nShield Connect

nShield Connect - Сертифицированные устройства для предоставления масштабируемых и высоко доступных криптографических услуг в сети

nShield Connect – высокоэффективный сетевой аппаратный модуль безопасности (HSM) для криптографической защиты программных приложений и виртуальных машин. С nShield Connect компании получают мощный инструмент аппаратного контроля над серверными системами, необходимый в тех случаях, когда программного уровня защиты становится недостаточно. nShield Connect в полной мере воплотил компетенции в обеспечении безопасности инфраструктур и сочетает в себе высочайший уровень надежности и простоту управления. Благодаря этому проще определять и выстраивать политику безопасности и автоматизировать сложные и подверженные рискам  административные задачи бизнеса.

Возможности Thales nShield Connect

  • Обеспечивает максимальную производительность и доступность с высокими скоростями криптографических транзакций и гибким мас-штабированием
  • Поддерживает широкий спектр приложений, включая работу с сертификатами, подпись кода и многое другое.
  • nShield CodeSafe защищает ваши приложения и логику функционирования приложений в безопасной среде nShield
  • Параметры удаленного администрирования, настройки и мониторинга nShield помогают экономить время и эффективно управлять модулями HSM

Аппаратные модули HSM обеспечивают близкий к абсолютному уровень безопасности криптографических операций, в отличие от программных или незащищенных аппаратных средств, не способных полностью исключить возможность компрометации информации. Решения Thales базируются на проверенных технологиях и имеют многоуровневую структуру. Аппаратные модули защиты nShield предоставляют физические и логические методы обеспечения безопасности данных.

Физические методы защиты

  • HSM Thales nShield Connect – это специальное сетевое устройство, изолирующее криптографические процессы и ключи шифрования от приложений и операционных систем хоста и делающее их доступными только через жестко контролируемый криптографический интерфейс;
  • Корпус модуля nShield Connect имеет высочайший уровень надежности благодаря особой конструкции, исключающей взлом, а также применению технологии эпоксидной герметизации для защиты внутренних схем и специальных меток системы безопасности, разоблачающих попытки несанкционированного доступа к модулю;
  • Дополнительная возможность, реализуемая при помощи технологии CodeSafe: перемещение частей кода приложения, особенно нуждающихся в защите, из хост-сервера в так называемую «песочницу» (приложение для безопасного хранения данных) внутри оборудования, физически защищаемую самим HSM;
  • Мониторинг состояния внешней среды, включая целостность корпуса, блоков питания и температуры для обнаружения угроз нападения;
  • Строгая аутентификация компьютеров пользователей, имеющих доступ к общим ресурсам nShield Connect.

Логические методы защиты

  • Все администраторы и пользователи, которые получают доступ к HSM nShield Connect, проходят индивидуальную процедуру строгой аутентификации при помощи смарт-карт, управляемых непосредственно модулем. Больше нет необходимости полагаться на ненадежные пароли, которые зачастую используются группой лиц и применяются в нескольких приложениях;
  • Четкое разделение обязанностей администраторов и офицеров безопасности в nShield Connect значительно повышает уровень защищенности ключей в отличие от программных средств защиты информации, где пользователи с особым уровнем доступа (супервизор или администратор) имеют расширенные права, в том числе, и в отношении доступа к паролям;
  • Двойной контроль, реализованный в nShield Connect, требует совместной работы и, более того, кворума нескольких администраторов и операторов, например, для выполнения критических операций, таких как восстановление мастер-ключа шифрования. Метод взаимного контроля минимизирует угрозу появления инсайдеров. В nShield Connect этот метод легко конфигурируется и позволяет реализовать близкую к абсолютной систему защиты;
  • Опционально предусмотрена возможность  строгой проверки целостности данных и усиления политики для приложений, дополнительно защищенных посредством технологии CodeSafe.

Преимущества nShield Connect

В прошлом системы безопасности высокого уровня были громоздкими, что отрицательно сказывалось на удобстве их использования, стоимости и производительности. Администраторам приходилось искать баланс между безопасностью с одной стороны и эффективностью с другой. HSM семейства nShield сочетают в себе близкую к абсолютной систему безопасности и высокую производительность, обеспечивая при этом удобство управления ключевыми процессами.

