Podstawy funkcjonowania sprzętowego modułu bezpieczeństwa HSM
Współczesna kryptografia zapewnia bezpieczeństwo danych użytkowników, a sposób przetwarzania transakcji elektronicznych gwarantuje zachowanie poufności, integralności i weryfikację tożsamości (uwierzytelnianie).
Szyfrowane dane nie są jednak skutecznie chronione w przypadku niepełnego zabezpieczenia systemów komputerowych służących do przeprowadzania zaszyfrowanych transakcji lub przeznaczonych do zapisywania na nich kluczy, które będą wykorzystywane w przyszłości.
Hardware Security Module
Odpowiedzią na ten problem jest rozwiązanie opracowane na podstawie technologii sprzętowych modułów zabezpieczających HSM (ang. Hardware Security Module).
Jest ono zgodne ze wszystkimi obowiązującymi standardami bezpieczeństwa – wśród nich z wytycznymi amerykańskich norm FIPS 140-2 Level 2 i Level3.
Spełnia podstawowe wymogi tych standardów:
- Komputer musi być właściwie chroniony, tak aby znajdujące się na nim dane i programy były zabezpieczone przed manipulacją i dostępem osób nieuprawnionych;
- Komunikacja z kryptoprocesorem modułu HSM musi odbywać się za pośrednictwem interfejsu w pełni chronionego przed atakami ze strony interfejsu aplikacji;
- Kryptoprocesor modułu HSM musi mieć system zabezpieczający, który natychmiast rozpoznaje atak zewnątrz i aktywnie zapobiega ich skutkom, usuwając zapisane informacje w celu zapewnienia bezpieczeństwa danych.
Utimaco HSM
Odporny na ingerencję z zewnątrz sprzęt jest wyposażony w czujniki pozwalające na automatyczne rozpoznanie ataków oraz obwody umożliwiające podejmowanie odpowiednich środków ochronnych. Moduły HSM Utimaco obecnej generacji chronią przed:
- ekstrakcją i analizą danych
- atakami przeprowadzanymi poprzez zmianę temperatury otoczenia
- atakami mechanicznymi
- atakami chemicznymi
- atakami przy użyciu prądu elektrycznego.
Moduły HSM Utimaco mogą służyć do przechowywania ważnych i poufnych danych oraz danych o dużym znaczeniu dla działalności biznesowej firmy (w tym certyfikatów, kluczy podpisu czy kluczy szyfrujących), do zabezpieczenia ich przed kradzieżą i manipulacją z zewnątrz oraz przygotowania ich do dalszego wykorzystania. Klienci mogą w ten sposób tworzyć własną „strefę bezpieczeństwa”, czyli za pomocą modułów HSM w pełni chronić dane także w takich środowiskach, jak zewnętrzne centra obliczeniowe, w których nie kontrolują cryptographic identities, kluczy bądź ich zastosowań ani też nie mają do nich bezpośredniego dostępu.
Utimaco oferuje trzy wymiary bezpieczeństwa
W pierwszych wersjach modułów HSM Utimaco, produkowanych 10 lat temu, najważniejsze było stworzenie podstawowej architektury procesorów i modułów pamięciowych, jak również zastosowane rozwiązanie konstrukcyjne. Dzięki używanej obecnie architekturze, opartej na cyfrowych procesorach sygnałowych o dużej mocy, uwagę można poświęcić obwodom zabezpieczającym oraz sposobom ich optymalizacji.
Utimaco oferuje klientom swoją wiedzę wynikającą z wieloletniego doświadczenia w integracji systemów informatycznych oraz moduł HSM oparty na potrójnym systemie zabezpieczeń:
- bezpieczeństwo kluczy oraz ich aplikacji zgodnie z procedurami kryptograficznymi (np. zawartymi w amerykańskiej normie FIPS 140-2 lub FIPS 140-3);
- bezpieczeństwo i dostępność w sytuacjach awaryjnych;
- bezpieczeństwo inwestycyjne dzięki otwartemu oprogramowaniu opartemu na modułach, które pozwala dostosowywać wersje do nowych lub zaktualizowanych procedur.
Dla naszych ekspertów w dziedzinie ochrony systemów i danych bezpieczeństwo oznacza nie tylko kryptografię czy bezpieczną pamięć kluczy – to również sprzęt z niezbędnymi atestami, jego dostępność i niezawodność.
Bezpieczeństwo sprzętu musi charakteryzować się jak najkorzystniejszym stosunkiem jakości do ceny, zarówno w przypadku standardowych środowisk systemowych, na przykład Microsoft Server, aplikacji, w których narzędzia i funkcje gwarantujące bezpieczeństwo są zintegrowane za pomocą interfejsów PKCS #11, jak i ściśle określonych procedurami transakcji płatniczych.
O wydajności kosztowej rozwiązania Utimaco HSM świadczy jego elastyczność i otwartość – te cechy pozwalają na jego bezproblemową integrację ze wszystkimi procesami biznesowymi i konkretnymi architekturami informatycznymi. Platformy bazowe Utimaco są kompatybilne ze wszystkimi podstawowymi architekturami systemów informatycznych. Dwa warianty oferują dwie koncepcje głównych funkcjonalności:
- Kartowy HSM PCI lub PCIe to najlepsze rozwiązanie dla użytkowników, którzy konfigurują własną infrastrukturę IT i osobiście nią zarządzają, a szczególnie zależy im na bezpieczeństwie danych i kluczy.
- Sieciowy HSM jest odpowiedni dla użytkowników implementujących dedykowane jednostki serwerowe w istniejącej architekturze i oczekujących wyraźnego rozdzielenia funkcji technicznych od wykorzystywanego systemu informatycznego. HSM LAN umożliwia podział ról administratorów w związku z obowiązującymw firmach zróżnicowaniem podmiotów odpowiedzialnych za bezpieczeństwo, systemy oraz sieci.
Bezpieczeństwo w całej swojej prostocie
Kryptografia, certyfikaty, standardy PKCS, interfejsy – tego rodzaju terminy, skróty i techniczne opisy utrudniają zarówno zrozumienie istoty potrzeb, jak i wybór oraz zastosowanie właściwego systemu bezpieczeństwa systemów informatycznych. Samodzielne przeprowadzenie przez klienta szczegółowej analizy potrzeb i wdrożenie skomplikowanych procedur certyfikujących, stworzonych na potrzeby najwyższych standardów bezpieczeństwa modułów HSM, jest i kosztowne, i czasochłonne.
Utimaco HSM łączy w sobie wszystkie niezbędne funkcje, procedury i interfejsy w postaci gotowych do użycia pakietów spełniających oczekiwania i wymogi różnych sektorów przemysłu i procesów biznesowych.
Dokonując wyboru, klient nie musi już starać się zrozumieć, na czym polega kryptografia czy zabezpieczenia sprzętu. Wystarczy, że wybierze standardowy pakiet, na który składa się sprawdzany i doskonalony przez lata atestowany sprzęt i oprogramowanie. Istnieje możliwość modyfikacji rozwiązania zgodnie z jego potrzebami bez konieczności zakupu kolejnej wersji. Można wówczas skorzystać z rozbudowanego portfolio protokołów i aplikacji, które znalazły zastosowanie w innych projektach Utimaco.