虽然向移动员工远程交付应用程序对于企业成功至关重要，但它增加了数据盗窃和网络攻击的机会。 为了保护他们的业务，组织越来越多地转向解决方案，使他们能够检测和阻止穿过其网络的潜在有害的 TLS/SSL（传输层安全/安全套接字层）加密流量。 实施可以减轻恶意 SSL 流量造成的威胁的防火墙可能是有效的，但实施改变了 SSL 传统上依赖的信任层次结构。

Palo Alto Networks 下一代防火墙 (NGFW) 使企业能够保护、识别、控制和检查 SSL 和 SSH（安全外壳）加密流量，以防止数据损坏、盗窃和未经授权的数据传输。 当与 Palo Alto Networks NGFW 集成时，Luna Network HSM (Hardware Security Module/硬件安全模块/加密机) 充当信任锚，有助于保护 SSL 通信的完整性。

解决方案：适用于 Palo Alto Networks NGFW 的 Luna HSM

Luna HSM 与 Palo Alto Networks NGFW 集成，为 SSL 加密中使用的密钥提供逻辑和物理保护。 专用 HSM 管理 SSL 转发代理和 SSL 入站检查的证书签名功能以及主密钥存储功能。 Luna HSM 还在加密密钥的整个生命周期（从密钥创建到存储、部署到销毁）保护加密密钥。 当需要对证书颁发机构 (CA) 密钥进行 FIPS 140-2 Level 3保护时，通常需要 HSM 支持。

Palo Alto Networks NGFW

Palo Alto Networks NGFW 使用在数千个客户部署中生成的情报来检测已知和未知的威胁，包括加密流量中的威胁。 这意味着它们可以降低风险并防止广泛的攻击。 例如，它们使用户能够根据业务需求访问数据和应用程序。 当流量被解密和检查时，流量被绑定到特定用户。 该信息以及流量、应用程序和相关内容的上下文用于根据定义的安全策略做出交付决策。 策略允许管理员选择哪些流量被解密，哪些流量保持安全和合规，从而免除人力资源和财务运营以保持监管合规性。 结合使用这些功能，企业可以专注于业务运营，而无需牺牲整体企业安全性。

Thales Luna Network HSM

Thales Luna Network HSM 是强大、高可用性和高性能的网络设备，可将加密材料（例如证书、加密密钥等）存储在安全的 FIPS 140-2 Level 3防篡改硬件设备中。 将这些材料存储在硬件中可以使它们免受伤害，并确保只有授权管理员才能访问重要的加密密钥。 单个 Luna HSM 可以管理密钥并加速操作，从而显着提高加密性能的可靠性、安全性和规模。 通过 Luna Network HSM 作为安全基础设施的可信根，管理员可以确保其加密操作的完整性。

方案主要优点

高性能处理

Luna Network HSM 每秒能够处理多达 10,000 个 RSA 和 22,000 个 ECC 事务。 高处理速度允许管理员卸载加密功能以提高服务器性能。

满足合规标准的强大安全性

Luna HSM 提供最高级别的防篡改安全性，并经过验证符合 FIPS 140-2 Level 3和通用标准CC EAL 4+ (AVA_VAN.5)标准。

下一代数据安全

Palo Alto Networks NGFW 在 Luna HSM 中创建、存储、处理和加密密钥和数据。 Luna HSM 独立于 Palo Alto Networks NGFW，提供最强大的加密算法和硬件密钥管理来保护数字身份。

多级访问控制

Luna HSM 提供用于签名/密钥管理的分区。 远程备份功能允许管理员将敏感加密材料的副本安全地移动到 Luna Backup HSM。

方案主要特征

强大的安全性

Luna HSM 保护 Palo Alto Networks NGFW 平台使用的私钥和相关证书，以对 SSL 操作中涉及的端点进行身份验证。 当 Palo Alto Networks NGFW 平台解密 SSL 流量以检查威胁活动时，它会改变信任层次结构。 Luna HSM 作为信任根，可确保网络流量在解密、审查和重新加密时的完整性。 SSL 加密所必需的私钥永远不会离开硬件设备，从而使未经授权的用户无法窃取解密安全流量所需的密钥或伪装成网络服务器。 除了保护密钥的逻辑安全性之外，该设备的防篡改设计还提供了重要的物理安全性。

集中管理和运营

Palo Alto Networks NGFW 允许多种管理选项，从单独使用命令行界面到使用 Web 界面进行基于设备/组的管理。 Palo Alto Networks NGFW 集中了策略、报告、可见性和日志记录功能，以减少管理开销。 Luna HSM 可以集群为高可用性配置，并作为一个单元进行管理。 此外，Luna HSM 可以执行多种操作，例如密钥生成、导出和根功能，而企业通常需要多个设备或解决方案来管理 PKI 基础设施。

日志记录和可审核性功能

Luna Network HSM 将经过验证的硬件密钥管理与严格的日志记录功能相结合，提供不可否认的访问和加密密钥使用审计记录。 独立的管理角色和灵活的安全策略管理使安全团队能够保持对加密密钥管理的严格控制。 了解谁在访问 SSL Visibility Appliance 的私钥并能够轻松展示详细的日志记录，可以使安全团队更轻松地报告审核。

分区以轻松扩展

Luna Network HSM 可以分为一百个加密隔离的分区，每个分区都充当独立的 HSM。 分区提供了巨大的可扩展性和灵活性，因为单个 HSM 可以充当信任根，可保护100个依赖的 Palo Alto Networks NGFW 的加密密钥生命周期。

此外，分区旨在保护设备上其他租户的密钥材料，这意味着不同的业务部门可以利用同一设备，而不必担心将密钥丢失给其他租户。 拥有大规模 Palo Alto Networks NGFW 部署的企业可以使用 Luna HSM 作为一种经济高效的硬件密钥存储解决方案。

产品集成列表

Palo Alto Networks 下一代防火墙平台包括：

• PA-3000 系列

• PA-3200 系列

• PA-5000 系列

• PA-5200 系列

• PA-7000 系列

• VM 系列防火墙

• Panorama 管理服务器（虚拟和 M 系列设备）

欢迎联系揽阁信息，获取Thales Luna Network HSM的更多资料和信息。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• Thales（泰雷兹）区块链安全解决方案

• Thales和Quantinuum加强针对量子计算攻击的防护

• Thales+Imperva：提供下一代数据安全

• Thales ProtectServer 3 HSM – PTK 7.2.3/FW 7.02.03 现已推出

• SK Telecom与Thales合作开发后量子密码学