nShiled Solo - модуль HSM для отдельно стоящих серверов

nShiled Solo - модуль HSM для отдельно стоящих серверов

nShiled Solo - модуль HSM для отдельно стоящих серверов

nShiled Solo - модуль HSM для отдельно стоящих серверов

Thales nShield Solo – доступное высокопроизводительное решение по обеспечению безопасности, выполненное в виде сетевой карты PCI или PCIe, встраиваемой в отдельно стоящий сервер. Этот аппаратный модуль безопасности (HSM) обеспечивает аппаратное ускорение и разгрузку серверов в отношении криптографических операций и способен удовлетворить даже самые взыскательные требования к производительности и быстродействию. nShiled Solo будет эффективен там, где программной защиты информации уже не достаточно. Модуль обеспечивает физические и логические методы защиты данных. Используя архитектуру Security World (специальная разработка Thales), nShield Solo обеспечивает близкую к абсолютной надежность системы и простоту использования. Это облегчает выстраивание политики безопасности с использованием двойного контроля и позволяет автоматизировать выполнение сложных и подверженных рискам административных задач бизнеса.

Thales nShield Solo полностью совместим с другими моделями семейства nShield. Это позволяет выбирать оптимальные сочетания решений для предприятий любого уровня и масштабировать их в соответствии с меняющимися потребностями организации. Кроме модулей со стандартными механизмами криптографии, в линейке nShield Solo представлена модель, оптимизированная под механизмы эллиптической криптографии (ECC). nShield Solo позволяет осуществлять управление ключами и криптографические операции выполнения электронной подписи, получившей сегодня широкое распространение в коммерческих и платежных бизнес-приложениях. Обеспечивается надежная защита таких систем как инфраструктура открытых ключей (PKI), базы данных, управление идентичностью (Identity Management), сети передачи данных, системы доменных имен (DNSSEC) и подписание программного кода. Линейка Thales nShield Solo сертифицирована на соответствие стандартам FIPS 140-2 Level 3 и Common Criteria EAL4+.

Возможности Thales nShield Solo

  • Аппаратная структура модуля исключает слабые стороны, присущие программным средствам защиты информации;
  • Мощная архитектура управления ключами сокращает операционные расходы;
  • Встраиваемая конструкция модуля обеспечивает высокую производительность;
  • Обеспечивается изоляция критических функций безопасности и минимизируется взаимозависимость IT-систем;
  • Соответствие отраслевому стандарту FIPS 140-2 Level 3 – гарантия того, что nShield Solo станет оптимальным решением даже для организаций с самыми высокими требованиями к системам безопасности информации.

                            

Преимущества

Аппаратные модули HSM обеспечивают близкий к абсолютному уровень безопасности криптографических операций в отличие от программных или незащищенных аппаратных средств, не способных полностью исключить возможность компрометации информации. Решения Thales базируются на проверенных технологиях и имеют многоуровневую структуру. Аппаратные модули защиты Thales nShield предоставляют физические и логические методы обеспечения безопасности данных.

Физические методы защиты:

  • Специальный модуль безопасности в виде карты PCI (или PCIe) изолирует криптографические операции и ключи шифрования от приложений и операционных систем хоста и обеспечивает доступ к ним только через жестко контролируемый криптографический интерфейс;
  • Модуль Thales nShield Solo имеет устойчивую к физическим атакам конструкцию. Применение технологии эпоксидной герметизации защищает внутренние схемы модуля;
  • Мониторинг состояния внешней среды, включая целостность корпуса, блоков питания и температуры для обнаружения угроз нападения;
  • Дополнительная возможность, реализуемая при помощи технологии CodeSafe: перемещение частей кода приложения, особенно нуждающихся в защите, из хост-сервера в так называемую «песочницу», физически защищенное пространство для безопасного хранения данных и выполнения кода внутри модуля HSM.
  • Логические методы защиты:
  • Все администраторы и пользователи, которые получают доступ к HSM, проходят индивидуальную процедуру строгой аутентификации при помощи смарт-карт, управляемых непосредственно модулем. Больше нет необходимости полагаться на ненадежные пароли, которые зачастую используются группой лиц и применяются в нескольких приложениях;
  • Четкое разделение обязанностей администраторов и офицеров безопасности в Thales nShield Solo значительно повышает уровень защищенности ключей в отличие от программных средств защиты информации, где пользователи с особым уровнем доступа (супервизор или администратор) имеют расширенные права, в том числе, и в отношении доступа к паролям;
  • Двойной контроль, реализованный в Thales nShield Solo, требует совместной работы и, более того, кворума нескольких администраторов или офицеров безопасности, например, для выполнения критических операций, таких как восстановление мастер-ключа шифрования. Метод взаимного контроля позволяет минимизировать угрозу появления злонамеренных инсайдеров. В nShield Solo этот метод легко конфигурируется и позволяет реализовать близкую к абсолютной систему защиты;
  • Опционально предусмотрена возможность  строгой проверки целостности данных и усиления политики для приложений, дополнительно защищенных посредством технологии CodeSafe.

