Thales nShield Connect ofrece de clase empresarial de gestión de claves
El Thales nShield Conectar 6000 es uno de su línea de Módulos de Seguridad de Hardware (HSM), que se combinan con FIPS 140-2 de nivel tres, de seguridad (Federal Information Processing Standard) con la administración de claves (Thales adquirido nCipher en 2008). Thales normalmente se envía a un ingeniero de soporte de ayuda en la instalación de un nuevo sistema, así que les permitió enviar a un ingeniero para instalar el producto en nuestro banco de pruebas y ayudar a integrar el producto con nuestra plataforma de pruebas, Windows 2008 Server con la entidad de certificación de Microsoft, IIS, Exchange y SQL Server 2005 y Ubuntu server 9.04 con Apache 2.2.12. Tomó el ingeniero de aproximadamente un día y medio para obtener el sistema de trabajo con todas estas aplicaciones.
Una de las razones de la instalación tomó ese tiempo fue que el nShield había FIPS seguridad habilitada de forma predeterminada. Este es un estándar del gobierno para la seguridad que implica tokens físicos (tarjetas inteligentes) que deben ser insertados en el aparato del lector antes de que la mayoría de las acciones. Durante la configuración inicial hemos creado nueve tarjetas inteligentes, de los que uno necesita para ser insertado a continuar con las acciones.
El número de tarjetas y el número necesario para una determinada acción es flexible. Esto es para asegurar que las acciones importantes, tales como el registro de un nuevo certificado con un proveedor (potencialmente una operación muy costosa), tiene un consenso antes de que se tome la acción. Una institución Europea requiere que el 55 de 57 tarjetas de insertarse a la solicitud de un nuevo certificado, que dado el 1 millones de Euros, etiqueta de precio, puede estar justificada. Por otro lado, muchas organizaciones pueden encontrar este nivel de protección excesivo, y desactivar la seguridad de FIPS, con acceso permitido a través de la normal de contraseñas en su lugar.
Configuración de la nShield trabajar con una nueva aplicación consiste en conseguir que la aplicación para trabajar con uno de los compatibles clave estándares de gestión, PKCS#11, Microsoft CryptoAPI/GNC, Java JCE o OpenSSL, o con uno de los otros protocolos de seguridad soportados. Esto a menudo puede ser un poco complejo, ya que estos no son necesariamente los métodos nativos para el cifrado. Incluso cuando lo son, como con el de Microsoft CryptoAPI, puede haber numerosos pasos involucrados.
Thales cuenta con 22 publicado guías para la integración con los productos en particular, que incluso el técnico enviado a instalar el producto utilizado, debido a que cada uno de ellos participa un montón de pasos. De ocho a 12 páginas de la guía es típico. La tecnología era capaz de ir a través de los pasos relativamente rápido una vez que las configuraciones básicas de los permisos y se establecieron, y después de él a la izquierda, yo hice un par de configuraciones de uso de las guías, sin especiales problemas.
Una vez que las aplicaciones se conectan a la nShield, certificados y claves se puede controlar fácilmente mediante el uso de directivas, por lo que es fácil para la emisión de certificados y revocar o renovar los certificados. Las políticas pueden establecer el tiempo que una clave se utiliza antes de ser renovado o revocada. Puesto que todas las llaves se proporcionan para las aplicaciones en demanda de más de un seguro, cifrado de enlace, con las propias claves almacenadas de forma segura en un dispositivo reforzado, las llaves no son sólo centralmente administrado y protegido de las infracciones, pero visible para el administrador.
Herramientas de generación de informes que sean fáciles de encontrar claves que están por encima o por debajo de un determinado número de bits, si un administrador no está interesado en la mejora de la organización a una nueva recomendación para un mínimo de bits de las claves, por ejemplo. Herramientas de auditoría también facilitan el seguimiento de administrador para la que ha realizado la cual función.
Ya que todos los huevos en una sola canasta, por así decirlo, sería fundamental en las organizaciones grandes tienen redundante HSMs para garantizar la disponibilidad y la flexibilidad en contra de un fallo de hardware. El proceso de creación de una unidad de conmutación es simple y fácil de hacer, usando un sistema pasivo. Datos de copia de seguridad con cifrados muy copias de seguridad, y estos datos se pueden restaurar en la unidad de repuesto de la unidad en caso de desastre.
Para garantizar la escalabilidad del sistema, el Aprovisionamiento de Servidores puede ser creado en diferentes sitios geográficos para emitir certificados o claves en la demanda. Si esto se hace, todo el sistema es todavía fácilmente desde una única consola, y la interfaz de administración permite que los niveles administrativos, con muy granular de permisos, de modo que un tipo de administración sólo podría tener acceso a la información de un sitio, mientras que otra ha de supervisión en toda la organización.
