在數(shù)字時(shí)代的今天,網(wǎng)絡(luò)犯罪分子隨處可見(jiàn),他們瞄準(zhǔn)并攻擊每一個(gè)易受攻擊的設(shè)備、軟件或系統(tǒng)。為了防止黑客攻擊,這需要公司和個(gè)人采取必備的安全措施,例如使用加密密鑰來(lái)保護(hù)其IT資產(chǎn)。
但是,管理加密密鑰(包括生成、存儲(chǔ)和審核它們)通常是保護(hù)系統(tǒng)的主要障礙。當(dāng)然,您可以使用硬件安全模塊 (HSM) 安全地管理加密密鑰。
什么是硬件安全模塊 (HSM)?硬件安全模塊 (HSM) 是保護(hù)和管理加密密鑰的物理計(jì)算設(shè)備。它通常至少有一個(gè)安全加密處理器,用以作為插件卡(SAM / SIM卡)或直接連接到計(jì)算機(jī)或網(wǎng)絡(luò)服務(wù)器的外部設(shè)備。
(資料圖)
硬件安全模塊 (HSM) 專門用于使用防篡改的硬件模塊,以此來(lái)為加密密鑰的全生命周期提供保護(hù),并通過(guò)多種技術(shù)(包括加密和解密)保護(hù)數(shù)據(jù)。它們還充當(dāng)加密密鑰的安全存儲(chǔ)庫(kù),用于數(shù)據(jù)加密、數(shù)字版權(quán)管理 (DRM) 和文檔簽名等任務(wù)。
硬件安全模塊如何工作?在預(yù)配期間,硬件安全模塊 (HSM)將生成、備份和加密唯一密鑰,并進(jìn)行存儲(chǔ)。然后,授權(quán)人員將密鑰部署到 硬件安全模塊 (HSM) 中,從而實(shí)現(xiàn)受控訪問(wèn)。
硬件安全模塊 (HSM)根據(jù)行業(yè)標(biāo)準(zhǔn)和組織策略提供用于加密密鑰監(jiān)視、控制和輪換的管理功能。例如,最新的 HSM 通過(guò)強(qiáng)制執(zhí)行 NIST 關(guān)于使用至少 2048 位的 RSA 密鑰的建議來(lái)確保合規(guī)性。
一旦不再主動(dòng)使用加密密鑰,就會(huì)觸發(fā)數(shù)據(jù)的存檔。另外,如果不再需要這些密鑰,它們將被安全且永久地銷毀。
硬件安全模塊的用途是什么?硬件安全模塊 (HSM)的主要目的是保護(hù)加密密鑰,并提供用于保護(hù)標(biāo)識(shí)、應(yīng)用程序和事務(wù)的基本服務(wù)。硬件安全模塊 (HSM)支持多種連接選項(xiàng),包括連接到網(wǎng)絡(luò)服務(wù)器或作為獨(dú)立設(shè)備脫機(jī)使用。
硬件安全模塊 (HSM) 可以作為智能卡、PCI 卡、離散設(shè)備或稱為 HSM 即服務(wù) (HSMaaS) 的云服務(wù)。在銀行業(yè),硬件安全模塊 (HSM) 用于 ATM、EFT 和 PoS 系統(tǒng)等。
硬件安全模塊的類型Sun Microsystems 加密加速器 1000 PCI 卡
硬件安全模塊 (HSM) 分為兩大類,每類都提供針對(duì)特定行業(yè)量身定制的不同保護(hù)功能。以下是可用的不同類型的硬件安全模塊 (HSM)。
1、通用硬件安全模塊 (HSM)
通用硬件安全模塊 (HSM) 具有多種加密算法,包括對(duì)稱、非對(duì)稱和哈希函數(shù)。這些最受歡迎的硬件安全模塊 (HSM)以其在保護(hù)敏感數(shù)據(jù)類型(如加密錢包和公鑰基礎(chǔ)設(shè)施)方面的卓越性能而聞名。
硬件安全模塊 (HSM) 管理大量加密操作,通常用于 PKI、SSL/TLS 和通用敏感數(shù)據(jù)保護(hù)。因此,通常采用通用硬件安全模塊 (HSM)來(lái)幫助滿足一般行業(yè)標(biāo)準(zhǔn),如 HIPAA 安全要求和 FIPS 合規(guī)性。
另外,通用 硬件安全模塊 (HSM)還支持使用 Java 加密體系結(jié)構(gòu) (JCA)、Java 加密擴(kuò)展 (JCE)、下一代加密 API (CNG)、公鑰加密標(biāo)準(zhǔn) (PKCS) #11 和Microsoft加密應(yīng)用程序編程接口 (CAPI) 的 API 連接,使用戶能夠選擇最適合其加密操作的框架。
2、支付和交易 HSM
支付和交易硬件安全模塊 (HSM) 專為金融行業(yè)設(shè)計(jì),用于保護(hù)敏感的支付信息,如信用卡號(hào)。這些 HSM 支持支付協(xié)議(如 APACS),同時(shí)堅(jiān)持多個(gè)行業(yè)特定標(biāo)準(zhǔn)(如 EMV 和 PCI HSM)以實(shí)現(xiàn)合規(guī)性。
