nShield Connect - сетевой аппаратный модуль безопасности HSM

nShield Connect - сетевой аппаратный модуль безопасности HSM

nShield Connect - сетевой аппаратный модуль безопасности HSM

nShield Connect - сетевой аппаратный модуль безопасности HSM

Все крупные компании используют множество корпоративных программных приложений, каждое из которых обрабатывает ценную, а зачастую и критическую для бизнеса конфиденциальную информацию. Так возникает потребность в ее защите. Для решения этой задачи можно использовать как программные, так и аппаратные средства, причем только аппаратные инструменты позволяют организовать защиту, близкую к абсолютной. Наиболее подходящим решением для аппаратной защиты корпоративных приложений и конфиденциальной информации сегодня является сетевой аппаратный модуль Thales nShield Connect.

Thales nShield Connect – высокоэффективный сетевой аппаратный модуль безопасности (HSM) для криптографической защиты программных приложений и виртуальных машин. С nShield Connect компании получают мощный инструмент аппаратного контроля над серверными системами, необходимый в тех случаях, когда программного уровня защиты становится недостаточно. nShield Connect в полной мере воплотил компетенции Thales в обеспечении безопасности инфраструктур и сочетает в себе высочайший уровень надежности и простоту управления. Благодаря этому проще определять и выстраивать политику безопасности и автоматизировать сложные и подверженные рискам  административные задачи бизнеса.

Thales nShield Connect полностью совместим с другими решениями семейства nShield. Это позволяет комбинировать эти решения наиболее оптимальным образом и масштабировать их в соответствии с растущими потребностями бизнеса. Линейка nShield Connect включает ряд моделей различной производительности, включая модуль nShield Connect 6000+, оптимизированный под механизмы эллиптической криптографии. Младшие модели линейки могут быть легко обновлены до старших без замены аппаратного модуля, а только посредством обновления программной части. Каждая компания может выбрать решение с оптимальными техническими характеристиками под свои задачи. Резервные аппаратные средства обеспечивают отказоустойчивость и бесперебойную работу модулей, что делает их оптимальным выбором для центров обработки и передачи данных высокой доступности.

Thales nShield Connect – это независимая сертифицированная система безопасности. Она осуществляет управление ключами, реализует криптографические операции, такие как шифрование и использование электронных подписей в различных бизнес-приложениях, поддерживает критические системы безопасности, включая инфраструктуру управления открытыми ключами PKI, системы управления идентификацией, базами данных, расширения безопасности для служб доменных имен и т.д. nShield Connect сертифицирован по стандартам FIPS 140-2 Level 3 и Common Criteria EAL4+.

Возможности Thales nShield Connect

  • Аппаратная структура модуля исключает слабые стороны, присущие программным средствам защиты информации;
  • Мощная архитектура управления ключами сокращает операционные расходы;
  • Централизованная платформа обеспечивает максимальные возможности применения и масштабируемость;
  • Гибкая структура системы оптимально подходит для сред высокой информационной доступности;
  • Сетевая архитектура поддерживает традиционные, виртуальные и облачные инфраструктуры;
  • Обновление посредством апгрейда программной составляющей.
Преимущества

Аппаратные модули HSM обеспечивают близкий к абсолютному уровень безопасности криптографических операций, в отличие от программных или незащищенных аппаратных средств, не способных полностью исключить возможность компрометации информации. Решения Thales базируются на проверенных технологиях и имеют многоуровневую структуру. Аппаратные модули защиты Thales nShield предоставляют физические и логические методы обеспечения безопасности данных.

Физические методы защиты

  • HSM Thales nShield Connect – это специальное сетевое устройство, изолирующее криптографические процессы и ключи шифрования от приложений и операционных систем хоста и делающее их доступными только через жестко контролируемый криптографический интерфейс;
  • Корпус модуля Thales nShield Connect имеет высочайший уровень надежности благодаря особой конструкции, исключающей взлом, а также применению технологии эпоксидной герметизации для защиты внутренних схем и специальных меток системы безопасности, разоблачающих попытки несанкционированного доступа к модулю;
  • Дополнительная возможность, реализуемая при помощи технологии CodeSafe: перемещение частей кода приложения, особенно нуждающихся в защите, из хост-сервера в так называемую «песочницу» (приложение для безопасного хранения данных) внутри оборудования, физически защищаемую самим HSM;
  • Мониторинг состояния внешней среды, включая целостность корпуса, блоков питания и температуры для обнаружения угроз нападения;
  • Строгая аутентификация компьютеров пользователей, имеющих доступ к общим ресурсам Thales nShield Connect.

