Thales nShield Connect bietet enterprise-class-Schlüssel-management
Die Thales-nShield Connect 6000 ist eine von Ihrer Linie von Hardware-Security-Module (HSM), die kombinieren, FIPS 140-2 level-drei security (Federal Information Processing Standard) mit key management (Thales erworben nCipher 2008). Thales in der Regel sendet ein support-Techniker um Hilfe bei der installation eines neuen Systems, so dürfen wir Sie schicken einen Techniker installieren Sie das Produkt in unser Prüfstand und unterstützen Sie bei der Integration der Produkt-mit unserem test-Plattformen, Windows 2008 Server mit den Microsoft Certificate Authority, IIS, Exchange und SQL-Server 2005 und Ubuntu server 9.04 mit Apache 2.2.12. Es nahm der Ingenieur über einen Tag und eine Hälfte zu bekommen, wie das system arbeitet mit all diesen Anwendungen.
Ein Grund, die installation dauerte lange, war, dass die nShield hatte FIPS-Sicherheit standardmäßig aktiviert. Dies ist eine Regierung standard für die Sicherheit beinhaltet, dass physische Token (smart cards) müssen eingefügt werden in das Gerät der Leser, bevor die meisten Aktionen ausgeführt werden. Während der anfänglichen Konfiguration, die wir neun Smartcards, die man benötigt, um eingefügt werden weiterhin geschützt Aktionen.
Die Anzahl der Karten und die nötige Anzahl für eine gegebene Aktion ist flexibel. Dies ist, um sicherzustellen, dass wichtige Aktionen, wie das registrieren eines neuen Zertifikats mit einem Anbieter (potentiell sehr teure operation), hat sich ein Konsens vor der Aktion. Eine Europäische institution erfordert, dass 55 von 57-Karten eingelegt werden, um ein neues Zertifikat anfordern, was angesichts der 1-Millionen-Euro-Preisschild gerechtfertigt sein kann. Auf der anderen Seite, viele Organisationen finden, die dieses Maß an Schutz overkill, und schalten Sie den FIPS-Sicherheit, mit der der Zugriff erlaubt, durch normale Passwörter statt.
Einrichten der nShield-arbeiten mit einem neuen Programm beinhaltet immer, dass die Anwendung mit einem der unterstützten Schlüssel-management-standards, PKCS#11, Microsoft CryptoAPI/CNG, Jave JCE oder mit OpenSSL oder einem anderen unterstützten Sicherheitsprotokolle. Dies kann oft etwas komplexer, da diese nicht unbedingt die nativen Methoden für die Verschlüsselung. Auch wenn Sie, wie mit der Microsoft CryptoAPI, es sind zahlreiche Schritte.
Thales hat 22 veröffentlicht Leitfäden zur integration mit bestimmten Produkten, die selbst den Techniker geschickt, um das Produkt zu installieren verwenden, weil die einzelnen beteiligten viele Schritte. Acht bis 12 Seiten der Führung ist typisch. Die tech war in der Lage, gehen Sie durch die Schritte relativ schnell, sobald die grundlegenden Konfigurationen und Berechtigungen festgelegt wurden, und, nachdem er Links, absolvierte ich mit ein paar anderen Konfigurationen mit den guides, ohne Besondere Probleme.
Einmal-Anwendungen eine Verbindung zu der nShield -, - Zertifikate und-Schlüssel können einfach verwaltet werden mit der Politik, macht es einfach, neue Zertifikate und widerrufen oder erneuern von Zertifikaten. Richtlinien können Sie festlegen, wie lange ein Schlüssel verwendet wird, bevor Sie erneuert oder widerrufen wurde. Da alle Tasten sind vorhanden, um Anwendungen nach Bedarf über einen sicheren, verschlüsselten link, mit dem Schlüssel selbst sicher gelagert in einer gehärteten appliance, die Tasten sind nicht nur zentral verwaltet und geschützt vor Verletzungen, aber sichtbar für den administrator.
Reporting-tools machen es leicht zu finden, die Tasten, die oberhalb oder unterhalb einer festgelegten Anzahl von bits, wenn ein administrator ist daran interessiert, in den ausbau der Organisation zu einer neuen Empfehlung für die Mindest-bits im Schlüssel, zum Beispiel. Auditing-tools machen es einfach zu verfolgen die administrator durchgeführt hat, die Funktion.
Da alle die Sicherheit Eier in einen Korb, so zu sprechen, wäre es wichtig, in großen Organisationen zu haben redundante HSMs um die Verfügbarkeit zu gewährleisten und die Widerstandsfähigkeit gegen hardware-Fehler. Der Prozess zum einrichten eines failover-Einheit ist einfach und leicht zu tun, mit einer aktiv-passiv-system. Daten gesichert über hoch verschlüsselte backups, und diese Daten können wiederhergestellt werden, um die hot-spare-Einheit im Falle einer Katastrophe.
Zur Gewährleistung der Skalierbarkeit des Systems, Bereitstellung von Servern erstellt werden können, an verschiedenen geografischen Standorten, um Zertifikate oder Schlüssel auf Nachfrage. Wenn dies geschehen ist, ist das ganze system noch leicht verwaltet über eine einzige Konsole und der management-Schnittstelle ermöglicht den administrativen Ebenen mit sehr granulare Berechtigungen, so dass eine Art von admin nur Zugriff auf die Informationen für eine Website, während ein anderer hat die Aufsicht in der gesamten Organisation.