  • Автоматическое безопасное управление ключами шифрования и создание их резервных копий значительно упрощают интеграцию модулей HSM и делают их использование в бизнес-процессах значительно проще и доступнее;
  • Разнообразные стандартные прикладные интерфейсы (API) для широкого спектра программных продуктов и серьезное предварительное тестирование на совместимость с наиболее популярными приложениями минимизируют риски при развертывании системы безопасности;
  • Механизмы криптографического ускорения снижают нагрузку на клиентские компьютеры и повышают общую производительность и эффективность систем;
  • Отсутствие ограничений по общему количеству ключей шифрования расширяет возможности масштабирования системы;
  • Резервное копирование устраняет необходимость сохранения дубликатов ключей шифрования в выделенных аппаратных средствах или дорогостоящих специализированных HSM;
  • Защищенный корпус комплектуется уникальной двойной системой энергоснабжения и резервной системой охлаждения с возможностью горячей замены непосредственно в процессе работы;
  • Возможность объединять модули HSM как на отдельных серверах, так и в рамках группы серверов, позволяет создавать наиболее отказоустойчивые системы с возможностью балансировки нагрузки;
  • Удаленный доступ позволяет офицерам безопасности и администраторам выполнять свои обязанности в безопасном режиме, снижая риски и затраты на эксплуатацию системы;
  • В модуле nShield также реализована удаленная синхронизация приложений, защищенных технологией CodeSafe (опционально).

Пользовательские лицензии

Каждый модуль Thales nShield Connect поставляется в комплекте с 3-мя лицензиями. Для тех организаций, которые хотят включить в систему более 3-х клиентов, доступны дополнительные лицензии под заказ. Максимальное количество клиентов, которое поддерживает каждый модуль, можно узнать в спецификации. Кроме этого, для повышения безопасности клиентов, подключенных к HSM, организации могут использовать дополнительный криптомодуль nToken.

Технология CodeSafe

Технология CodeSafe позволяет разработчикам создавать программы, которые загружаются в безопасную среду HSM. Это надежно защищает данное ПО от внутренних атак, вредоносного программного обеспечения, троянов и других угроз, с которыми они могли бы столкнуться на незащищенных серверах. CodeSafe реализует принцип «песочницы» – защищенной аппаратной среды. Это позволяет проверять целостность кода и осуществлять его исполнение во взломоустойчивом режиме, что станет идеальным решением для приложений, работающих в недоверенной среде. Возможность безопасного выполнения приложений обеспечивает наличие дополнительных функций детализированного контроля доступа и авторизации. Это  является гарантией безопасности критически важных ресурсов, таких как секретные ключи или энергонезависимая память пользователя. Технология CodeSafe доступна во всех моделях nShield, сертифицированных по стандарту FIPS 140-2 Level 3, кроме nShield Edge.

АктивацияCodeSafe Организациям, желающим, использовать CodeSafe, необходимо дополнительно приобрести лицензию для каждого HSM.
АктивацияCodeSafe SSL

 

Дополнительная функция CodeSafe – активация протокола SSL, что позволяет завершать сессии SSL в пределах модуля HSM, повышая тем самым их надежность. В отличие от сессий SSL, завершаемых обычным образом и оставляющих доступными данные на хосте, сессии, защищенные CodeSafe, защищают уязвимые данные, такие как номера карт клиентов (PAN) или пароли при помощи непрерывного шифрования.
ИнструментарийCodeSafe Инструментарий включает в себя подробные инструкции и справочную документацию по работе с CodeSafe, а также примеры программ с применением этой технологии.

CipherTools. Инструментарий разработчика

При помощи инструментария CipherTools разработчики могут воспользоваться всеми возможностями, которые предоставляют HSM Thales nShield при интеграции с пользовательскими приложениями.

Инструментарий включает подробную справочную документацию, примеры программ, написанных на языках высокого уровня, дополнительные версии библиотек для расширения возможностей интеграции с бизнес-приложениями по сравнению с теми возможностями, которые предлагают стандартные программные интерфейсы API.

Активация механизма эллиптической криптографии

Модули nShield предлагают большое количество стандартных механизмов криптографического шифрования, включая AES, DSA и RSA. Для организаций, желающих использовать механизм эллиптической криптографии, доступна соответствующая лицензия ECC в линейках nShield Connect и nShield Solo, а также 2 модели nShield, оптимизированные непосредственно под этот механизм шифрования и отличающиеся повышенной мощностью: nShield Connect 6000+ и nShield Solo 6000+. В этих моделях лицензия ECC входит в комплект поставки.

Защита баз данных

Базы данных зачастую содержат наиболее важную для организации и поэтому ценную для злоумышленников информацию. Поэтому многие разработчики применяют в своих базах встроенные средства шифрования. Пакет безопасности баз данных nShield осуществляет поддержку API для Microsoft Extensible Key Management (расширенного управления ключами). Это позволяет организациям обеспечивать повышенную безопасность ключей, защищающих информацию в Microsoft SQL Server 2008 с применением Transparent Data Encryption (прозрачное шифрование данных). Кроме этого, данный пакет обеспечивает разделение функций управления ключами многоуровневых баз данных и администрирования этих баз.

