Thales nShield Connect предлагает управление ключами корпоративного класса
Thales nShield Connect 6000 является одним из их линейки аппаратных модулей безопасности (HSM), которые сочетают в себе FIPS 140-2 level-three security (федеральный стандарт обработки информации) с управлением ключами (Thales приобрела nCipher в 2008 году). Thales обычно посылает инженера поддержки для помощи в установке новой системы, поэтому мы позволили им отправить инженера для установки продукта на наш тестовый стенд и помочь интегрировать продукт с нашими тестовыми платформами, Windows 2008 Server с центром сертификации Microsoft, IIS, Exchange и SQL Server 2005 и Ubuntu server 9.04 с Apache 2.2.12. Инженеру потребовалось около полутора суток, чтобы заставить систему работать со всеми этими приложениями.
Одна из причин, по которой установка заняла так много времени, заключалась в том, что в nShield по умолчанию была включена защита FIPS. Это государственный стандарт безопасности, который включает в себя физические токены (смарт-карты), которые должны быть вставлены в считыватель устройства до того, как будут предприняты большинство действий. Во время начальной настройки мы настроили девять смарт-карт, из которых одна должна была быть вставлена для продолжения защищенных действий.
Количество карт и количество, необходимое для данного действия, является гибким. Это делается для обеспечения того, чтобы основные действия, такие как регистрация нового сертификата у поставщика (потенциально очень дорогостоящая операция), были согласованы до принятия соответствующих мер. Одно европейское учреждение требует, чтобы 55 из 57 карт были вставлены, чтобы запросить новый сертификат, который, учитывая цену в 1 миллион евро, может быть оправдан. С другой стороны, многие организации могут счесть такой уровень защиты излишним и отключить защиту FIPS, разрешив доступ через обычные пароли.
Настройка nShield для работы с новым приложением включает в себя получение этого приложения для работы с одним из поддерживаемых стандартов управления ключами, PKCS#11, Microsoft CryptoAPI/CNG, Jave JCE или OpenSSL, или с одним из других поддерживаемых протоколов безопасности. Это часто может быть несколько сложным, поскольку они не обязательно являются собственными методами шифрования. Даже когда они есть, как в случае с Microsoft CryptoAPI, могут быть задействованы многочисленные шаги.
Thales имеет 22 опубликованных руководства по интеграции с конкретными продуктами, которые даже техник отправил для установки используемого продукта, потому что каждый из них включал в себя множество шагов. Типично от восьми до 12 страниц руководства. Техник смог пройти эти шаги относительно быстро, как только были установлены основные конфигурации и разрешения, и после того, как он ушел, я завершил несколько других конфигураций, используя направляющие, без особых проблем.
Как только приложения подключены к nShield, сертификатами и ключами можно легко управлять с помощью политик, что позволяет легко выдавать новые сертификаты и отзывать или продлевать сертификаты. Политики могут устанавливать, как долго ключ используется, прежде чем быть продленным или отозванным. Поскольку все ключи предоставляются приложениям по требованию по защищенной, зашифрованной ссылке, а сами ключи надежно хранятся в защищенном устройстве, ключи не только централизованно управляются и защищены от нарушений, но и видны администратору.
Инструменты отчетности позволяют легко находить ключи, которые находятся выше или ниже установленного количества битов, если администратор заинтересован в обновлении организации до новой рекомендации по минимальным битам в ключах, например. Инструменты аудита также упрощают отслеживание того, какой администратор выполнил ту или иную функцию.
Поскольку все яйца безопасности находятся, так сказать, в одной корзине, в крупных организациях было бы крайне важно иметь резервные HSM для обеспечения доступности и устойчивости к сбоям оборудования. Процесс настройки отказоустойчивого блока прост и удобен в использовании активной пассивной системы. Резервное копирование данных осуществляется с помощью сильно зашифрованных резервных копий, и эти данные могут быть восстановлены в горячий запасной блок в случае аварии.
Чтобы обеспечить масштабируемость системы, серверы подготовки могут быть созданы на разных географических узлах для выдачи сертификатов или ключей по требованию. Если это сделано, то вся система по-прежнему легко управляется с одной консоли, а интерфейс управления допускает административные уровни с очень детализированными разрешениями, так что один тип администратора может иметь доступ только к информации для одного сайта, в то время как другой имеет надзор за всей организацией.