Преимущества Thales nShield Solo

В прошлом системы безопасности высокого уровня были громоздкими, что отрицательно сказывалось на удобстве их использования, стоимости и производительности. Администраторам приходилось искать баланс между безопасностью с одной стороны и эффективностью с другой. HSM семейства Thales nShield сочетают в себе близкую к абсолютной безопасность и высокую производительность, обеспечивая при этом удобство управления ключевыми процессами.

  • Автоматическое безопасное управление ключами шифрования и создание их резервных копий значительно упрощают интеграцию модулей HSM и делают их использование в бизнес-процессах значительно проще и доступнее;
  • Разнообразные стандартные прикладные интерфейсы (API) для широкого спектра программных продуктов и серьезное предварительное тестирование на совместимость с наиболее популярными приложениями минимизируют риски при развертывании системы безопасности;
  • Механизмы криптографического ускорения снижают нагрузку на процессор компьютера и повышают общую производительность и эффективность системы;
  • Отсутствие ограничений по общему количеству ключей шифрования расширяет возможности масштабирования системы;
  • Резервное копирование устраняет необходимость сохранения дубликатов ключей шифрования в выделенных аппаратных средствах или дорогостоящих специализированных HSM;
  • Возможность объединять модули HSM как на отдельных серверах, так и в рамках группы серверов, позволяет создавать наиболее отказоустойчивые системы с возможностью балансировки нагрузки;
  • Удаленный доступ дает офицерам безопасности и администраторам возможность выполнять свои обязанности в безопасном режиме, снижая риски и затраты на эксплуатацию системы;
  • В модуле Thales nShield также реализована удаленная синхронизация приложений, защищенных технологией CodeSafe (опционально).
Опции

Форм-фактор

nShield Solo– это аппаратный модуль безопасности в виде карт PCI или PCIe.

Производительность

Для Thales nShield Solo доступны 4 варианта производительности, определяемые установленной лицензией: nShield Solo 500, nShield Solo 2000, nShield Solo 4000 и nShield Solo 6000. Цифры в названии указывают на примерное количество в секунду операций по выполнению цифровой подписи по алгоритму RSA 1024 бит. Также доступен модуль PCIe 6000+, где оптимизирован механизм эллиптического криптографического шифрования. Более подробную информацию о производительности можно узнать в спецификации. 

Cертификация

nShield Solo доступен в 2 версиях: сертифицированной на соответствие стандарту FIPS 140-2 Level 2 и стандарту FIPS 140-2 Level 3.

CipherTools. Инструментарий разработчика

При помощи инструментария CipherTools разработчики могут воспользоваться всеми возможностями, которые предоставляют HSM Thales nShield при интеграции с пользовательскими приложениями.

Инструментарий включает подробную справочную документацию, примеры программ, написанных на языках высокого уровня, дополнительные версии библиотек для расширения возможностей интеграции с бизнес-приложениями по сравнению с теми возможностями, которые предлагают стандартные программные интерфейсы API.

Технология CodeSafe

Технология CodeSafe позволяет разработчикам создавать программы, загружаемые в сертифицированную защищенную среду HSM. Это надежно предохраняет их от внутренних атак, вредоносного программного обеспечения, троянов и других угроз, которым может подвергаться операционная система. В CodeSafe реализована функция «Прозрачный ящик», позволяющая проверять загруженный программный код в безопасной виртуальной среде. Поскольку безопасность чаще зависит от целостности кода, чем от секретности операций, CodeSafe позволяет отлаживать код приложения, не нарушая его целостности. Возможность безопасного выполнения приложений обеспечивает наличие дополнительных функций детализированного контроля доступа и авторизации. Это является гарантией безопасности критически важных ресурсов, таких как секретные ключи или энергонезависимая память пользователя. Технология CodeSafe доступна только для модулей nShield Solo, сертифицированных по стандарту FIPS 140-2 Level 3.

