|
Tamper Evident: barcha olinadigan qopqoq yoki eshiklarga vintlar yoki qulflarga buzilganligi aniq ko'rinadigan qoplamalar yoki muhrlar qo'shish
Tamper Resistant: DEK va KEK kabi barcha maxfiy ma'lumotlarni o'chirib tashlaydigan "buzishni aniqlash / javob berish sxemasi" ni qo'shish.
Tamper Proof: modulni aniq / chidamli vintlardek va qulflar bilan to'liq qattiqlashishi va barcha sezgir ma'lumotlarni yo'q qiladigan "buzishni aniqlash / javob berish sxemasi" ga nisbatan eng yuqori sezuvchanlik.
HSM mezbonlik qilmoqda
Ko'pgina tashkilotlar o'zlarining ba'zi operatsiyalarini yoki barchasini bulutga ko'chirishlari bilan, ularning xavfsizligini ko'chirish zarurati ham paydo bo'ldi. Yaxshi yangilik, ko'plab asosiy menejment provayderlari bulutli muhitda an'anaviy HSM-larni o'rnatish uchun bulutli xosting provayderlari bilan hamkorlik qilishdi. Xuddi shu darajadagi "qattiqlashish" hali ham amal qiladi, chunki u tashqi muhit sharoitida an'anaviy HSM hisoblanadi.
Virtual
Shifrlash kaliti menejerining virtual misollari HSM analoglariga qaraganda ancha moslashuvchanlikni taklif etadi. Ko'pgina hollarda virtual kalit menejeri sotuvchidan bir necha daqiqada yuklab olinishi va virtual muhitda joylashtirilishi mumkin. Boshqa tomondan, HSM bir necha kun yoki haftani saytga jo'natishi mumkin va keyin jismoniy o'rnatishni talab qiladi. Bundan tashqari, virtual menejmentlar, masalan, kalit menejeri ishlaydigan VMware-ni qo'llab-quvvatlaydigan har qanday joyda o'rnatilishi mumkin.
Salbiy tomoni shundaki, tabiiy ravishda hech qanday jismoniy komponentlarsiz virtual bo'lish, virtual kalit menejerining dasturiy ta'minoti faqat FIPS 140-2 ga mos kelishi mumkin, ammo tasdiqlanmagan. Shunday qilib, agar sizning biznesingiz (lar) ga yoki muvofiqlik reglamentlariga (FIPS) 140-2 tasdiqlashni talab qilsa, u holda HSM sizning yagona tanlovingizdir.
Aytish joizki, FIPS 140-2 ga mos keladigan virtual kalit menejerlari ta'minlaydigan mantiqiy xavfsizlik odatda ko'pgina tashkiliy ehtiyojlar uchun etarli emas.
AWS, Microsoft Azure va boshqalar: bag'ishlangan yoki "xizmat sifatida"
Amazon veb-xizmatlari (AWS), Microsoft Azure (Azure) va boshqalar kabi bulutli provayderlar shifrlash kalitlarini boshqarish uchun bozor takliflariga, shuningdek xizmat sifatida o'zlarining kalit boshqaruvlariga (KMaaS) ega. AWS va Azure's KMaaS odatda ko'p ijarachidir, ya'ni bitta kalitni boshqarish instansiyasida bir nechta foydalanuvchi kalitlari mavjud. Bu bir xil ma'lumotlar do'konlariga kiradigan boshqa foydalanuvchilarning xavfsizligi bilan bog'liq muammolarni kamaytirish uchun maxsus xizmatlarga muhtoj tashkilotlar uchun tashvish tug'dirishi mumkin.
Ushbu muammoga qarshi kurashish uchun ko'pgina bulut provayderlari maxsus xizmatlarni taklif qilishadi. O'zlarining bozorlarida, odatda, ikkita shaklda xizmat ko'rsatadigan maxsus xizmatlarni taqdim etadigan mustaqil sotuvchilar ham mavjud: "To'lov uchun to'lov" va "o'zingizning litsenziyangizni olib kelish". : Townsend Xavfsizlik ikkala platformalar uchun va har ikki litsenziyalash modellari uchun beradi AWS uchun Alliance Kalit menejeri va Azure uchun Alliance Kalit menejeri . Ikkala AWS va Azure misollari ham IaaS virtual nusxasida maxsus menejerlar bo'lib, HSM , Cloud HSM va VMware kabi bir xil kalit menejer bo'lish moslashuvchanligidan bahramand bo'lishadi.Masalan, agar kerak bo'lsa, sizning atrofingiz AWS va Azure-dan o'tib ketishi mumkin. Bu mavjud (yoki kelajakdagi) jismoniy ma'lumotlar markazlari (markazlari) bo'lgan tashkilotlar uchun foydalidir, chunki bir xil texnologiya sizning ma'lumotlaringizni hamma joyda himoya qilishi sizning AT xodimlaringiz uchun ulardan foydalanish va ularga xizmat ko'rsatishda murakkablikni kamaytiradi.
^ Yuqoriga qaytish
MULOQOT PROTOKOLLARI
PKI
Ochiq kalitlar infratuzilmasi (PKI): NIST PKI- ni "ochiq kalitlarni sub'ektlar bilan bog'laydigan, boshqa tashkilotlarga ochiq kalitlarni bog'lashini tekshirishga imkon beradigan va tarqatilgan tizimdagi kalitlarni doimiy boshqarish uchun zarur bo'lgan xizmatlarni taqdim etadigan" infratuzilma deb ta'riflaydi. Boshqacha qilib aytganda, bu ochiq kalitlarni (masalan, raqamli sertifikat) va yopiq kalitlarni to'g'ri boshqarish va tarqatish uchun zarur bo'lgan dasturiy ta'minot, apparat vositalari, rollar, protseduralar va qoidalardan iborat kriptografik infratuzilma.
Juda oddiy ichki PKI o'rnatilishi (grafikada ko'rsatilgandek shunday bo'ladi:
Foydalanuvchi sertifikat talab qiladi.
Ro'yxatdan o'tish organi foydalanuvchi va foydalanuvchining so'rovini tasdiqlaydi va tasdiqlangandan so'ng, sertifikatni rasmiylashtirish markaziga so'rov yuboradi. (Ro'yxatdan o'tish organi ixtiyoriy, agar kerak bo'lsa, sertifikat idorasi ushbu so'rovlarni ko'rib chiqishi mumkin.)
Sertifikat idorasi so'rovni qabul qiladi va foydalanuvchiga sertifikat beradi.
NIST tomonidan " Ochiq kalit texnologiyasi va Federal PKI infratuzilmasiga kirish " da belgilanganidek, PKI muhiti quyidagilardan iborat:
Do'stlaringiz bilan baham: |