Логические методы защиты

  • Все администраторы и пользователи, которые получают доступ к HSM Thales nShield Connect, проходят индивидуальную процедуру строгой аутентификации при помощи смарт-карт, управляемых непосредственно модулем. Больше нет необходимости полагаться на ненадежные пароли, которые зачастую используются группой лиц и применяются в нескольких приложениях;
  • Четкое разделение обязанностей администраторов и офицеров безопасности в Thales nShield Connect значительно повышает уровень защищенности ключей в отличие от программных средств защиты информации, где пользователи с особым уровнем доступа (супервизор или администратор) имеют расширенные права, в том числе, и в отношении доступа к паролям;
  • Двойной контроль, реализованный в Thales nShield Connect, требует совместной работы и, более того, кворума нескольких администраторов и операторов, например, для выполнения критических операций, таких как восстановление мастер-ключа шифрования. Метод взаимного контроля минимизирует угрозу появления инсайдеров. В nShield Connect этот метод легко конфигурируется и позволяет реализовать близкую к абсолютной систему защиты;
  • Опционально предусмотрена возможность  строгой проверки целостности данных и усиления политики для приложений, дополнительно защищенных посредством технологии CodeSafe.

Преимущества Thales nShield Connect

В прошлом системы безопасности высокого уровня были громоздкими, что отрицательно сказывалось на удобстве их использования, стоимости и производительности. Администраторам приходилось искать баланс между безопасностью с одной стороны и эффективностью с другой. HSM семейства Thales nShield сочетают в себе близкую к абсолютной систему безопасности и высокую производительность, обеспечивая при этом удобство управления ключевыми процессами.

  • Автоматическое безопасное управление ключами шифрования и создание их резервных копий значительно упрощают интеграцию модулей HSM и делают их использование в бизнес-процессах значительно проще и доступнее;
  • Разнообразные стандартные прикладные интерфейсы (API) для широкого спектра программных продуктов и серьезное предварительное тестирование на совместимость с наиболее популярными приложениями минимизируют риски при развертывании системы безопасности;
  • Механизмы криптографического ускорения снижают нагрузку на клиентские компьютеры и повышают общую производительность и эффективность систем;
  • Отсутствие ограничений по общему количеству ключей шифрования расширяет возможности масштабирования системы;
  • Резервное копирование устраняет необходимость сохранения дубликатов ключей шифрования в выделенных аппаратных средствах или дорогостоящих специализированных HSM;
  • Защищенный корпус комплектуется уникальной двойной системой энергоснабжения и резервной системой охлаждения с возможностью горячей замены непосредственно в процессе работы;
  • Возможность объединять модули HSM как на отдельных серверах, так и в рамках группы серверов, позволяет создавать наиболее отказоустойчивые системы с возможностью балансировки нагрузки;
  • Удаленный доступ позволяет офицерам безопасности и администраторам выполнять свои обязанности в безопасном режиме, снижая риски и затраты на эксплуатацию системы;
  • В модуле Thales nShield также реализована удаленная синхронизация приложений, защищенных технологией CodeSafe (опционально).
Опции

Модельный ряд

Модуль Thales nShield Connect доступен в 3 основных вариантах: nShield Connect 500, nShield Connect 1500 и nShield Connect 6000. Цифры в названии модулей указывают на примерное количество в секунду операций по выполнению цифровой подписи по алгоритму RSA 1024 бит. Также доступен модуль nShield Connect 6000+, оптимизированный под механизм эллиптического криптографического шифрования. Подробную информацию можно узнать в спецификации.

Пользовательские лицензии

Каждый модуль Thales nShield Connect поставляется в комплекте с 3-мя лицензиями. Для тех организаций, которые хотят включить в систему более 3-х клиентов, доступны дополнительные лицензии под заказ. Максимальное количество клиентов, которое поддерживает каждый модуль, можно узнать в спецификации. Кроме этого, для повышения безопасности клиентов, подключенных к HSM, организации могут использовать дополнительный криптомодуль nToken.

Технология CodeSafe

Технология CodeSafe позволяет разработчикам создавать программы, которые загружаются в безопасную среду HSM. Это надежно защищает данное ПО от внутренних атак, вредоносного программного обеспечения, троянов и других угроз, с которыми они могли бы столкнуться на незащищенных серверах. CodeSafe реализует принцип «песочницы» - защищенной аппаратной среды. Это позволяет проверять целостность кода и осуществлять его исполнение во взломоустойчивом режиме, что станет идеальным решением для приложений, работающих в недоверенной среде. Возможность безопасного выполнения приложений обеспечивает наличие дополнительных функций детализированного контроля доступа и авторизации. Это  является гарантией безопасности критически важных ресурсов, таких как секретные ключи или энергонезависимая память пользователя. Технология CodeSafe доступна во всех моделях nShield, сертифицированных по стандарту FIPS 140-2 Level 3, кроме nShield Edge.