Активация CodeSafe

Для использования CodeSafe необходимо приобрести одну лицензию CodeSafe Developer для разработчика и по одной лицензии активации CodeSafe на каждый HSM.

Активация CodeSafe SSL

Активация дополнительной опции CodeSafe SSL позволяет завершать сессии протокола SSL в пределах модуля HSM и расшифровывать данные для приложений, работающих в HSM. Таким образом, не зашифрованная информация никогда не попадает на хост-сервер. В отличие от сессий SSL, завершаемых обычным образом, CodeSafe SSL защищает номера PAN и PIN, без которых невозможно производить электронные платежные операции, при помощи непрерывного шифрования.

Активация механизма эллиптической криптографии

Модули nShield предлагают большое количество стандартных механизмов криптографического шифрования, включая AES, DSA и RSA. Для организаций, желающих использовать механизм эллиптической криптографии, доступна соответствующая лицензия ECC в линейках nShield Connect и nShield Solo, а также 2 модели nShield, оптимизированные непосредственно под этот механизм шифрования и отличающиеся повышенной производительностью данных операций: nShield Connect 6000+ и nShield Solo 6000+. В этих моделях лицензия ECC входит в комплект поставки.

Защита баз данных

Базы данных зачастую содержат наиболее важную для организации и поэтому ценную для злоумышленников информацию. Поэтому многие разработчики применяют в своих базах встроенные средства шифрования. Пакет безопасности баз данных nShield Solo осуществляет поддержку Microsoft Extensible Key Management (расширенного управления ключами). Это позволяет организациям обеспечивать повышенную безопасность ключей, защищающих информацию в Microsoft SQL Server 2008. Кроме этого, данный пакет обеспечивает разделение функций управления ключами многоуровневых баз данных и администрирования этих баз.

В Oracle 11gTDE перечисленные функции являются стандартными, и приобретать данный пакет не нужно.

Использование временных меток

Временные метки безопасности позволяют организациям отслеживать, в какой момент были созданы те или иные данные и не менялись ли они с того времени. Это критично для приложений, содержащих, например, цифровые архивы, инфраструктуры открытых ключей, подписанный программный код, а также нотариальные услуги, патентные заявки, лотереи, ставки, игры и т.д. Сервер временных меток, разработанный Thales, будет оптимальным для организаций, желающих получить готовое решение в этой области. Есть также организации, которым необходимо программно-аппаратное решение либо сочетание функции временных меток и других возможностей HSM. Им подойдет модуль nShield 500, который при помощи дополнительной лицензии Thales может поддерживать стандартные временные метки безопасности. Лицензия, активирующая поддержку временных меток, доступна только для модулей nShield Solo, сертифицированных по стандарту FIPS 140-2 Level 3.

Инструментарий разработчика для временных меток

Инструментарий разработчика для временных меток – это легкий в использовании интерфейс, который позволяет получать и проверять данные о временных метках либо с сервера TimeStamp, либо с сервера, оснащенного HSM и дополнительной лицензией, активирующей поддержку временных меток. Эта опция доступна только для модулей nShield Solo, сертифицированных по стандарту FIPS 140-2 Level 3.

payShield аутентификация держателей карт для модулей nShield

Многие финансовые организации применяют дополнительные меры безопасности для транзакций, осуществляемых без использования карт. payShield аутентификация держателей карт в рамках модулей nShield дополняет другие продукты Thales по обеспечению безопасной аутентификации держателей банковских карт различными способами, например, посредством Chip (Gemalto) и PIN (CAP), а также через протокол 3-DSecure, входящий в программы Visa (Verified by Visa) и MasterCard (MаsterCard SecureCode) по обеспечению безопасных методов оплаты в Интернет. Данная опция интегрируется с такими системами аутентификации держателей карт, как ActivIdentity, Arcot, Bell ID и Gemalto. Организации с повышенными требованиями к системе безопасности информации могут также использовать программное обеспечение payShield Developer для разработки собственных решений. payShield аутентификация держателей карт доступна только для модулей nShield Solo, сертифицированных по стандарту FIPS 140-2 Level 3.