Die Thales nShield bietet ein sehr hohes Maß an Sicherheit, und arbeitet mit einem ziemlich breiten Palette von Betriebssystemen und Anwendungen, wenn auch nicht so viele, wie die Venafi-system. Wenn ein hohes Maß an Sicherheit ist wichtig, zusätzlich zur Verwaltung der Schlüssel und Zertifikate, die nShield ist eine gute Wahl.
Preise: Thales-nShield Connect 6000 beginnt bei $39,000. Die Preisgestaltung beinhaltet das erste Jahr Wartung und support. Andere HSMs beginnen bei $23,500.
Zurück zum test
Datum der Veröffentlichung: Ein Grund, die installation dauerte lange, war, dass die nShield hatte FIPS-Sicherheit standardmäßig aktiviert. Dies ist eine Regierung standard für die Sicherheit beinhaltet, dass physische Token (smart cards) müssen eingefügt werden in das Gerät der Leser, bevor die meisten Aktionen ausgeführt werden. Während der anfänglichen Konfiguration, die wir neun Smartcards, die man benötigt, um eingefügt werden weiterhin geschützt Aktionen.
Die Anzahl der Karten und die nötige Anzahl für eine gegebene Aktion ist flexibel. Dies ist, um sicherzustellen, dass wichtige Aktionen, wie das registrieren eines neuen Zertifikats mit einem Anbieter (potentiell sehr teure operation), hat sich ein Konsens vor der Aktion. Eine Europäische institution erfordert, dass 55 von 57-Karten eingelegt werden, um ein neues Zertifikat anfordern, was angesichts der 1-Millionen-Euro-Preisschild gerechtfertigt sein kann. Auf der anderen Seite, viele Organisationen finden, die dieses Maß an Schutz overkill, und schalten Sie den FIPS-Sicherheit, mit der der Zugriff erlaubt, durch normale Passwörter statt.
Einrichten der nShield-arbeiten mit einem neuen Programm beinhaltet immer, dass die Anwendung mit einem der unterstützten Schlüssel-management-standards, PKCS#11, Microsoft CryptoAPI/CNG, Jave JCE oder mit OpenSSL oder einem anderen unterstützten Sicherheitsprotokolle. Dies kann oft etwas komplexer, da diese nicht unbedingt die nativen Methoden für die Verschlüsselung. Auch wenn Sie, wie mit der Microsoft CryptoAPI, es sind zahlreiche Schritte.
Thales hat 22 veröffentlicht Leitfäden zur integration mit bestimmten Produkten, die selbst den Techniker geschickt, um das Produkt zu installieren verwenden, weil die einzelnen beteiligten viele Schritte. Acht bis 12 Seiten der Führung ist typisch. Die tech war in der Lage, gehen Sie durch die Schritte relativ schnell, sobald die grundlegenden Konfigurationen und Berechtigungen festgelegt wurden, und, nachdem er Links, absolvierte ich mit ein paar anderen Konfigurationen mit den guides, ohne Besondere Probleme.
Einmal-Anwendungen eine Verbindung zu der nShield -, - Zertifikate und-Schlüssel können einfach verwaltet werden mit der Politik, macht es einfach, neue Zertifikate und widerrufen oder erneuern von Zertifikaten. Richtlinien können Sie festlegen, wie lange ein Schlüssel verwendet wird, bevor Sie erneuert oder widerrufen wurde. Da alle Tasten sind vorhanden, um Anwendungen nach Bedarf über einen sicheren, verschlüsselten link, mit dem Schlüssel selbst sicher gelagert in einer gehärteten appliance, die Tasten sind nicht nur zentral verwaltet und geschützt vor Verletzungen, aber sichtbar für den administrator.
Reporting-tools machen es leicht zu finden, die Tasten, die oberhalb oder unterhalb einer festgelegten Anzahl von bits, wenn ein administrator ist daran interessiert, in den ausbau der Organisation zu einer neuen Empfehlung für die Mindest-bits im Schlüssel, zum Beispiel. Auditing-tools machen es einfach zu verfolgen die administrator durchgeführt hat, die Funktion.
Da alle die Sicherheit Eier in einen Korb, so zu sprechen, wäre es wichtig, in großen Organisationen zu haben redundante HSMs um die Verfügbarkeit zu gewährleisten und die Widerstandsfähigkeit gegen hardware-Fehler. Der Prozess zum einrichten eines failover-Einheit ist einfach und leicht zu tun, mit einer aktiv-passiv-system. Daten gesichert über hoch verschlüsselte backups, und diese Daten können wiederhergestellt werden, um die hot-spare-Einheit im Falle einer Katastrophe.
Zur Gewährleistung der Skalierbarkeit des Systems, Bereitstellung von Servern erstellt werden können, an verschiedenen geografischen Standorten, um Zertifikate oder Schlüssel auf Nachfrage. Wenn dies geschehen ist, ist das ganze system noch leicht verwaltet über eine einzige Konsole und der management-Schnittstelle ermöglicht den administrativen Ebenen mit sehr granulare Berechtigungen, so dass eine Art von admin nur Zugriff auf die Informationen für eine Website, während ein anderer hat die Aufsicht in der gesamten Organisation.
Die Thales nShield bietet ein sehr hohes Maß an Sicherheit, und arbeitet mit einem ziemlich breiten Palette von Betriebssystemen und Anwendungen, wenn auch nicht so viele, wie die Venafi-system. Wenn ein hohes Maß an Sicherheit ist wichtig, zusätzlich zur Verwaltung der Schlüssel und Zertifikate, die nShield ist eine gute Wahl.
Preise: Thales-nShield Connect 6000 beginnt bei $39,000. Die Preisgestaltung beinhaltet das erste Jahr Wartung und support. Andere HSMs beginnen bei $23,500.
Zurück zum test
Autor: Keylogger.Org Team