Активация CodeSafe

Организациям, желающим, использовать CodeSafe, необходимо дополнительно приобрести лицензию для каждого HSM.

Активация CodeSafe SSL

 

Дополнительная функция CodeSafe – активация протокола SSL, что позволяет завершать сессии SSL в пределах модуля HSM, повышая тем самым их надежность. В отличие от сессий SSL, завершаемых обычным образом и оставляющих доступными данные на хосте, сессии, защищенные CodeSafe, защищают уязвимые данные, такие как номера карт клиентов (PAN) или пароли при помощи непрерывного шифрования.

Инструментарий CodeSafe

Инструментарий включает в себя подробные инструкции и справочную документацию по работе с CodeSafe, а также примеры программ с применением этой технологии.

CipherTools. Инструментарий разработчика

При помощи инструментария CipherTools разработчики могут воспользоваться всеми возможностями, которые предоставляют HSM Thales nShield при интеграции с пользовательскими приложениями.

Инструментарий включает подробную справочную документацию, примеры программ, написанных на языках высокого уровня, дополнительные версии библиотек для расширения возможностей интеграции с бизнес-приложениями по сравнению с теми возможностями, которые предлагают стандартные программные интерфейсы API.

Активация механизма эллиптической криптографии

Модули nShield предлагают большое количество стандартных механизмов криптографического шифрования, включая AES, DSA и RSA. Для организаций, желающих использовать механизм эллиптической криптографии, доступна соответствующая лицензия ECC в линейках nShield Connect и nShield Solo, а также 2 модели nShield, оптимизированные непосредственно под этот механизм шифрования и отличающиеся повышенной мощностью: nShield Connect 6000+ и nShield Solo 6000+. В этих моделях лицензия ECC входит в комплект поставки.

Защита баз данных

Базы данных зачастую содержат наиболее важную для организации и поэтому ценную для злоумышленников информацию. Поэтому многие разработчики применяют в своих базах встроенные средства шифрования. Пакет безопасности баз данных nShield осуществляет поддержку API для Microsoft Extensible Key Management (расширенного управления ключами). Это позволяет организациям обеспечивать повышенную безопасность ключей, защищающих информацию в Microsoft SQL Server 2008 с применением Transparent Data Encryption (прозрачное шифрование данных). Кроме этого, данный пакет обеспечивает разделение функций управления ключами многоуровневых баз данных и администрирования этих баз.

В Oracle 11g TDE перечисленные функции являются стандартными, и приобретать данный пакет не нужно. 

payShield аутентификация держателей карт для модулей nShield

Для защиты кредитных карт и онлайн-банкинга от мошенничества многие финансовые организации предпринимают дополнительные меры безопасности для транзакций, осуществляемых без использования карт. payShield аутентификация держателей карт для модулей nShield дополняет другие продукты Thales по обеспечению безопасной аутентификации держателей банковских карт различными способами, например, посредством Chip (Gemalto) и PIN (CAP), а также через протокол 3-DSecure, входящий в программы Visa (Verified by Visa) и MasterCard (MаsterCard SecureCode) по обеспечению безопасных методов оплаты в Интернете. Данная опция интегрируется с такими системами аутентификации держателей карт, как ActivIdentity, Arcot, Bell ID и Gemalto.

Устройство загрузки ключей

Некоторые организации полагаются на импорт компонентов ключей для обеспечения безопасной передачи уязвимой информации между системами разных разработчиков. Устройство загрузки ключей nShield позволяет организациям загружать фрагменты симметричных ключей шифрования в модуль HSM посредством специализированной защищенной панели ввода PINpad. Устройство загрузки ключей требует использования payShield идентификации для nShield.

Удаленный оператор

Модули HSM, как правило, функционируют в безопасных с физической точки зрения автономных центрах обработки данных, часто в резервных центрах. Многие организации считают непрактичной необходимость физического доступа к HSM для осуществления повседневных операций. Функция «Удаленный оператор» экономит время и сокращает транспортные затраты сотрудников, предоставляя возможность работать с HSM в безопасном режиме непосредственно со своего рабочего места.

 Активация KCDSA

Правительственные организации и учреждения национальной безопасности предпочитают использовать проприетарные криптографические алгоритмы для защиты наиболее уязвимой и ценной информации. Такие алгоритмы выгодно базировать на платформе HSM. Так, активация алгоритма KCDSA позволила учреждениям Южной Кореи использовать сертифицированную цифровую подпись (Korean Certificate-based Digital Signature Algorithm) на базе Thales nShield. Thales рекомендует организациям, использующим собственные алгоритмы шифрования, защищенные платформой HSM, дополнительно использовать технологию CodeSafe.