Устройство загрузки ключей

Обычно ключи создаются внутри модуля HSM. Это гарантирует его постоянное нахождение в защищенной среде. Однако иногда организации получают от своих партнеров ключи в защищенных от вскрытия конвертов либо вынуждены обмениваться данными через системы разных производителей. Устройство загрузки ключей (The Key Loading Device) позволяет загружать симметричные фрагменты ключей в безопасную аппаратную среду HSM путем ввода через PINpad либо через смарт-карты, которые считываются модулем.

Данная опция требует использования функции payShield аутентификации держателей карт для модулей nShield.

 

Удаленный оператор

Модули HSM, как правило, функционируют в безопасных с физической точки зрения автономных центрах обработки данных, часто в резервных центрах. Многие организации считают непрактичной необходимость физического доступа к HSM для осуществления повседневных операций. Функция «Удаленный оператор» экономит время и сокращает транспортные затраты сотрудников, предоставляя возможность работать с HSM в безопасном режиме непосредственно со своего рабочего места.

Активация KCDSA

Правительственные организации и учреждения национальной безопасности предпочитают использовать проприетарные криптографические алгоритмы для защиты наиболее уязвимой и ценной информации. Такие алгоритмы выгодно базировать на платформе HSM. Так, активация алгоритма KCDSA позволила учреждениям Южной Кореи использовать сертифицированную цифровую подпись (Korean Certificate-based Digital Signature Algorithm) на базе Thales nShield. Thales рекомендует организациям, использующим собственные алгоритмы шифрования, защищенные платформой HSM, дополнительно использовать технологию CodeSafe.

Аксессуары

Монтажное устройство для установки считывателей смарт-карт в серверный шкаф

Для организаций, планирующих размещать модули nShield Solo в 19" серверном шкафу, опционально доступно специальное устройство, позволяющее быстро и просто интегрировать считыватели в центры обработки данных. При помощи одного устройства можно смонтировать до 4 считывателей, поставляемых в комплекте со стандартными картами nShield Solo. В каждом устройстве имеются 3 заглушки для неиспользуемых слотов.

Технические характеристики

Технические характеристики

Функциональные возможности

• Встроенная клиент-серверная поддержка приложений
• Аппаратное хранение и обработки ключей шифрования и приложений
• Криптографическая разгрузка и ускорение
• Многоуровневая аутентификация и контроль доступа
• Строгое разделение обязанностей администраторов и операторов
• Безопасная изоляция, резервирование, репликация и восстановление ключей шифрования
• Безопасное хранение неограниченного количества ключей шифрования
• Кластеризация, балансировка нагрузки и многофакторная аутентификация 
• Неограниченное логическое/криптографическое разделение ключей приложений

Совместимость с ОС:

• Windows, Linux, Solaris, IBM AIX, HP-UX

Интерфейсы приложений:

• PKCK#11, OpenSSL, Java (JCE), Microsoft CAPI, CNG
• nCore (низкоуровневый интерфейс Thales для разработчиков)

Совместимость и обновление:

• Совместим с nShield Connect, nShield Edge и netHSM
• Обновление программной составляющей

Интерфейсы подключения:

• PCI 2.1, 2.2, 2.3, PCI-X совместим
• PCIe 1.1, 1.2

Криптографические алгоритмы:

• Ассиметричные алгоритмы открытых ключей: RSA (1024, 2048, 4096), Diffle-Hellman, DSA, El-Gamal, KCDSA, ECDSA, ECDH
• Симметричные алгоритмы: AES, ARIA, Camellia, CAST, DES, RIPEMD160 HMAC, SEED, Triple DES
• Хэширование: SHA-1, SHA-2 (224, 256, 384, 512бит)
• Полноценная реализация лицензированных алгоритмов эллиптической криптографии (ECC), а также поддержка пользовательских алгоритмов ECC

Соответствие стандартам безопасности:

• FIPS 140-2 Level 2 и Level 3, NIST SP 800-131A
• Common Criteria EAL4+

Бесперебойная работа:

• Твердотельные накопители данных
• Наработка на отказ (см. таблицу)

Управление и мониторинг:

• Удаленный доступ; многопользовательский контроль доступа
• Поддержка системного журнала диагностики Syslog
• Система контроля производительности
• Интерфейс с командной строкой (CLI)/ графический интерфейс пользователя (GUI)
• Система контроля, совместимая с SNMPv3

Физические характеристики:

• Габариты: стандартные платы PCI и PCIe с низким профилем; внешний считыватель смарт-карт
• Температура: рабочая 10…35С°, хранение -20…70С°
• Влажность (без конденсации при 35%): рабочая 10…90%, хранение 0…85%
• Размеры, вес, максимальное потребление энергии и наработка на отказ:

