021-54410609
什么是硬件安全模块?
硬件安全模块 (HSM)(国内名称叫加密机、密码机) 是专为保护加密密钥生命周期而设计的专用加密处理器。硬件安全模块通过在可靠且防篡改的设备中安全地管理、处理和保存加密密钥,已成为世界上具有最高安全意识的组织来保护加密基础设施的最信赖的起点。
所有HSM(无论是内部部署还是基于云)都应满足基本要求,例如:
加密材料的安全存储
安全的加密执行(密钥生成,管理等)
强大的职责分离
强大的逻辑数据和凭证隔离,特别是对多租户而言
认证的物理和逻辑安全机制
事件记录和审计机制报告
安全API以访问HSM(PKCS#11,RESTful等)
但是,并非所有HSM都是平等的。它们具有不同级别的功能,安全性,易用性等 - 所有这些都会对您的TCO产生连锁反应。
以下是您可能希望在优先级列表中占据重要位置的一些功能:
安全性:FIPS和Common Criteria等认证是检查设备安全性的最简单方法。但请记住,虽然认证意味着硬件符合特定标准,但并不一定能保证安全性。
考虑HSM供应商及其客户的声誉,以及他们对物理和逻辑安全性以及ISO27001和SOC2等认证的关注。
地理位置:合规性要求可能决定数据可以驻留的位置,以及如何共享数据,即使在组织内也是如此。
加密敏捷性:通常建议使用行业标准算法而非专有算法,但某些用例要求使用特定算法或算法系列。诸如NIST,ANSI工业板(如GSMA或ETSI)之类的组织可能会指定某些算法/接口。与您的供应商讨论他们对未来技术(如Quantum)的支持。
随机数生成(RNG):使用经过认证的随机数生成器可能是遵守某些法规或要求的因素,因此请检查供应商是否使用经过批准或认证的流程。
密钥备份:密钥材料的备份只应对具有HSM提供的所需安全级别的环境进行。管理远程备份或密钥材料复制的能力也是一个重要因素。
用户界面:大多数HSM管理都是通过命令行完成的,尽管“加密管理”界面通常也可用于促进活动。这要求大多数组织都不熟悉HSM,即使是拥有现场HSM团队来管理现有设备的大型组织也可能不会选择在需求发生变化时扩展其容量。
应用程序集成:选择具有多个经过验证的集成的供应商,随着IT运营的增长和合规性要求的变化,这些集成将为您提供良好的服务。
自动化:除了构建HSM基础架构,为了顺利部署和持续管理解决方案,建议找到一种服务,该服务至少提供部分流程的自动化,例如部署客户端,集成客户端和管理正在进行的更新。
密钥迁移:将现有密钥传输到新环境的能力对于维护应用程序的服务连续性非常重要。有些HSM现在可以提供简单的迁移功能。
除了这些技术“必备”之外,您还可能会发现考虑HSM用于的应用程序或用例是有益的。内部部署HSM更适合于大容量事务要求,其中云的延迟可能会限制性能和响应时间。但是,大多数企业的大多数用例应该能够从使用基于云的HSM服务中受益
然而,尽管如此,当然最重要的决策标准之一是为解决方案提供资金的可用性和/或成本。在过去两年中,金雅拓已经看到组织发现,通过前期投资来考虑长期总体拥有成本和平衡这一点越来越重要。对于许多小型企业甚至是部门/项目导向的要求,预算可用性在选择适当的解决方案时可能是一个非常重要的决策因素。这也适用于大型组织,例如一级银行,虽然他们拥有现场专业知识来管理现有的HSM,但可以考虑通过基于云的HSM服务扩展他们的选择,以便利用云的优势服务。
金雅拓是全球领先的通用硬件安全模块(HSM)供应商。我们的SafeNet HSM产品系列代表了当今市场上最高性能,最安全,最易于集成的HSM解决方案。现在,与基于云的即服务SafeNet Data Protection On Demand一起,它为您提供市场上,云端,内部或混合组合中的最佳HSM选择。
如需了解更多SafeNet HSM产品,欢迎您与我们揽阁信息联系。
查看Gemalto金雅拓公司的HSM产品:
揽阁信息可提供的部分安全产品和解决方案信息
联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:
-
数据库访问控制:揽阁LGPAC系统
-
通用HSM:Luna HSM、ProtectServer HSM
-
支付HSM:payShield 10K
您还可以得到揽阁信息所提供的优质服务。
揽阁信息 · 值得您信赖的信息安全顾问!
联系我们
免费试用留言
客服电话