Аксессуары

nToken

Организациям, которые хотят повысить уровень безопасности пользователей HSM, рекомендуется применять устройства nToken. Это специальные карты PCI или PCI Express, обеспечивающие строгую аутентификацию для пользователей сетевых HSM, таких как nShield Connect, гарантирующую, что аутентифицируемое лицо является подлинным. Также можно приобрести дополнительные устройства к каждой лицензии. Модификация PCI является полноразмерной, модификация PCI Express представляет собой карты формата с низким профилем. Устройства nToken не совместимы с виртуальными серверами.

Сменные блоки питания nShield

Thales nShield Connect имеет резервируемые блоки энергоснабжения с возможностью горячей замены непосредственно в процессе работы. Это обеспечивает стабильную, бесперебойную работу системы.

Резервная система охлаждения

В Thales nShield Connect предусмотрен резервный блок охлаждения, Блок расположен вне защищенной части HSM, поэтому заменять вентиляторы можно, не выключая модуль.

Клавиатура

Большинство функций настройки Thales nShield Connect легко выполняются при помощи сенсорной панели управления на передней части корпуса, для выполнения определенных операций можно также использовать клавиатуру, как разработанную Thales, так и стандартную.

Направляющие

Для установки модулей nShield Connect в серверные шкафы Thales предлагает специальные направляющие. Их использование облегчит установку и позволит эффективнее использовать место в серверной. Рекомендуется использовать именно оригинальные направляющие Thales, т.к. другие производители не гарантируют совместимость направляющих с модулями nShield Connect. Для установки модуля nShield Connect достаточно двух направляющих. 

 

Технические характеристики

Технические характеристики

Функциональные возможности
• Аппаратное хранение и обработка ключей шифрования и приложений
• Криптографическая разгрузка и ускорение
• Многоуровневая аутентификация и контроль доступа
• Строгое разделение обязанностей администраторов и операторов
• Опционально доступное устройство nToken обеспечивает непревзойденный уровень аутентификации
• Хранение, резервирование, репликация и восстановление ключей шифрования
• Безопасное хранение неограниченного количества ключей шифрования
• Кластеризация, балансировка нагрузки и многофакторная аутентификация
• Неограниченное логическое/криптографическое разделение ключей приложений

Совместимость с ОС
• Windows, Linux, Solaris, IBM AIX, HP-UX
• Виртуальные: VMware, Hyper-V, AIX LPARs

Интерфейсы приложений:
PKCK#11, OpenSSL, Java (JCE), Microsoft CAPI, CNG

Криптографические алгоритмы:
• Ассиметричные алгоритмы открытых ключей: RSA (1024, 2048, 4096, 8192), Diffle-Hellman, DSA, El-Gamal, KCDSA, ECDSA, ECDH
• Симметричные алгоритмы: AES, ARIA, Camellia, CAST, DES, RIPEMD160 HMAC, SEED, Triple DES
• Хэширование: SHA-1, SHA-2 (224, 256, 384, 512бит)
• Полноценная реализация лицензированных алгоритмов эллиптической криптографии (ECC), а также поддержка пользовательских алгоритмов ECC

Соответствие стандартам безопасности
• FIPS 140-2 Level 2 и Level 3, NIST SP 800-131A
• Common Criteria EAL4+

Бесперебойная работа
• Твердотельные накопители данных
• Двойная система энергоснабжения и система резервного охлаждения с возможностью «горячей замены»
• Наработка на отказ – не менее 47000 часов
• Контроль внешней среды: температуры, влажности, попыток взлома

Управление
• Удаленный доступ; многопользовательский контроль доступа
• Поддержка системного журнала диагностики Syslog
• Система контроля производительности
• Интерфейс с командной строкой (CLI)/ графический интерфейс пользователя (GUI)
• Система контроля, совместимая с SNMPv3

Физические характеристики
• Габариты: стандартный U1 для монтажа в 19’’ серверную стойку (в комплект входят 2 направляющих)
43.4х430х705 мм
Вес 11.5 кг
• Напряжение сети: 100-240V (автоматическое определение), 50-60Hz (номинальное)
• Потребление электроэнергии: до 1.2А при 110V AC 60Hz или 0.2А при 220V AC 50Hz
• Температура: рабочая 5…40С°, хранение -20…70С°
• Влажность (без конденсации при 35%): рабочая 10…90%, хранение 0…85%

 

nShield onnect модельный ряд 500+ XC Base 1500+ 6000+ XC Mid XC High
Генерация ключей RSA (транзакций в секунду) для рекомендованной NIST длины ключа
2048 Бит 150 340 450 3.000 3.000 8.400
4096 Бит 80 80 190 500 700 2.000
Подписание ECC   (транзакций в секунду) для рекомендованной NIST длины ключа
256 Бит 540 570 1.260 2.400 5.000 14.000

