所面临的挑战

当今，保护IT数据环境的固有挑战是多方面的:

• 数据泄露的规律性和复杂性增加

• 数据隐私/合规要求(如FIPS、HIPAA、GDPR、PCI-DSS等)

• 成本控制

• 快速数字化转型

• 数据爆炸式增长

为了应对这些挑战，需要一种以数据为中心的解决方案，在敏感数据从端点通过网络转移到应用程序和云的过程中提供可靠的安全保护。通过经过验证的加密和集中的、可扩展的加密密钥管理的数据保护是保护的最后堡垒。幸运的是，泰利斯和戴尔技术公司的集成解决方案能够以较低的总拥有成本(TCO)提供全面的数据安全性，并在当今环境中实现兼容性。

解决方案

Dell EMC VxRail HCI系统使用行业标准的密钥管理互操作性协议(KMIP)，与Thales企业密钥管理(EKM)集成，在vSAN或VM级别上减轻未经授权访问加密数据的威胁(见下图1)。Thales EMK通过在加密设备和数据之外存储和管理密钥来提供安全性，从而保护密钥(以及数据)，即使存储系统受到损害。

图1 -Thales企业密钥管理解决方案和戴尔技术和第三方平台

Thales EKMS有两种部署方案可供选择

• 虚拟机级加密：(见图2)整个虚拟机的加密，包括容器内的所有文件。即使在移动和重新部署VM时，一切都是加密的。每个vCenter服务器需要一个KMIP许可证。Thales Luna HSM(硬件安全模块)维护信任根(RoT)安全，为每个虚拟机提供数据加密密钥对。比vSAN级加密具有更高的安全性。此部署选项不支持重复数据删除和压缩。

  

  图2：虚拟机级加密

  
  

• VMWare vSAN级加密：(如图3所示)vSAN中的每个虚拟磁盘都进行了加密，保护了所有静止数据。每个服务器需要一个KMIP许可证，每个ESXi服务器需要一个许可证。Luna HSM为每个虚拟磁盘提供安全的数据加密密钥对。此部署选项允许添加重复数据删除和压缩。

  

  图3：VMware vSAN级加密
  

此外，Thales EKM简化和集中加密密钥策略和管理，并通过以下方式实现法规遵从性:

• 基于角色的密钥和策略访问控制

• 多租户支持，最终实现职责分离

• 稳健的审计和报告所有密钥管理操作

• 信任的根安全可通过硬件安全模块(HSM)的组合，内部和外部模型，提供FIPS合规的1、2或3级别选项

• 在应用程序、文件、数据或数据库级别支持交互密钥加密。支持VM和Container内的数据

以较低的总拥有成本(TCO)进行安全保障

在Thales和Dell，密钥管理的成本被分配到多个设备中，使得昂贵的、具有不同功能和用户界面的专用点产品的高昂成本成为过去。无论数据存储在应用程序、数据库、文件、虚拟机(VMs)、容器或存储设备中，Thales EKMs通过跨多个加密部署和产品的集中管理和自动化操作，降低了密钥管理和加密的成本。Thales EKMs减少了集成和管理多个系统所需的额外人员和时间，最大限度地降低了复杂性、成本和导致有价值数据泄露的用户错误的机会。Thales EKM以一种中央的、自动化的、统一的和可重复的方式保护整个组织的数据，解放IT人员和预算，以应对下一个安全挑战和新的遵从性需求。

方案关键功能

• 集中密钥管理，拥有最大的合作伙伴生态系统。对多个本地数据存储和云基础设施进行集中密钥管理。

• 全密钥生命周期管理和策略驱动的自动化操作：简化加密密钥管理，策略驱动操作自动化，并产生自定义告警。

• 集中式管理和基于角色的访问控制:使用现有AD和LDAP凭据进行基于角色的访问控制。

• 强健的不可否认审计和报告(与流行的SIEM工具集成):以多种日志格式(RFC-5424、CEF、LEEF)跟踪所有关键状态更改、管理员访问和策略更改，方便与流行的SIEM工具集成。生成可自定义的基于电子邮件的警报。

• 高可用集群。支持对关键任务工作负载的高可用性。

• 多租户支持。非常适合具有分布式位置或服务提供商的大型组织。

• 高速绑定网卡可选配2x1GB/2x10GB网卡，可绑定网卡，增加可用带宽。

• 密码和PED认证：可选择密码或PIN输入设备(PED)认证

Thales EKMs可用版本

向了解更多信息，请随时与揽阁信息联系。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• SK Telecom与Thales合作开发后量子密码学

• 勒索软件制裁：有什么影响？

• 不断变化的数据保护法规表明为什么企业必须将隐私置于核心位置

• Thales提前完成收购Imperva交易

• Oracle的欧盟主权云和 Thales CipherTrust：数字主权的新时代