В Oracle 11g TDE перечисленные функции являются стандартными, и приобретать данный пакет не нужно.

payShield аутентификация держателей карт для модулей nShield

Для защиты кредитных карт и онлайн-банкинга от мошенничества многие финансовые организации предпринимают дополнительные меры безопасности для транзакций, осуществляемых без использования карт. payShield аутентификация держателей карт для модулей nShield дополняет другие продукты Thales по обеспечению безопасной аутентификации держателей банковских карт различными способами, например, посредством Chip (Gemalto) и PIN (CAP), а также через протокол 3-DSecure, входящий в программы Visa (Verified by Visa) и MasterCard (MаsterCard SecureCode) по обеспечению безопасных методов оплаты в Интернете. Данная опция интегрируется с такими системами аутентификации держателей карт, как ActivIdentity, Arcot, Bell ID и Gemalto.

Устройство загрузки ключей Некоторые организации полагаются на импорт компонентов ключей для обеспечения безопасной передачи уязвимой информации между системами разных разработчиков. Устройство загрузки ключей nShield позволяет организациям загружать фрагменты симметричных ключей шифрования в модуль HSM посредством специализированной защищенной панели ввода PINpad. Устройство загрузки ключей требует использования payShield идентификации для nShield.

Удаленный оператор

Модули HSM, как правило, функционируют в безопасных с физической точки зрения автономных центрах обработки данных, часто в резервных центрах. Многие организации считают непрактичной необходимость физического доступа к HSM для осуществления повседневных операций. Функция «Удаленный оператор» экономит время и сокращает транспортные затраты сотрудников, предоставляя возможность работать с HSM в безопасном режиме непосредственно со своего рабочего места.

Активация KCDSA

Правительственные организации и учреждения национальной безопасности предпочитают использовать проприетарные криптографические алгоритмы для защиты наиболее уязвимой и ценной информации. Такие алгоритмы выгодно базировать на платформе HSM. Так, активация алгоритма KCDSA позволила учреждениям Южной Кореи использовать сертифицированную цифровую подпись (Korean Certificate-based Digital Signature Algorithm) на базе Thales nShield. Thales рекомендует организациям, использующим собственные алгоритмы шифрования, защищенные платформой HSM, дополнительно использовать технологию CodeSafe.

Аксессуары

nToken

Организациям, которые хотят повысить уровень безопасности пользователей HSM, рекомендуется применять устройства nToken. Это специальные карты PCI или PCI Express, обеспечивающие строгую аутентификацию для пользователей сетевых HSM, таких как nShield Connect, гарантирующую, что аутентифицируемое лицо является подлинным. Также можно приобрести дополнительные устройства к каждой лицензии. Модификация PCI является полноразмерной, модификация PCI Express представляет собой карты формата с низким профилем. Устройства nToken не совместимы с виртуальными серверами.

Сменные блоки питания nShield

Thales nShield Connect имеет резервируемые блоки энергоснабжения с возможностью горячей замены непосредственно в процессе работы. Это обеспечивает стабильную, бесперебойную работу системы.

Резервная система охлаждения

В Thales nShield Connect предусмотрен резервный блок охлаждения, Блок расположен вне защищенной части HSM, поэтому заменять вентиляторы можно, не выключая модуль.

Клавиатура

Большинство функций настройки Thales nShield Connect легко выполняются при помощи сенсорной панели управления на передней части корпуса, для выполнения определенных операций можно также использовать клавиатуру, как разработанную Thales, так и стандартную.

Направляющие

Для установки модулей nShield Connect в серверные шкафы Thales предлагает специальные направляющие. Их использование облегчит установку и позволит эффективнее использовать место в серверной. Рекомендуется использовать именно оригинальные направляющие Thales, т.к. другие производители не гарантируют совместимость направляющих с модулями nShield Connect. Для установки модуля nShield Connect достаточно двух направляющих.

 

ГИБКАЯ АРХИТЕКТУРА

Уникальная архитектура Security World позволяет объединить модели nShield HSM для создания гибкой масштабируемой и отказоустойчивой системы.

БЫСТРАЯ ОБРАБОТКА БОЛЬШОГО ОБЪЕМА ДАННЫХ

nShield Connect HSM поддерживает высокие скорости транзакций, чтобы идеально соответствовать потребностям ритейла, IoT и других сред, где производительность имеет решающее значение.