 

nShield Connect - сетевой аппаратный модуль безопасности HSM

Все крупные компании используют множество корпоративных программных приложений, каждое из которых обрабатывает ценную, а зачастую и критическую для бизнеса конфиденциальную информацию. Так возникает потребность в ее защите. Для решения этой задачи можно использовать как программные, так и аппаратные средства, причем только аппаратные инструменты позволяют организовать защиту, близкую к абсолютной. Наиболее подходящим решением для аппаратной защиты корпоративных приложений и конфиденциальной информации сегодня является сетевой аппаратный модуль Thales nShield Connect.

Thales nShield Connect – высокоэффективный сетевой аппаратный модуль безопасности (HSM) для криптографической защиты программных приложений и виртуальных машин. С nShield Connect компании получают мощный инструмент аппаратного контроля над серверными системами, необходимый в тех случаях, когда программного уровня защиты становится недостаточно. nShield Connect в полной мере воплотил компетенции Thales в обеспечении безопасности инфраструктур и сочетает в себе высочайший уровень надежности и простоту управления. Благодаря этому проще определять и выстраивать политику безопасности и автоматизировать сложные и подверженные рискам  административные задачи бизнеса.

Thales nShield Connect полностью совместим с другими решениями семейства nShield. Это позволяет комбинировать эти решения наиболее оптимальным образом и масштабировать их в соответствии с растущими потребностями бизнеса. Линейка nShield Connect включает ряд моделей различной производительности, включая модуль nShield Connect 6000+, оптимизированный под механизмы эллиптической криптографии. Младшие модели линейки могут быть легко обновлены до старших без замены аппаратного модуля, а только посредством обновления программной части. Каждая компания может выбрать решение с оптимальными техническими характеристиками под свои задачи. Резервные аппаратные средства обеспечивают отказоустойчивость и бесперебойную работу модулей, что делает их оптимальным выбором для центров обработки и передачи данных высокой доступности.

Thales nShield Connect – это независимая сертифицированная система безопасности. Она осуществляет управление ключами, реализует криптографические операции, такие как шифрование и использование электронных подписей в различных бизнес-приложениях, поддерживает критические системы безопасности, включая инфраструктуру управления открытыми ключами PKI, системы управления идентификацией, базами данных, расширения безопасности для служб доменных имен и т.д. nShield Connect сертифицирован по стандартам FIPS 140-2 Level 3 и Common Criteria EAL4+.

Возможности Thales nShield Connect

  • Аппаратная структура модуля исключает слабые стороны, присущие программным средствам защиты информации;
  • Мощная архитектура управления ключами сокращает операционные расходы;
  • Централизованная платформа обеспечивает максимальные возможности применения и масштабируемость;
  • Гибкая структура системы оптимально подходит для сред высокой информационной доступности;
  • Сетевая архитектура поддерживает традиционные, виртуальные и облачные инфраструктуры;
  • Обновление посредством апгрейда программной составляющей.

Аппаратные модули HSM обеспечивают близкий к абсолютному уровень безопасности криптографических операций, в отличие от программных или незащищенных аппаратных средств, не способных полностью исключить возможность компрометации информации. Решения Thales базируются на проверенных технологиях и имеют многоуровневую структуру. Аппаратные модули защиты Thales nShield предоставляют физические и логические методы обеспечения безопасности данных.

Физические методы защиты

  • HSM Thales nShield Connect – это специальное сетевое устройство, изолирующее криптографические процессы и ключи шифрования от приложений и операционных систем хоста и делающее их доступными только через жестко контролируемый криптографический интерфейс;
  • Корпус модуля Thales nShield Connect имеет высочайший уровень надежности благодаря особой конструкции, исключающей взлом, а также применению технологии эпоксидной герметизации для защиты внутренних схем и специальных меток системы безопасности, разоблачающих попытки несанкционированного доступа к модулю;
  • Дополнительная возможность, реализуемая при помощи технологии CodeSafe: перемещение частей кода приложения, особенно нуждающихся в защите, из хост-сервера в так называемую «песочницу» (приложение для безопасного хранения данных) внутри оборудования, физически защищаемую самим HSM;
  • Мониторинг состояния внешней среды, включая целостность корпуса, блоков питания и температуры для обнаружения угроз нападения;
  • Строгая аутентификация компьютеров пользователей, имеющих доступ к общим ресурсам Thales nShield Connect.