Thales nShield обеспечивает очень высокий уровень безопасности и работает с довольно широким спектром операционных систем и приложений, хотя и не так много, как система Venafi. Если высокий уровень безопасности имеет важное значение, в дополнение к управлению ключами и сертификатами, nShield является хорошим выбором.
Цена: Thales nShield Connect 6000 начинается с 39 000 долларов. Цена включает в себя первый год технического обслуживания и поддержки. Другие ГСМ начинаются от 23 500 долларов.
Вернуться к тесту
Дата публикации: Одна из причин, по которой установка заняла так много времени, заключалась в том, что в nShield по умолчанию была включена защита FIPS. Это государственный стандарт безопасности, который включает в себя физические токены (смарт-карты), которые должны быть вставлены в считыватель устройства до того, как будут предприняты большинство действий. Во время начальной настройки мы настроили девять смарт-карт, из которых одна должна была быть вставлена для продолжения защищенных действий.
Количество карт и количество, необходимое для данного действия, является гибким. Это делается для обеспечения того, чтобы основные действия, такие как регистрация нового сертификата у поставщика (потенциально очень дорогостоящая операция), были согласованы до принятия соответствующих мер. Одно европейское учреждение требует, чтобы 55 из 57 карт были вставлены, чтобы запросить новый сертификат, который, учитывая цену в 1 миллион евро, может быть оправдан. С другой стороны, многие организации могут счесть такой уровень защиты излишним и отключить защиту FIPS, разрешив доступ через обычные пароли.
Настройка nShield для работы с новым приложением включает в себя получение этого приложения для работы с одним из поддерживаемых стандартов управления ключами, PKCS#11, Microsoft CryptoAPI/CNG, Jave JCE или OpenSSL, или с одним из других поддерживаемых протоколов безопасности. Это часто может быть несколько сложным, поскольку они не обязательно являются собственными методами шифрования. Даже когда они есть, как в случае с Microsoft CryptoAPI, могут быть задействованы многочисленные шаги.
Thales имеет 22 опубликованных руководства по интеграции с конкретными продуктами, которые даже техник отправил для установки используемого продукта, потому что каждый из них включал в себя множество шагов. Типично от восьми до 12 страниц руководства. Техник смог пройти эти шаги относительно быстро, как только были установлены основные конфигурации и разрешения, и после того, как он ушел, я завершил несколько других конфигураций, используя направляющие, без особых проблем.
Как только приложения подключены к nShield, сертификатами и ключами можно легко управлять с помощью политик, что позволяет легко выдавать новые сертификаты и отзывать или продлевать сертификаты. Политики могут устанавливать, как долго ключ используется, прежде чем быть продленным или отозванным. Поскольку все ключи предоставляются приложениям по требованию по защищенной, зашифрованной ссылке, а сами ключи надежно хранятся в защищенном устройстве, ключи не только централизованно управляются и защищены от нарушений, но и видны администратору.
Инструменты отчетности позволяют легко находить ключи, которые находятся выше или ниже установленного количества битов, если администратор заинтересован в обновлении организации до новой рекомендации по минимальным битам в ключах, например. Инструменты аудита также упрощают отслеживание того, какой администратор выполнил ту или иную функцию.
Поскольку все яйца безопасности находятся, так сказать, в одной корзине, в крупных организациях было бы крайне важно иметь резервные HSM для обеспечения доступности и устойчивости к сбоям оборудования. Процесс настройки отказоустойчивого блока прост и удобен в использовании активной пассивной системы. Резервное копирование данных осуществляется с помощью сильно зашифрованных резервных копий, и эти данные могут быть восстановлены в горячий запасной блок в случае аварии.
Чтобы обеспечить масштабируемость системы, серверы подготовки могут быть созданы на разных географических узлах для выдачи сертификатов или ключей по требованию. Если это сделано, то вся система по-прежнему легко управляется с одной консоли, а интерфейс управления допускает административные уровни с очень детализированными разрешениями, так что один тип администратора может иметь доступ только к информации для одного сайта, в то время как другой имеет надзор за всей организацией.
Thales nShield обеспечивает очень высокий уровень безопасности и работает с довольно широким спектром операционных систем и приложений, хотя и не так много, как система Venafi. Если высокий уровень безопасности имеет важное значение, в дополнение к управлению ключами и сертификатами, nShield является хорошим выбором.
Цена: Thales nShield Connect 6000 начинается с 39 000 долларов. Цена включает в себя первый год технического обслуживания и поддержки. Другие ГСМ начинаются от 23 500 долларов.
Вернуться к тесту
Автор: Keylogger.Org Команда