 Thales Solo-2

nShiled Solo - модуль HSM для отдельно стоящих серверов

Thales nShield Solo – доступное высокопроизводительное решение по обеспечению безопасности, выполненное в виде сетевой карты PCI или PCIe, встраиваемой в отдельно стоящий сервер. Этот аппаратный модуль безопасности (HSM) обеспечивает аппаратное ускорение и разгрузку серверов в отношении криптографических операций и способен удовлетворить даже самые взыскательные требования к производительности и быстродействию. nShiled Solo будет эффективен там, где программной защиты информации уже не достаточно. Модуль обеспечивает физические и логические методы защиты данных. Используя архитектуру Security World (специальная разработка Thales), nShield Solo обеспечивает близкую к абсолютной надежность системы и простоту использования. Это облегчает выстраивание политики безопасности с использованием двойного контроля и позволяет автоматизировать выполнение сложных и подверженных рискам административных задач бизнеса.

Thales nShield Solo полностью совместим с другими моделями семейства nShield. Это позволяет выбирать оптимальные сочетания решений для предприятий любого уровня и масштабировать их в соответствии с меняющимися потребностями организации. Кроме модулей со стандартными механизмами криптографии, в линейке nShield Solo представлена модель, оптимизированная под механизмы эллиптической криптографии (ECC). nShield Solo позволяет осуществлять управление ключами и криптографические операции выполнения электронной подписи, получившей сегодня широкое распространение в коммерческих и платежных бизнес-приложениях. Обеспечивается надежная защита таких систем как инфраструктура открытых ключей (PKI), базы данных, управление идентичностью (Identity Management), сети передачи данных, системы доменных имен (DNSSEC) и подписание программного кода. Линейка Thales nShield Solo сертифицирована на соответствие стандартам FIPS 140-2 Level 3 и Common Criteria EAL4+.

Возможности Thales nShield Solo

  • Аппаратная структура модуля исключает слабые стороны, присущие программным средствам защиты информации;
  • Мощная архитектура управления ключами сокращает операционные расходы;
  • Встраиваемая конструкция модуля обеспечивает высокую производительность;
  • Обеспечивается изоляция критических функций безопасности и минимизируется взаимозависимость IT-систем;
  • Соответствие отраслевому стандарту FIPS 140-2 Level 3 – гарантия того, что nShield Solo станет оптимальным решением даже для организаций с самыми высокими требованиями к системам безопасности информации.

                            

Аппаратные модули HSM обеспечивают близкий к абсолютному уровень безопасности криптографических операций в отличие от программных или незащищенных аппаратных средств, не способных полностью исключить возможность компрометации информации. Решения Thales базируются на проверенных технологиях и имеют многоуровневую структуру. Аппаратные модули защиты Thales nShield предоставляют физические и логические методы обеспечения безопасности данных.

Физические методы защиты:

  • Специальный модуль безопасности в виде карты PCI (или PCIe) изолирует криптографические операции и ключи шифрования от приложений и операционных систем хоста и обеспечивает доступ к ним только через жестко контролируемый криптографический интерфейс;
  • Модуль Thales nShield Solo имеет устойчивую к физическим атакам конструкцию. Применение технологии эпоксидной герметизации защищает внутренние схемы модуля;
  • Мониторинг состояния внешней среды, включая целостность корпуса, блоков питания и температуры для обнаружения угроз нападения;
  • Дополнительная возможность, реализуемая при помощи технологии CodeSafe: перемещение частей кода приложения, особенно нуждающихся в защите, из хост-сервера в так называемую «песочницу», физически защищенное пространство для безопасного хранения данных и выполнения кода внутри модуля HSM.
  • Логические методы защиты:
  • Все администраторы и пользователи, которые получают доступ к HSM, проходят индивидуальную процедуру строгой аутентификации при помощи смарт-карт, управляемых непосредственно модулем. Больше нет необходимости полагаться на ненадежные пароли, которые зачастую используются группой лиц и применяются в нескольких приложениях;
  • Четкое разделение обязанностей администраторов и офицеров безопасности в Thales nShield Solo значительно повышает уровень защищенности ключей в отличие от программных средств защиты информации, где пользователи с особым уровнем доступа (супервизор или администратор) имеют расширенные права, в том числе, и в отношении доступа к паролям;
  • Двойной контроль, реализованный в Thales nShield Solo, требует совместной работы и, более того, кворума нескольких администраторов или офицеров безопасности, например, для выполнения критических операций, таких как восстановление мастер-ключа шифрования. Метод взаимного контроля позволяет минимизировать угрозу появления злонамеренных инсайдеров. В nShield Solo этот метод легко конфигурируется и позволяет реализовать близкую к абсолютной систему защиты;
  • Опционально предусмотрена возможность  строгой проверки целостности данных и усиления политики для приложений, дополнительно защищенных посредством технологии CodeSafe.