Логические методы защиты

  • Все администраторы и пользователи, которые получают доступ к HSM Thales nShield Connect, проходят индивидуальную процедуру строгой аутентификации при помощи смарт-карт, управляемых непосредственно модулем. Больше нет необходимости полагаться на ненадежные пароли, которые зачастую используются группой лиц и применяются в нескольких приложениях;
  • Четкое разделение обязанностей администраторов и офицеров безопасности в Thales nShield Connect значительно повышает уровень защищенности ключей в отличие от программных средств защиты информации, где пользователи с особым уровнем доступа (супервизор или администратор) имеют расширенные права, в том числе, и в отношении доступа к паролям;
  • Двойной контроль, реализованный в Thales nShield Connect, требует совместной работы и, более того, кворума нескольких администраторов и операторов, например, для выполнения критических операций, таких как восстановление мастер-ключа шифрования. Метод взаимного контроля минимизирует угрозу появления инсайдеров. В nShield Connect этот метод легко конфигурируется и позволяет реализовать близкую к абсолютной систему защиты;
  • Опционально предусмотрена возможность  строгой проверки целостности данных и усиления политики для приложений, дополнительно защищенных посредством технологии CodeSafe.

Преимущества Thales nShield Connect

В прошлом системы безопасности высокого уровня были громоздкими, что отрицательно сказывалось на удобстве их использования, стоимости и производительности. Администраторам приходилось искать баланс между безопасностью с одной стороны и эффективностью с другой. HSM семейства Thales nShield сочетают в себе близкую к абсолютной систему безопасности и высокую производительность, обеспечивая при этом удобство управления ключевыми процессами.

  • Автоматическое безопасное управление ключами шифрования и создание их резервных копий значительно упрощают интеграцию модулей HSM и делают их использование в бизнес-процессах значительно проще и доступнее;
  • Разнообразные стандартные прикладные интерфейсы (API) для широкого спектра программных продуктов и серьезное предварительное тестирование на совместимость с наиболее популярными приложениями минимизируют риски при развертывании системы безопасности;
  • Механизмы криптографического ускорения снижают нагрузку на клиентские компьютеры и повышают общую производительность и эффективность систем;
  • Отсутствие ограничений по общему количеству ключей шифрования расширяет возможности масштабирования системы;
  • Резервное копирование устраняет необходимость сохранения дубликатов ключей шифрования в выделенных аппаратных средствах или дорогостоящих специализированных HSM;
  • Защищенный корпус комплектуется уникальной двойной системой энергоснабжения и резервной системой охлаждения с возможностью горячей замены непосредственно в процессе работы;
  • Возможность объединять модули HSM как на отдельных серверах, так и в рамках группы серверов, позволяет создавать наиболее отказоустойчивые системы с возможностью балансировки нагрузки;
  • Удаленный доступ позволяет офицерам безопасности и администраторам выполнять свои обязанности в безопасном режиме, снижая риски и затраты на эксплуатацию системы;
  • В модуле Thales nShield также реализована удаленная синхронизация приложений, защищенных технологией CodeSafe (опционально).

Модельный ряд

Модуль Thales nShield Connect доступен в 3 основных вариантах: nShield Connect 500, nShield Connect 1500 и nShield Connect 6000. Цифры в названии модулей указывают на примерное количество в секунду операций по выполнению цифровой подписи по алгоритму RSA 1024 бит. Также доступен модуль nShield Connect 6000+, оптимизированный под механизм эллиптического криптографического шифрования. Подробную информацию можно узнать в спецификации.

Пользовательские лицензии

Каждый модуль Thales nShield Connect поставляется в комплекте с 3-мя лицензиями. Для тех организаций, которые хотят включить в систему более 3-х клиентов, доступны дополнительные лицензии под заказ. Максимальное количество клиентов, которое поддерживает каждый модуль, можно узнать в спецификации. Кроме этого, для повышения безопасности клиентов, подключенных к HSM, организации могут использовать дополнительный криптомодуль nToken.

Технология CodeSafe

Технология CodeSafe позволяет разработчикам создавать программы, которые загружаются в безопасную среду HSM. Это надежно защищает данное ПО от внутренних атак, вредоносного программного обеспечения, троянов и других угроз, с которыми они могли бы столкнуться на незащищенных серверах. CodeSafe реализует принцип «песочницы» - защищенной аппаратной среды. Это позволяет проверять целостность кода и осуществлять его исполнение во взломоустойчивом режиме, что станет идеальным решением для приложений, работающих в недоверенной среде. Возможность безопасного выполнения приложений обеспечивает наличие дополнительных функций детализированного контроля доступа и авторизации. Это  является гарантией безопасности критически важных ресурсов, таких как секретные ключи или энергонезависимая память пользователя. Технология CodeSafe доступна во всех моделях nShield, сертифицированных по стандарту FIPS 140-2 Level 3, кроме nShield Edge.

