随着全世界范围内对新冠肺炎大流行的适应，“社会疏远”已经成为一个新兴的热点名词，并且成为拉平交流曲线的焦点，全球各地的企业都面临着远程管理相关的挑战。在这种情况下，安全有效的远程办公已成为新的企业规范，而Thales公司的SafeNet Luna HSM（硬件安全模块）具有的远程管理功能，成为企业能够继续正常运转的最宝贵资产。

HSM的远程管理具有许多优势，从降低运营成本（由于消除了员工对数据中心的访问）到通过全天候可见性和对HSM的访问提高了生产率和效率。关于远程管理的最好的部分可能是这样一个事实，即无需安全人员在数据中心现场，就可以实现上述所有目的。例如对于超大型互联网公司来说，其众多数据中心的HSM设备，包括公司内部用于存储信任根（Root of Trust）密钥的HSM，都可以由授信的员工，通过具有双因素认证的VPN+HSM访问权限（Password或PED+PED Key）的形式进行访问控制。在这种访问控制的能力下，企业的管理层和实际操作员工，都可以安全放心的在家远程办公，让所有人轻松面对密钥和设备管理这样既昂贵又耗时的挑战。详情可以参考《SafeNet Luna HSM的M of N说明》

SafeNet Luna HSM远程管理优势

SafeNet Luna HSM在设计之初，就考虑到人机分离的业务场景，无论是PCIe（板卡）型还是Network（网络型）的HSM，均有远程管理的能力，以及配套了安全的、被认证、满足合规要求的客户端和服务端软件。点到点的授信机制，以及内置于HSM的安全密钥，确保外部非授信人员无法访问HSM。

HSM的最为重要的功能，就是确保HSM内部的密钥安全。SafeNet Luna HSM的多级管理身份，是对权责分离的最佳实现。例如：Security Officer拥有HSM的管理权限，但无法对Partion中的Key进行使用。

当PEK Key插入PED设备后，还需要输入PED Key对应的PIN，才可以实现完整的授权或操作。

PED Key的最佳实践

• 备用PED keys-最好在场外以增强弹性。

• 在角色初始化期间或之后，可以复制出相同角色的PED Key

• 始终将PIN分配给PED key

• 不要在主要保管人之间共享PIN

• 如果写下来，请按照您的安全策略安全地存储

• 如果可能，实施“ M of N”

• 控制对红色 key的访问（克隆域）

• 限制任何加密对象的移动

SafeNet Luna HSM克服了HSM管理带来的挑战，使您的团队可以专注于以最具成本效益和最有效的方式推动业务发展。无论您是为全球性大流行做准备，还是只是寻找新的方式来扩展业务，远程管理都可以为您提供全天候访问设备和密钥的功能，从而帮助您克服任何干扰。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• SK Telecom与Thales合作开发后量子密码学

• Luna HSM v7.8.4 和 Luna HSM Universal Client v10.7 现已推出

• 勒索软件制裁：有什么影响？

• 不断变化的数据保护法规表明为什么企业必须将隐私置于核心位置

• Thales提前完成收购Imperva交易