ЗАЩИТА СОБСТВЕННЫХ ПРИЛОЖЕНИЙ

Опция CodeSafe обеспечивает безопасную среду для запуска конфиденциальных приложений в границах nShield.

ТЕХНИЧЕСКИЕ ХАРАКТЕРИСТИКИ

Поддерживаемые криптографические алгоритмы

  • Асимметричный алгоритм: RSA, Diffie-Hellman, ECMQV, DSA, El- Gamal, KCDSA, ECDSA (включая NIST, Brainpool & secp256k1 curves), ECDH, Edwards (Ed25519, Ed25519ph)
  • Симметричный алгоритм: AES, Arcfour, ARIA, Camellia, CAST, DES, MD5 HMAC, RIPEMD160 HMAC, SEED, SHA-1 HMAC, SHA-224 HMAC, SHA-256 HMAC, SHA-384 HMAC, SHA-512 HMAC, Tiger HMAC, Triple DES
  • Hash/message digest: MD5, SHA-1, SHA-2 (224, 256, 384, 512 bit), HAS-160, RIPEMD160
  • Реализованы алгоритмы Suite B с полностью лицензированной ECC, включая Brainpool и пользовательские кривые

Поддерживаемые операционные системы

  • Microsoft Windows 7 x64, 10 x64; Windows Server 2008 R2 x64, 2012 R2 x64, 2016 x64
  • Red Hat Enterprise Linux AS/ES 6 x64, 6 x86, 7 x64; SUSE Enterprise Linux 11 x64 SP2, 12 x64 ° Oracle Solaris 11 (SPARC), Oracle Solaris 11 x64 ° IBM AIX 7.1 (POWER6, POWER8), HP-UX 11i v3 ° Oracle Enterprise Linux 6.8 x64 and 7.1 x64

Интерфейсы API

  • PKCS#11, OpenSSL, Java (JCE), Microsoft CAPI and CNG, nCore, nShield Web Services Crypto API

Узел подключения

  • Двойные порты Gigabit Ethernet (два сегмента сети)

Соответствие стандартам безопасности

  • FIPS 140-2 Уровень 2 и уровень 3 ° IPv6 и USGv6
  • Connect+: Common Criteria EAL4+ (AVA_VAN.5)
  • Connect+ признан квалифицированным устройством для создания подписи
  • Connect XC: Соответствие BSI AIS 20/31

Безопасность и соблюдение стандартов безопасности

  • UL, CE, FCC, C-TICK, Canada ICES RoHS2, WEEE

Высокая доступность:

  • Все твердотельные ЗУ
  • Компоненты, обслуживаемые на месте эксплуатации, блок двойного энергопитания с заменой в “горячем” режиме

Управление и мониторинг

  • Удаленная настройка nShield (для моделей Connect XC, где настроена последовательная консоль)
  • nShield Remote Administration (приобретается отдельно)
  • nShield Monitor (приобретается отдельно)

Контроль системы или средств безопасности

  • Диагностика системного журнала и мониторинг производительности Windows ° Мониторинг SNMP

Физические характеристики

  • Стандартный 1U 19 дюймов для монтажа в стойку
  • Размеры: 43.4 x 430 x 705 мм (1.7 x 16.9 x 27.8 дюймов)
  • Вес: 11.5 кг (25.4 фунтов)
  • Входное напряжение: 100-240 В переменного тока, автоматическое переключение 50-60Гц потребляемая мощность: до 2,0 a при 110 В переменного тока, 60 Гц 1.0 а при 220 В переменного тока, 50 Гц
  • Тепловыделение: 327.6 до 362.0 БТЕ/час (полная загрузка

 

 

 

nShield Connect

__________________________________________________________________________________

nShield® аппаратные модули безопасности общего назначения

nShield®

Сопутствующие товары

Управляйте удаленно установленными nShield HSM из своего офиса когда вам это удобно.

nShield HSM часто установлены в безопасных, удаленных центрах данных, управление которыми осуществляется извне. Многие организации считают непрактичным регулярные поездки к центру данных для обычных рутинных задач. Удаленное администрирование позволяет управлять вашими HSM: добавлять приложения, обновлять прошивки, проверять состояние и многое другое - где бы вы ни находились, в любое время. Снижение частоты поездок в центры обработки данных помогает сократить расходы и оптимизировать ваши ресурсы.

nShield Monitor - полноценная платформа управления HSM, обеспечивающая контроль статусов всех payShield 24x7, включая удаленные HSM. Используя эту платформу, сотрудники компании могут отслеживать все HSM и своевременно выявлять возможные проблемы, связанные с безопасностью или настройками, которые могут скомпрометировать инфраструктуру компании.