Активация CodeSafe

Организациям, желающим, использовать CodeSafe, необходимо дополнительно приобрести лицензию для каждого HSM.

Активация CodeSafe SSL

 

Дополнительная функция CodeSafe – активация протокола SSL, что позволяет завершать сессии SSL в пределах модуля HSM, повышая тем самым их надежность. В отличие от сессий SSL, завершаемых обычным образом и оставляющих доступными данные на хосте, сессии, защищенные CodeSafe, защищают уязвимые данные, такие как номера карт клиентов (PAN) или пароли при помощи непрерывного шифрования.

Инструментарий CodeSafe

Инструментарий включает в себя подробные инструкции и справочную документацию по работе с CodeSafe, а также примеры программ с применением этой технологии.

CipherTools. Инструментарий разработчика

При помощи инструментария CipherTools разработчики могут воспользоваться всеми возможностями, которые предоставляют HSM Thales nShield при интеграции с пользовательскими приложениями.

Инструментарий включает подробную справочную документацию, примеры программ, написанных на языках высокого уровня, дополнительные версии библиотек для расширения возможностей интеграции с бизнес-приложениями по сравнению с теми возможностями, которые предлагают стандартные программные интерфейсы API.

Активация механизма эллиптической криптографии

Модули nShield предлагают большое количество стандартных механизмов криптографического шифрования, включая AES, DSA и RSA. Для организаций, желающих использовать механизм эллиптической криптографии, доступна соответствующая лицензия ECC в линейках nShield Connect и nShield Solo, а также 2 модели nShield, оптимизированные непосредственно под этот механизм шифрования и отличающиеся повышенной мощностью: nShield Connect 6000+ и nShield Solo 6000+. В этих моделях лицензия ECC входит в комплект поставки.

Защита баз данных

Базы данных зачастую содержат наиболее важную для организации и поэтому ценную для злоумышленников информацию. Поэтому многие разработчики применяют в своих базах встроенные средства шифрования. Пакет безопасности баз данных nShield осуществляет поддержку API для Microsoft Extensible Key Management (расширенного управления ключами). Это позволяет организациям обеспечивать повышенную безопасность ключей, защищающих информацию в Microsoft SQL Server 2008 с применением Transparent Data Encryption (прозрачное шифрование данных). Кроме этого, данный пакет обеспечивает разделение функций управления ключами многоуровневых баз данных и администрирования этих баз.

В Oracle 11g TDE перечисленные функции являются стандартными, и приобретать данный пакет не нужно. 

payShield аутентификация держателей карт для модулей nShield

Для защиты кредитных карт и онлайн-банкинга от мошенничества многие финансовые организации предпринимают дополнительные меры безопасности для транзакций, осуществляемых без использования карт. payShield аутентификация держателей карт для модулей nShield дополняет другие продукты Thales по обеспечению безопасной аутентификации держателей банковских карт различными способами, например, посредством Chip (Gemalto) и PIN (CAP), а также через протокол 3-DSecure, входящий в программы Visa (Verified by Visa) и MasterCard (MаsterCard SecureCode) по обеспечению безопасных методов оплаты в Интернете. Данная опция интегрируется с такими системами аутентификации держателей карт, как ActivIdentity, Arcot, Bell ID и Gemalto.

Устройство загрузки ключей

Некоторые организации полагаются на импорт компонентов ключей для обеспечения безопасной передачи уязвимой информации между системами разных разработчиков. Устройство загрузки ключей nShield позволяет организациям загружать фрагменты симметричных ключей шифрования в модуль HSM посредством специализированной защищенной панели ввода PINpad. Устройство загрузки ключей требует использования payShield идентификации для nShield.

Удаленный оператор

Модули HSM, как правило, функционируют в безопасных с физической точки зрения автономных центрах обработки данных, часто в резервных центрах. Многие организации считают непрактичной необходимость физического доступа к HSM для осуществления повседневных операций. Функция «Удаленный оператор» экономит время и сокращает транспортные затраты сотрудников, предоставляя возможность работать с HSM в безопасном режиме непосредственно со своего рабочего места.

 Активация KCDSA

Правительственные организации и учреждения национальной безопасности предпочитают использовать проприетарные криптографические алгоритмы для защиты наиболее уязвимой и ценной информации. Такие алгоритмы выгодно базировать на платформе HSM. Так, активация алгоритма KCDSA позволила учреждениям Южной Кореи использовать сертифицированную цифровую подпись (Korean Certificate-based Digital Signature Algorithm) на базе Thales nShield. Thales рекомендует организациям, использующим собственные алгоритмы шифрования, защищенные платформой HSM, дополнительно использовать технологию CodeSafe.

