nShield Bring Your Own Key позволяет пользователям облака усилить контроль над защитой данных

Когда удобство облака совмещается с безопасностью

ОБЗОР
• Более защищенные методы управления ключами, повышающие безопасность ваших конфиденциальных данных в облаке
• Более надежное создание ключей с использованием генератора случайных чисел с высокой энтропией от Entrust nShield, который защищен аппаратным обеспечением, сертифицированным по стандарту FIPS
• Более глубокий контроль над ключами: создавайте и безопасно экспортируйте ключи в облако с помощью собственных аппаратных модулей безопасности (HSM) nShield
• Более налаженные операции управления ключами, независимо от того, используются ключи в облаке или локально.
Благодаря HSM nShield вы можете принести свои ключи (BYOK) в облачное приложение, независимо от того, используете вы Amazon Web Services (AWS), Google Cloud Platform (GCP) или Microsoft Azure.
Высоконадежные HSM nShield позволяют вам и далее пользоваться гибкими и экономичными облачными сервисами, улучшать защиту методов управления ключами и обретать больший контроль над своими ключами.

Что делает nShield BYOK
С помощью nShield BYOK вы можете использовать свои HSM nShield для генерации, хранения и управления ключами, которые нацелены на защиту уязвимых облачных приложений, баз данных
и запоминающих устройств большого объема. Возможности nShield BYOK:
• Опора на аппаратный корень доверия Ваши HSM nShield представляют из себя высоконадежные устойчивые к взлому
устройства, сертифицированные по стандарту FIPS 140-2 уровня 3. Эти АМБ служат в качестве корня доверия вашего облачного сервиса, позволяя вам безопасно генерировать и защищать свои ключи шифрования и подписи.
• Использование nShield для управления ключами. Если вы храните конфиденциальные данные в облачных приложениях, можете
с легкостью положиться на АМБ nShield в вопросе генерации, упаковки и доставки ключей в облачные приложения.
• Контроль доступности ваших ключей. Вы получаете исключительный контроль над своими HSM nShield, будь то локально или в среде nShield as a Service, вы решаете когда генерировать или экспортировать ключи. Контролируя главную копию, вы также контролируете, происходит ли дальнейший экспорт вашему поставщику облачного сервиса и когда это случается.
• Выбор поставщика облачного сервиса. nShield BYOK позволяет вам решать, услугами какого поставщика облачного сервиса воспользоваться для каждого ключа. Это обеспечивает необходимую свободу действий для выбора нужного облака из локальной или предлагаемой среды nShield для разных приложений. В то же время вы извлекаете пользу из высоконадежной генерации и защиты ключей.

Начало роботы с nShield BYOK
Чтобы начать использовать nShield BYOK для AWS, GCP или Azure, вам требуется АМБ nShield. На выбор предложены следующие решения:
nShield Connect, сетевое устройство.
nShield Solo, встраиваемая в сервер карта PCIe.
nShield Edge, подключаемое по USB устройство, предназначенное для приложений с небольшим объемом операций.
• nShield as a Service с использованием HSM nShield Connect на условиях подписки

Для обеспечения максимальной надежности используйте Entrust BYOK с Microsoft Azure. Если вам требуется помощь с развертыванием, вы можете приобрести следующий дополнительный пакет: Bring Your Own Key, Azure Professional Services
Он включает в себя nShield Edge, реализацию интеграции специалистами Entrust Professional Services и договор на один год обслуживания.
Вы также можете приобрести HSM nShield Connect, Solo или Edge и профессиональные услуги отдельно.
Для использования nShield BYOK с AWS, GCP или Microsoft Azure с применением методов открытых стандартов Microsoft вам потребуется следующий пакет Entrust: Пакет Cloud Integration Option Pack.
Этот пакет опций включает все необходимое для использования локальных АМБ nShield для упаковки, надежной транспортировки и аренды ключей AWS, GCP или Microsoft Azure с использованием Azure BYOK.
Вы можете самостоятельно интегрировать nShield BYOK и AWS GCP или Azure, или же вы можете использовать Entrust Professional Services для легкого и эффективного подключения.

Принципы работы nShield BYOK
Entrust предоставляет механизмы, позволяющие вам использовать свои АМБ nShield для генерации ключей, надежного долгосрочного хранения и экспорта ключей в облако. После экспорта ключей в облако из локальной или предлагаемой среды nShield вы будете управлять ключами в соответствии с одним из следующих подходов:
Если вы используете Microsoft Azure… Для обеспечения максимальной надежности при использовании Microsoft Azure выбирайте Entrust BYOK. Это контролирует условия, которые должны быть выполнены для загрузки ключа в Azure и жестко ограничивает действия MSFT в его отношении после его загрузки.
Вы безопасно передадите свои ключи в HSM nShield, действующий в инфраструктуре Azure, тем самым обеспечив двойную защиту АМБ.

Если вы используете AWS или GCP
Вы сдадите свои ключи в аренду AWS или GCP для временного использования в облаке. По прошествии заранее определенного времени ваши ключи в облаке будут уничтожены. В случае необходимости вы можете снова сдать в аренду ключи, хранящиеся в вашем АМБ.
Какой бы общедоступный облачный сервис вы не выбрали, генерирование собственных ключей и контроль их экспорта поможет вам обеспечить надежные гарантии защиты конфиденциальных данных и приложений в облаке.

HSM Entrust
HSM Entrust nShield — одни из самых высокопроизводительных, наиболее безопасных и простых в интеграции аппаратных модулей безопасности, при этом они обеспечивают соответствие нормативным требованиям и высочайший уровень безопасности данных и приложений для предприятий, финансовых и государственных организаций. Наша уникальная архитектура управления ключами Security World обеспечивает надежный детальный контроль доступа к ключам и их использования.