El Thales nShield proporciona un nivel de seguridad muy elevado, y funciona bastante con un amplio rango de sistemas operativos y aplicaciones, aunque no tantas como el Venafi sistema. Si un alto nivel de seguridad es importante, además de la gestión de claves y certificados, el nShield es una buena opción.
Precios: Thales nShield Conectar 6000 comienza en $39,000. El precio incluye el primer año de mantenimiento y soporte. Otros HSMs comienzan en $23,500.
Volver a probar
Fecha de publicación: Una de las razones de la instalación tomó ese tiempo fue que el nShield había FIPS seguridad habilitada de forma predeterminada. Este es un estándar del gobierno para la seguridad que implica tokens físicos (tarjetas inteligentes) que deben ser insertados en el aparato del lector antes de que la mayoría de las acciones. Durante la configuración inicial hemos creado nueve tarjetas inteligentes, de los que uno necesita para ser insertado a continuar con las acciones.
El número de tarjetas y el número necesario para una determinada acción es flexible. Esto es para asegurar que las acciones importantes, tales como el registro de un nuevo certificado con un proveedor (potencialmente una operación muy costosa), tiene un consenso antes de que se tome la acción. Una institución Europea requiere que el 55 de 57 tarjetas de insertarse a la solicitud de un nuevo certificado, que dado el 1 millones de Euros, etiqueta de precio, puede estar justificada. Por otro lado, muchas organizaciones pueden encontrar este nivel de protección excesivo, y desactivar la seguridad de FIPS, con acceso permitido a través de la normal de contraseñas en su lugar.
Configuración de la nShield trabajar con una nueva aplicación consiste en conseguir que la aplicación para trabajar con uno de los compatibles clave estándares de gestión, PKCS#11, Microsoft CryptoAPI/GNC, Java JCE o OpenSSL, o con uno de los otros protocolos de seguridad soportados. Esto a menudo puede ser un poco complejo, ya que estos no son necesariamente los métodos nativos para el cifrado. Incluso cuando lo son, como con el de Microsoft CryptoAPI, puede haber numerosos pasos involucrados.
Thales cuenta con 22 publicado guías para la integración con los productos en particular, que incluso el técnico enviado a instalar el producto utilizado, debido a que cada uno de ellos participa un montón de pasos. De ocho a 12 páginas de la guía es típico. La tecnología era capaz de ir a través de los pasos relativamente rápido una vez que las configuraciones básicas de los permisos y se establecieron, y después de él a la izquierda, yo hice un par de configuraciones de uso de las guías, sin especiales problemas.
Una vez que las aplicaciones se conectan a la nShield, certificados y claves se puede controlar fácilmente mediante el uso de directivas, por lo que es fácil para la emisión de certificados y revocar o renovar los certificados. Las políticas pueden establecer el tiempo que una clave se utiliza antes de ser renovado o revocada. Puesto que todas las llaves se proporcionan para las aplicaciones en demanda de más de un seguro, cifrado de enlace, con las propias claves almacenadas de forma segura en un dispositivo reforzado, las llaves no son sólo centralmente administrado y protegido de las infracciones, pero visible para el administrador.
Herramientas de generación de informes que sean fáciles de encontrar claves que están por encima o por debajo de un determinado número de bits, si un administrador no está interesado en la mejora de la organización a una nueva recomendación para un mínimo de bits de las claves, por ejemplo. Herramientas de auditoría también facilitan el seguimiento de administrador para la que ha realizado la cual función.
Ya que todos los huevos en una sola canasta, por así decirlo, sería fundamental en las organizaciones grandes tienen redundante HSMs para garantizar la disponibilidad y la flexibilidad en contra de un fallo de hardware. El proceso de creación de una unidad de conmutación es simple y fácil de hacer, usando un sistema pasivo. Datos de copia de seguridad con cifrados muy copias de seguridad, y estos datos se pueden restaurar en la unidad de repuesto de la unidad en caso de desastre.
Para garantizar la escalabilidad del sistema, el Aprovisionamiento de Servidores puede ser creado en diferentes sitios geográficos para emitir certificados o claves en la demanda. Si esto se hace, todo el sistema es todavía fácilmente desde una única consola, y la interfaz de administración permite que los niveles administrativos, con muy granular de permisos, de modo que un tipo de administración sólo podría tener acceso a la información de un sitio, mientras que otra ha de supervisión en toda la organización.
El Thales nShield proporciona un nivel de seguridad muy elevado, y funciona bastante con un amplio rango de sistemas operativos y aplicaciones, aunque no tantas como el Venafi sistema. Si un alto nivel de seguridad es importante, además de la gestión de claves y certificados, el nShield es una buena opción.
Precios: Thales nShield Conectar 6000 comienza en $39,000. El precio incluye el primer año de mantenimiento y soporte. Otros HSMs comienzan en $23,500.
Volver a probar
Autor: Keylogger.Org Equipo