Аксессуары

nToken

Организациям, которые хотят повысить уровень безопасности пользователей HSM, рекомендуется применять устройства nToken. Это специальные карты PCI или PCI Express, обеспечивающие строгую аутентификацию для пользователей сетевых HSM, таких как nShield Connect, гарантирующую, что аутентифицируемое лицо является подлинным. Также можно приобрести дополнительные устройства к каждой лицензии. Модификация PCI является полноразмерной, модификация PCI Express представляет собой карты формата с низким профилем. Устройства nToken не совместимы с виртуальными серверами.

Сменные блоки питания nShield

Thales nShield Connect имеет резервируемые блоки энергоснабжения с возможностью горячей замены непосредственно в процессе работы. Это обеспечивает стабильную, бесперебойную работу системы.

Резервная система охлаждения

В Thales nShield Connect предусмотрен резервный блок охлаждения, Блок расположен вне защищенной части HSM, поэтому заменять вентиляторы можно, не выключая модуль.

Клавиатура

Большинство функций настройки Thales nShield Connect легко выполняются при помощи сенсорной панели управления на передней части корпуса, для выполнения определенных операций можно также использовать клавиатуру, как разработанную Thales, так и стандартную.

Направляющие

Для установки модулей nShield Connect в серверные шкафы Thales предлагает специальные направляющие. Их использование облегчит установку и позволит эффективнее использовать место в серверной. Рекомендуется использовать именно оригинальные направляющие Thales, т.к. другие производители не гарантируют совместимость направляющих с модулями nShield Connect. Для установки модуля nShield Connect достаточно двух направляющих. 

 

Технические характеристики

Функциональные возможности
• Аппаратное хранение и обработка ключей шифрования и приложений
• Криптографическая разгрузка и ускорение
• Многоуровневая аутентификация и контроль доступа
• Строгое разделение обязанностей администраторов и операторов
• Опционально доступное устройство nToken обеспечивает непревзойденный уровень аутентификации
• Хранение, резервирование, репликация и восстановление ключей шифрования
• Безопасное хранение неограниченного количества ключей шифрования
• Кластеризация, балансировка нагрузки и многофакторная аутентификация
• Неограниченное логическое/криптографическое разделение ключей приложений

Совместимость с ОС
• Windows, Linux, Solaris, IBM AIX, HP-UX
• Виртуальные: VMware, Hyper-V, AIX LPARs

Интерфейсы приложений:
PKCK#11, OpenSSL, Java (JCE), Microsoft CAPI, CNG

Криптографические алгоритмы:
• Ассиметричные алгоритмы открытых ключей: RSA (1024, 2048, 4096, 8192), Diffle-Hellman, DSA, El-Gamal, KCDSA, ECDSA, ECDH
• Симметричные алгоритмы: AES, ARIA, Camellia, CAST, DES, RIPEMD160 HMAC, SEED, Triple DES
• Хэширование: SHA-1, SHA-2 (224, 256, 384, 512бит)
• Полноценная реализация лицензированных алгоритмов эллиптической криптографии (ECC), а также поддержка пользовательских алгоритмов ECC

Соответствие стандартам безопасности
• FIPS 140-2 Level 2 и Level 3, NIST SP 800-131A
• Common Criteria EAL4+

Бесперебойная работа
• Твердотельные накопители данных
• Двойная система энергоснабжения и система резервного охлаждения с возможностью «горячей замены»
• Наработка на отказ – не менее 47000 часов
• Контроль внешней среды: температуры, влажности, попыток взлома

Управление
• Удаленный доступ; многопользовательский контроль доступа
• Поддержка системного журнала диагностики Syslog
• Система контроля производительности
• Интерфейс с командной строкой (CLI)/ графический интерфейс пользователя (GUI)
• Система контроля, совместимая с SNMPv3

Физические характеристики
• Габариты: стандартный U1 для монтажа в 19’’ серверную стойку (в комплект входят 2 направляющих)
43.4х430х705 мм
Вес 11.5 кг
• Напряжение сети: 100-240V (автоматическое определение), 50-60Hz (номинальное)
• Потребление электроэнергии: до 1.2А при 110V AC 60Hz или 0.2А при 220V AC 50Hz
• Температура: рабочая 5…40С°, хранение -20…70С°
• Влажность (без конденсации при 35%): рабочая 10…90%, хранение 0…85%

 

nShield onnect модельный ряд 500+ XC Base 1500+ 6000+ XC Mid XC High
Генерация ключей RSA (транзакций в секунду) для рекомендованной NIST длины ключа
2048 Бит 150 340 450 3.000 3.000 8.400
4096 Бит 80 80 190 500 700 2.000
Подписание ECC   (транзакций в секунду) для рекомендованной NIST длины ключа
256 Бит 540 570 1.260 2.400 5.000 14.000