Преимущества Thales nShield Solo

В прошлом системы безопасности высокого уровня были громоздкими, что отрицательно сказывалось на удобстве их использования, стоимости и производительности. Администраторам приходилось искать баланс между безопасностью с одной стороны и эффективностью с другой. HSM семейства Thales nShield сочетают в себе близкую к абсолютной безопасность и высокую производительность, обеспечивая при этом удобство управления ключевыми процессами.

  • Автоматическое безопасное управление ключами шифрования и создание их резервных копий значительно упрощают интеграцию модулей HSM и делают их использование в бизнес-процессах значительно проще и доступнее;
  • Разнообразные стандартные прикладные интерфейсы (API) для широкого спектра программных продуктов и серьезное предварительное тестирование на совместимость с наиболее популярными приложениями минимизируют риски при развертывании системы безопасности;
  • Механизмы криптографического ускорения снижают нагрузку на процессор компьютера и повышают общую производительность и эффективность системы;
  • Отсутствие ограничений по общему количеству ключей шифрования расширяет возможности масштабирования системы;
  • Резервное копирование устраняет необходимость сохранения дубликатов ключей шифрования в выделенных аппаратных средствах или дорогостоящих специализированных HSM;
  • Возможность объединять модули HSM как на отдельных серверах, так и в рамках группы серверов, позволяет создавать наиболее отказоустойчивые системы с возможностью балансировки нагрузки;
  • Удаленный доступ дает офицерам безопасности и администраторам возможность выполнять свои обязанности в безопасном режиме, снижая риски и затраты на эксплуатацию системы;
  • В модуле Thales nShield также реализована удаленная синхронизация приложений, защищенных технологией CodeSafe (опционально).

Форм-фактор

nShield Solo– это аппаратный модуль безопасности в виде карт PCI или PCIe.

Производительность

Для Thales nShield Solo доступны 4 варианта производительности, определяемые установленной лицензией: nShield Solo 500, nShield Solo 2000, nShield Solo 4000 и nShield Solo 6000. Цифры в названии указывают на примерное количество в секунду операций по выполнению цифровой подписи по алгоритму RSA 1024 бит. Также доступен модуль PCIe 6000+, где оптимизирован механизм эллиптического криптографического шифрования. Более подробную информацию о производительности можно узнать в спецификации. 

Cертификация

nShield Solo доступен в 2 версиях: сертифицированной на соответствие стандарту FIPS 140-2 Level 2 и стандарту FIPS 140-2 Level 3.

CipherTools. Инструментарий разработчика

При помощи инструментария CipherTools разработчики могут воспользоваться всеми возможностями, которые предоставляют HSM Thales nShield при интеграции с пользовательскими приложениями.

Инструментарий включает подробную справочную документацию, примеры программ, написанных на языках высокого уровня, дополнительные версии библиотек для расширения возможностей интеграции с бизнес-приложениями по сравнению с теми возможностями, которые предлагают стандартные программные интерфейсы API.

Технология CodeSafe

Технология CodeSafe позволяет разработчикам создавать программы, загружаемые в сертифицированную защищенную среду HSM. Это надежно предохраняет их от внутренних атак, вредоносного программного обеспечения, троянов и других угроз, которым может подвергаться операционная система. В CodeSafe реализована функция «Прозрачный ящик», позволяющая проверять загруженный программный код в безопасной виртуальной среде. Поскольку безопасность чаще зависит от целостности кода, чем от секретности операций, CodeSafe позволяет отлаживать код приложения, не нарушая его целостности. Возможность безопасного выполнения приложений обеспечивает наличие дополнительных функций детализированного контроля доступа и авторизации. Это является гарантией безопасности критически важных ресурсов, таких как секретные ключи или энергонезависимая память пользователя. Технология CodeSafe доступна только для модулей nShield Solo, сертифицированных по стандарту FIPS 140-2 Level 3.