硬件安全模塊 (HSM)通過(guò)在傳輸和存儲(chǔ)過(guò)程中保護(hù)敏感數(shù)據(jù),為支付系統(tǒng)增加了額外的保護(hù)層。這使得包括銀行和支付處理商在內(nèi)的金融機(jī)構(gòu)將其作為確保安全處理支付和交易的整體解決方案。
硬件安全模塊的主要特點(diǎn)硬件安全模塊 (HSM) 是確保遵守網(wǎng)絡(luò)安全法規(guī)、增強(qiáng)數(shù)據(jù)安全性和保持最佳服務(wù)級(jí)別的關(guān)鍵組件。以下是硬件安全模塊 (HSM) 的主要功能。
1、防篡改
使 HSM 防篡改的主要目標(biāo)是在 HSM 受到物理攻擊時(shí)保護(hù)您的加密密鑰。
根據(jù) FIPS 140-2,HSM 必須包含防篡改密封,才有資格獲得 2 級(jí)(或更高級(jí)別)設(shè)備的認(rèn)證。任何篡改 HSM 的嘗試(例如從其 PCIe 總線中刪除保護(hù)服務(wù)器 PCIe 2)都將觸發(fā)篡改事件,從而刪除所有加密材料、配置設(shè)置和用戶數(shù)據(jù)。
2、安全設(shè)計(jì)
HSM 配備了獨(dú)特的硬件,符合 PCI DSS 設(shè)定的要求,并符合各種政府標(biāo)準(zhǔn),包括通用標(biāo)準(zhǔn)和 FIPS 140-2。
大多數(shù) HSM 都通過(guò)了各種 FIPS 140-2 級(jí)別的認(rèn)證,主要是 3 級(jí)認(rèn)證。在級(jí)別 4(最高層)認(rèn)證的精選 HSM 是尋求峰值級(jí)別保護(hù)的組織的絕佳解決方案。
3、身份驗(yàn)證和訪問(wèn)控制
HSM 充當(dāng)看門人的角色,控制對(duì)它們所保護(hù)的設(shè)備和數(shù)據(jù)的訪問(wèn)。通過(guò)主動(dòng)監(jiān)控 HSM 以防篡改和有效響應(yīng)的能力。
如果檢測(cè)到篡改,某些 HSM 將停止工作或擦除加密密鑰以防止未經(jīng)授權(quán)的訪問(wèn)。為了進(jìn)一步增強(qiáng)安全性,HSM 采用強(qiáng)大的身份驗(yàn)證實(shí)踐,例如多重身份驗(yàn)證和嚴(yán)格的訪問(wèn)控制策略,將訪問(wèn)權(quán)限限制為授權(quán)的個(gè)人。
4、合規(guī)和審計(jì)
為了保持合規(guī)性,HSM 需要遵守各種標(biāo)準(zhǔn)和法規(guī)。主要包括歐盟的通用數(shù)據(jù)保護(hù)條例 (GDPR)、域名系統(tǒng)安全擴(kuò)展 (DNSSEC)、PCI 數(shù)據(jù)安全標(biāo)準(zhǔn)、通用標(biāo)準(zhǔn)和 FIPS 140-2。
遵守標(biāo)準(zhǔn)和法規(guī)可確保數(shù)據(jù)和隱私保護(hù)、DNS 基礎(chǔ)設(shè)施安全、安全支付卡交易、國(guó)際公認(rèn)的安全標(biāo)準(zhǔn)以及遵守政府加密標(biāo)準(zhǔn)。
HSM 還包括日志記錄和審核功能,允許出于合規(guī)性目的監(jiān)視和跟蹤加密操作。
5、集成和接口
HSM 支持流行的 API,如 CNG 和 PKCS #11,允許開(kāi)發(fā)人員將 HSM 功能無(wú)縫集成到其應(yīng)用程序中。它們還與其他幾個(gè)API兼容,包括JCA,JCE和Microsoft CAPI。
保護(hù)您的加密密鑰硬件安全模塊 (HSM)在物理設(shè)備中提供了一些最高級(jí)別的安全性。它們能夠生成加密密鑰、安全存儲(chǔ)密鑰并保護(hù)數(shù)據(jù)處理,使其成為任何尋求增強(qiáng)數(shù)據(jù)安全性的人的理想解決方案。
硬件安全模塊 (HSM)包括安全設(shè)計(jì)、防篡改和詳細(xì)的訪問(wèn)日志等功能,使其成為加強(qiáng)關(guān)鍵加密數(shù)據(jù)安全性的值得投資。
原文標(biāo)題:What Is a Hardware Security Module and Why Is It Important?
原文作者:DENIS MANYINSA
關(guān)鍵詞: