Skonteneryzowany HSM seria SE
- Symulator oprogramowania sprzętowego dla HSM serii SE
- Scentralizowane urządzenie do monitorowania i zarządzania 360°
General Purpose HSM seria SE
Sprzętowy moduł bezpieczeństwa od Utimaco stworzony został z myślą o rozwiązaniach, w których nadrzędną rolę odgrywa spełnienie wymagań wydajnościowych, przy zachowaniu wysokich wymagań dotyczących bezpieczeństwa. Każdy model HSM odpowiada jednocześnie ogólnym wymaganiom branżowym, a także wymogom prawnym.
Utimaco HSM to odporne na manipulacje i włamania, cieszące się dużym zaufaniem urządzenie fizyczne, które wykonuje wszystkie główne operacje kryptograficzne, w tym szyfrowanie, deszyfrowanie, uwierzytelnianie, zarządzanie kluczami i ich wymianę.
Produkty Utimaco posiadają ponadto niezawodny system operacyjny oraz ograniczony dostęp do sieci dzięki zaporze firewall. Spełniają także wymagania wielu norm i przepisów takich jak:
- Rozporządzenie unijne o ochronie danych osobowych tzw. GDPR (General Data Protection Regulation)
- Zbiór norm bezpieczeństwa tzw. PCI DSS (Payment Card Industry Data Security Standard)
- FIPS 140-2 Poziom 3 lub 4
- Common Criteria
Utimaco HSM jest w pełni „zaufanym" urządzeniem, ponieważ:
- został poddany wielu różnorodnym testom i uzyskał niezbędną certyfikację
- wyróżnia go wydajny i bezpieczny system operacyjny
- posiada sieciowy interfejs
- skutecznie chroni dane kryptograficzne.
Kryptograficzne API oparte na architekturze REST
Nowoczesnym sposobem na uproszczenie integracji z modułami HSM jest zastosowanie kryptograficznego API zaprojektowanego zgodnie z zasadami architektury REST. Oparte na modelu Representational State Transfer (REST), API umożliwia standaryzowaną komunikację klient-serwer za pomocą dobrze zdefiniowanych żądań HTTP.
Każde żądanie zawiera wszystkie potrzebne informacje, dzięki czemu po obu stronach – czyli po stronie klienta i serwera – nie trzeba przechowywać danych o stanie połączenia (z wyjątkiem sesji użytkownika HSM).
Dla zapewnienia szerokiej kompatybilności, API zostało opisane w formacie OpenAPI Specification – popularnym, zrozumiałym dla maszyn standardzie, który ułatwia integrację i automatyzację w różnych środowiskach i platformach.
REST API – zastosowania i korzyści dla środowisk HSM
REST API są powszechnie stosowane ze względu na swoją prostotę, skalowalność oraz łatwość współpracy z nowoczesnymi środowiskami webowymi i chmurowymi. W przypadku wdrożeń HSM, REST API to nie tylko kolejny interfejs – to istotny element, który pozwala aplikacjom działać całkowicie niezależnie, bez potrzeby szczegółowej znajomości i zarządzania infrastrukturą HSM.
W typowym środowisku można uruchomić jeden lub więcej serwerów REST API na aplikację (w zależności od liczby transakcji), obsługujących wiele instancji klientów, które potrzebują dostępu do tej samej grupy HSM w chmurze oraz wspólnej konfiguracji magazynu kluczy. To eliminuje konieczność zarządzania lokalnym przechowywaniem kluczy po stronie użytkowników, co dodatkowo ułatwia wdrożenie i konfigurację.
Cała komunikacja jest zabezpieczona za pomocą wzajemnego uwierzytelniania TLS (mTLS) i zgodna ze specyfikacją OpenAPI 3.0.3, co pozwala na tworzenie klienta niezależnego od języka programowania i łatwą automatyzację.
REST API dla modułów Utimaco General Purpose HSM
Moduły Utimaco General Purpose HSM umożliwiają komunikację za pomocą REST Cryptographic API (RCAPI). Dzięki temu deweloperzy mogą komunikować się z HSM poprzez prosty interfejs oparty na protokole HTTP, zabezpieczony protokołem TLS 1.3. Pozwala to na łatwą integrację operacji kryptograficznych za pośrednictwem tego samego interfejsu, który jest powszechnie używany w aplikacjach opartych na architekturze usługowej.
Utimaco General Purpose HSM – wdrożenie lokalne lub jako usługa
Seria u.trust General Purpose HSM Se-Series łączy wysoką wydajność z możliwością skalowalnego, wielodostępnego użytkowania. Dzięki architekturze opartej na kontenerach (do 31 kontenerów) rozwiązanie to oferuje elastyczność w różnych scenariuszach zastosowań, takich jak kryptografia postkwantowa (PQC), sieci 5G, blockchain czy aplikacje niestandardowe.
General Purpose HSM jako usługa
General Purpose HSM as a Service , czyli jako usługa to chmurowe rozwiązanie GP HSM, hostowane w jednym z bezpiecznych i certyfikowanych centrów danych Utimaco. Umożliwia ono bezpieczne generowanie, przechowywanie i zarządzanie kluczami kryptograficznymi – w pełni pod kontrolą klienta.
Utimaco u.trust HSM – White Paper
Utimaco u.trust HSM – Technical Datasheet
Zalety modułów HSM
Sprzętowe moduły bezpieczeństwa posiadają wiele zalet np.:
- są odporne na manipulacje i sygnalizują o nich
- zapewniają najwyższy poziom bezpieczeństwa zarówno danych wrażliwych, jak i kluczy kryptograficznych
- spełniają wszystkie najważniejsze standardy i normy bezpieczeństwa
- gwarantują szybką i skuteczną automatyzację zadań związanych z cyklem życia kluczy kryptograficznych
- umożliwiają przechowywanie kluczy kryptograficznych w jednym miejscu, a nie w wielu różnych lokalizacjach.
Podsumowując, będąc fizycznym urządzeniem z wydajnym systemem operacyjnym i ograniczonym dostępem do sieci, HSM stanowi „Root of Trust" dla infrastruktury bezpieczeństwa organizacji.
Niskie koszty operacyjne
- Najlepsza wydajność na rynku oraz doskonały stosunek ceny do jakości
- Tanie modele startowe dla zastosowań z niższymi wymaganiami wydajnościowymi
- Szeroki zakres zdalnej administracji
- Efektywne zarządzanie kluczami i aktualizacje firmware poprzez zdalny dostęp
- Automatyzacja zdalnej diagnostyki za pomocą systemu zarządzania siecią używającego protokołu SNMP
- Silne uwierzytelnienie kartą
- Natychmiastowe wdrożenie i użycie: niewymagana instalacja sterowników
- Skalowalność
- Równoległy dostęp wielu aplikacji
- Standardowe interfejsy kryptograficzne: PKCS#11, JCE, Microtsoft CSP, OpenSSL
- Fizyczne odizolowany i niezależny system
- Niezależność od platformy
- Symulator HSM
- Możliwość wykorzystania symulatora HSM do rozpoznania i integracji, budowania środowisk testowych czy oceny nowych funkcjonalności
- Otwarta, modułowa koncepcja oprogramowania dająca możliwość aktualizowania rozwiązania i dostosowania go do nowych lub zmodyfikowanych procedur nawet po wielu latach.
Zarządzanie kluczami
- Zintegrowane funkcje do generowania kluczy, eksportu i importu, tworzenia bezpiecznej kopii zapasowej i przywracania
- Bezpieczna wewnętrzna pamięć dla tysięcy kluczy (nie tylko dla jednego MasterKey)
Cechy eksploatacyjne
- Szeroki zakres zdalnej administracji
- Efektywne zarządzanie kluczami i aktualizacja oprogramowania poprzez zdalny dostęp
- Automatyka diagnozy na odległość za pośrednictwem systemu zarządzania siecią przez protokół SNMP
Parametry fizyczne
Urządzenia sieciowe LAN HSM wysokości 1U, jedna jednostka szafowa, do stosowania w szafach rakowych, są wyposażone w dwa sieciowe interfejsy RJ45, 1 Gb/s, oraz złącze USB.
Parametry fizyczne
Format: 19″, 1U
Waga: 10 kg
Szerokosc: 446 mm
Glebokosc: 533,4 mm
Wysokosc: 44 mm