Активация CodeSafe

Для использования CodeSafe необходимо приобрести одну лицензию CodeSafe Developer для разработчика и по одной лицензии активации CodeSafe на каждый HSM.

Активация CodeSafe SSL

Активация дополнительной опции CodeSafe SSL позволяет завершать сессии протокола SSL в пределах модуля HSM и расшифровывать данные для приложений, работающих в HSM. Таким образом, не зашифрованная информация никогда не попадает на хост-сервер. В отличие от сессий SSL, завершаемых обычным образом, CodeSafe SSL защищает номера PAN и PIN, без которых невозможно производить электронные платежные операции, при помощи непрерывного шифрования.

Активация механизма эллиптической криптографии

Модули nShield предлагают большое количество стандартных механизмов криптографического шифрования, включая AES, DSA и RSA. Для организаций, желающих использовать механизм эллиптической криптографии, доступна соответствующая лицензия ECC в линейках nShield Connect и nShield Solo, а также 2 модели nShield, оптимизированные непосредственно под этот механизм шифрования и отличающиеся повышенной производительностью данных операций: nShield Connect 6000+ и nShield Solo 6000+. В этих моделях лицензия ECC входит в комплект поставки.

Защита баз данных

Базы данных зачастую содержат наиболее важную для организации и поэтому ценную для злоумышленников информацию. Поэтому многие разработчики применяют в своих базах встроенные средства шифрования. Пакет безопасности баз данных nShield Solo осуществляет поддержку Microsoft Extensible Key Management (расширенного управления ключами). Это позволяет организациям обеспечивать повышенную безопасность ключей, защищающих информацию в Microsoft SQL Server 2008. Кроме этого, данный пакет обеспечивает разделение функций управления ключами многоуровневых баз данных и администрирования этих баз.

В Oracle 11gTDE перечисленные функции являются стандартными, и приобретать данный пакет не нужно.

Использование временных меток

Временные метки безопасности позволяют организациям отслеживать, в какой момент были созданы те или иные данные и не менялись ли они с того времени. Это критично для приложений, содержащих, например, цифровые архивы, инфраструктуры открытых ключей, подписанный программный код, а также нотариальные услуги, патентные заявки, лотереи, ставки, игры и т.д. Сервер временных меток, разработанный Thales, будет оптимальным для организаций, желающих получить готовое решение в этой области. Есть также организации, которым необходимо программно-аппаратное решение либо сочетание функции временных меток и других возможностей HSM. Им подойдет модуль nShield 500, который при помощи дополнительной лицензии Thales может поддерживать стандартные временные метки безопасности. Лицензия, активирующая поддержку временных меток, доступна только для модулей nShield Solo, сертифицированных по стандарту FIPS 140-2 Level 3.

Инструментарий разработчика для временных меток

Инструментарий разработчика для временных меток – это легкий в использовании интерфейс, который позволяет получать и проверять данные о временных метках либо с сервера TimeStamp, либо с сервера, оснащенного HSM и дополнительной лицензией, активирующей поддержку временных меток. Эта опция доступна только для модулей nShield Solo, сертифицированных по стандарту FIPS 140-2 Level 3.

payShield аутентификация держателей карт для модулей nShield

Многие финансовые организации применяют дополнительные меры безопасности для транзакций, осуществляемых без использования карт. payShield аутентификация держателей карт в рамках модулей nShield дополняет другие продукты Thales по обеспечению безопасной аутентификации держателей банковских карт различными способами, например, посредством Chip (Gemalto) и PIN (CAP), а также через протокол 3-DSecure, входящий в программы Visa (Verified by Visa) и MasterCard (MаsterCard SecureCode) по обеспечению безопасных методов оплаты в Интернет. Данная опция интегрируется с такими системами аутентификации держателей карт, как ActivIdentity, Arcot, Bell ID и Gemalto. Организации с повышенными требованиями к системе безопасности информации могут также использовать программное обеспечение payShield Developer для разработки собственных решений. payShield аутентификация держателей карт доступна только для модулей nShield Solo, сертифицированных по стандарту FIPS 140-2 Level 3.

Устройство загрузки ключей

Обычно ключи создаются внутри модуля HSM. Это гарантирует его постоянное нахождение в защищенной среде. Однако иногда организации получают от своих партнеров ключи в защищенных от вскрытия конвертов либо вынуждены обмениваться данными через системы разных производителей. Устройство загрузки ключей (The Key Loading Device) позволяет загружать симметричные фрагменты ключей в безопасную аппаратную среду HSM путем ввода через PINpad либо через смарт-карты, которые считываются модулем.

