Взрывной рост объема данных и количества информационных сред привели к тому, что сегодня организации стали особенно уязвимы в плане утечек данных, что может оказать сильнейшее воздействие на базовые показатели и репутацию компании. В этих условиях криптография становится основой множества решений по защите конфиденциальности и целостности критически важных данных. В фокус попадает благонадежность криптографических операций и процессов управления ключами шифрования. В конечном итоге оказывается, что важная бизнес-информация и персональные данные защищены настолько, насколько обеспечивается безопасность ключей шифрования и процессов, их обрабатывающих.
Для решения этой задачи компания Thales разработала специализированные аппаратные модули безопасности (hardware security modules, HSM) для защищенного хранения, управления и использования ключей шифрования внутри устойчивой к взлому безопасной среды. Эти модули обеспечивают наивысший уровень безопасности, которого невозможно достичь с помощью программных средств. Это утверждение подтверждается докладом «Что аудиторы думают о криптографических технологиях» Института Ponemon (США), одного из наиболее авторитетных исследовательских центров в области информационной безопасности. Доклад подготовлен по результатам глобального исследования, проведенного в 2010 г. 68% аудиторов считают, что использование аппаратных модулей безопасности для шифрования и управления ключами сокращает время на аудит соответствия требованиям защиты данных. Более того, 79% аудиторов рекомендуют использовать аппаратные модули безопасности вместо программных решений.
Помимо применения модулей HSM в обязательном порядке в компаниях должны применяться соответствующие политики и регламенты работы. Яркий пример того, что может произойти в случае недостаточного внимания к защите инфраструктуры ключей шифрования, — известный случай взлома голландского центра сертификации DigiNotar в 2011 г. и последовавшая кража большого количества учетных данных с использованием поддельных сертификатов крупнейших интернет-сервисов, таких как Google, Yahoo!, Mozilla и других. На следующий день после обнаружения взлома исполнительный директор VASCO Data Security International, Inc., ранее купившей этот центр, заявил: «Мы уверены, что сертификаты DigiNotar одни из самых надежных в отрасли». Однако он ошибся — масштаб инцидента оказался для компании фатальным, и два месяца спустя она заявила о банкротстве и впоследствии была ликвидирована.
Упрощенно аппаратный модуль безопасности можно представить как «криптографический сейф», в котором ключи шифрования и производимые с ними операции скрыты и защищены от посторонних глаз. К работе аппаратных модулей безопасности предъявляются те же требования доступности, масштабируемости и отказоустойчивости, что и к обычной ИТ-инфраструктуре. Простая изоляция ключей шифрования также гарантирует безопасность, но ценой операционной гибкости, производительности и возможности управления. Задача в том, чтобы обеспечить вполне определённый уровень безопасности, который можно удостоверить (и при этом легко интегрировать и развернуть с помощью общепринятых операционных практик) и который мог бы эволюционировать в соответствии с потребностями организации. Эта задача решена в архитектуре управления ключами Thales Security World, его эффективность была доказана на практике.
Архитектура Thales Security World формирует специализированное окружение для управления ключами шифрования, которое может простираться на всё семейство аппаратных модулей безопасности общего назначения Thales nShield. Эта архитектура реализует интерфейсы администратора и пользователя и обеспечивает возможность взаимодействия как с одним, так и с сотнями устройств, независимо от их типа: высокопроизводительные совместно используемые сетевые модули, встраиваемые в серверы карты или подключаемые по USB портативные устройства. Thales Security World устраняет ограничения и связанные с ними затраты на управление, что обусловлено упрощенным представлением концепции HSM как изолированного и закрытого сейфа. Если взглянуть шире, Thales Security World позволяет использовать модули HSM с большой степенью гибкости и в любых сочетаниях в соответствии с требованиями, предъявляемыми к безопасности, операционными и бюджетными ограничениями организации.
Архитектура Thales реализует бизнес-ориентированную методологию для безопасного управления и использования ключей шифрования в реальных ИТ-окружениях. Она используется тысячами клиентов уже более десяти лет и прошла множество международных сертификаций. Security World минимизирует потребность компании в специалистах и ресурсах информационной безопасности, используя существующие процессы управления, что сокращает стоимость владения решением.
Thales Security World позволяет спроектировать всеобъемлющую систему безопасности, которая реализует политики и управляет созданием, использованием и, в случае необходимости, восстановлением ключевого материала — и всё это в рамках сертифицированного, взломоустойчивого окружения из одного или более модулей HSM nShield.
У системных архитекторов есть выбор между двумя разными, но одинаково безопасными операционными моделями работы модулей nShield. Первый подход — это традиционная модель, при которой HSM управляется как отдельное устройство, в нем обрабатываются и хранятся все ключи шифрования. Второй подход позволяет управлять и защищать ключи шифрования в кластере модулей. Большинство компаний на практике предпочитают именно эту распределенную модель.
Чтобы ее реализовать, архитектура Security World используется для расширения логических границ безопасности. В пределах этих границ ключи шифрования можно использовать и передавать между неограниченным количеством модулей HSM. Очень важно, что многие операции с ключами могут безопасно проводиться без прямого доступа к модулям, и это существенно сокращает операционные затраты, не снижая уровень защищенности.
Чтобы оценить эффективность и гибкость данного подхода, можно рассмотреть модели доверия и управления, которые традиционно используются при работе с аппаратными модулями безопасности. Модули HSM применяются в основном для создания «доверенного слоя», где надежно хранится и используется ключевой материал, а также выполняются криптографические операции. Доверенный слой необходим, потому что программное окружение, в котором выполняются приложения, принципиально не может обеспечить достаточный уровень защиты. Модули HSM применяются прежде всего для повышения уровня безопасности наиболее ценных и подлежащих аудиторским проверкам данных и процессов.
В то же время HSM — специализированные устройства безопасности, администрирование которых требует относительно высокого уровня квалификации. Все процессы управления тщательно регламентируются и отслеживаются, хотя во многом по своей природе являются скорее «ритуальными», что повышает операционные расходы и замедляет время реакции на различные ситуации по сравнению с программными решениями, обеспечивающими менее надежную защиту. Задача архитектуры Thales Security World минимизировать это влияние без ущерба для безопасности.
Продукты Thales e-Security
Зарекомендовали себя. Продукты Thales e-Security ежедневно используются тысячами компаний на протяжении десятилетий.
Лидируют на рынке. На сегодняшний день аппаратные модули безопасности обеспечивают защиту 80% мирового объема платежных транзакций.
Статья на правах рекламы