Данная опция требует использования функции payShield аутентификации держателей карт для модулей nShield.

 

Удаленный оператор

Модули HSM, как правило, функционируют в безопасных с физической точки зрения автономных центрах обработки данных, часто в резервных центрах. Многие организации считают непрактичной необходимость физического доступа к HSM для осуществления повседневных операций. Функция «Удаленный оператор» экономит время и сокращает транспортные затраты сотрудников, предоставляя возможность работать с HSM в безопасном режиме непосредственно со своего рабочего места.

Активация KCDSA

Правительственные организации и учреждения национальной безопасности предпочитают использовать проприетарные криптографические алгоритмы для защиты наиболее уязвимой и ценной информации. Такие алгоритмы выгодно базировать на платформе HSM. Так, активация алгоритма KCDSA позволила учреждениям Южной Кореи использовать сертифицированную цифровую подпись (Korean Certificate-based Digital Signature Algorithm) на базе Thales nShield. Thales рекомендует организациям, использующим собственные алгоритмы шифрования, защищенные платформой HSM, дополнительно использовать технологию CodeSafe.

Аксессуары

Монтажное устройство для установки считывателей смарт-карт в серверный шкаф

Для организаций, планирующих размещать модули nShield Solo в 19" серверном шкафу, опционально доступно специальное устройство, позволяющее быстро и просто интегрировать считыватели в центры обработки данных. При помощи одного устройства можно смонтировать до 4 считывателей, поставляемых в комплекте со стандартными картами nShield Solo. В каждом устройстве имеются 3 заглушки для неиспользуемых слотов.

Технические характеристики

Функциональные возможности

• Встроенная клиент-серверная поддержка приложений
• Аппаратное хранение и обработки ключей шифрования и приложений
• Криптографическая разгрузка и ускорение
• Многоуровневая аутентификация и контроль доступа
• Строгое разделение обязанностей администраторов и операторов
• Безопасная изоляция, резервирование, репликация и восстановление ключей шифрования
• Безопасное хранение неограниченного количества ключей шифрования
• Кластеризация, балансировка нагрузки и многофакторная аутентификация 
• Неограниченное логическое/криптографическое разделение ключей приложений

Совместимость с ОС:

• Windows, Linux, Solaris, IBM AIX, HP-UX

Интерфейсы приложений:

• PKCK#11, OpenSSL, Java (JCE), Microsoft CAPI, CNG
• nCore (низкоуровневый интерфейс Thales для разработчиков)

Совместимость и обновление:

• Совместим с nShield Connect, nShield Edge и netHSM
• Обновление программной составляющей

Интерфейсы подключения:

• PCI 2.1, 2.2, 2.3, PCI-X совместим
• PCIe 1.1, 1.2

Криптографические алгоритмы:

• Ассиметричные алгоритмы открытых ключей: RSA (1024, 2048, 4096), Diffle-Hellman, DSA, El-Gamal, KCDSA, ECDSA, ECDH
• Симметричные алгоритмы: AES, ARIA, Camellia, CAST, DES, RIPEMD160 HMAC, SEED, Triple DES
• Хэширование: SHA-1, SHA-2 (224, 256, 384, 512бит)
• Полноценная реализация лицензированных алгоритмов эллиптической криптографии (ECC), а также поддержка пользовательских алгоритмов ECC

Соответствие стандартам безопасности:

• FIPS 140-2 Level 2 и Level 3, NIST SP 800-131A
• Common Criteria EAL4+

Бесперебойная работа:

• Твердотельные накопители данных
• Наработка на отказ (см. таблицу)

Управление и мониторинг:

• Удаленный доступ; многопользовательский контроль доступа
• Поддержка системного журнала диагностики Syslog
• Система контроля производительности
• Интерфейс с командной строкой (CLI)/ графический интерфейс пользователя (GUI)
• Система контроля, совместимая с SNMPv3

Физические характеристики:

• Габариты: стандартные платы PCI и PCIe с низким профилем; внешний считыватель смарт-карт
• Температура: рабочая 10…35С°, хранение -20…70С°
• Влажность (без конденсации при 35%): рабочая 10…90%, хранение 0…85%
• Размеры, вес, максимальное потребление энергии и наработка на отказ:

 Thales Solo-2