随着业务的增长,数据泄露或被盗的威胁也随之增加。为了解决这些风险,生产了软件方法和硬件设备来保护网络、系统和数据。HSM是专用设备,结合了逻辑保护机制和物理保护机制,旨在提供单独的安全操作环境,在此环境中,机密信息或敏感信息可以得到处理,而不会遭受暴露。
HSM的好处包括对加密密钥生命周期的强大保护、加速的加密操作、多因素身份验证以及对依赖于逻辑或直接访问硬件的旁通道攻击的抵抗力。使用HSM来防止数据泄露或盗窃的风险,可以提高安全性和性能效率
HSM是确保数据和业务应用程序安全的关键安全组件。在某些行业和特定用例中,必须使用HSM。可能的情况是,在还不是强制性的情况下,在可以使用HSM的地方使用HSM仍然是最佳实践。
由于它们是具有高速密码运算功能的专用硬件模块,因此各种服务和应用程序通过HSMaaS(HSM即服务)模型使用单个HSM或HSM群集(由单个服务器应用程序管理)。公司级基于云和网络连接的HSM被大量的客户端/租户使用,因此需要具有允许多租户的能力。
多租户HSM体系结构可以提供以下优点,但也可能会遇到某些缺点:
专用的安全设置:每个租户及其对应的数据均根据其配置,策略和职责委派进行安全,独立的管理。
最先进的性能:具有多租户支持的HSM体系结构可以部署并合并最先进的专业HSM设备,并且租户可以轻松地将基于复杂计算的加密操作卸载给HSM,从而改善整体系统性能。它们还集成了对算法,缓存,多线程和可能的性能优化技术的硬件嵌入式支持,以实现性能。。
业务效率:HSMaaS体系结构提供程序可确保HA(高可用性)和负载平衡功能,因此租户可享受加速的性能以及顺畅的连接性,从而确保业务连续性。
易于集成和管理:标准的多租户HSM架构支持通过集中式管理界面管理的快速应用程序集成和部署。与业务应用程序的集成是通过几乎所有操作系统和开发平台上支持的基于通用标准的API来实现的。HSMaaS的当前实现(第一代和第二代)使用单个专用设备和快速切换-即,HSM池或场是多租户,但每个HSM都是一次驻留
更少的部署和集成成本:即使在您自己的数据中心中,HSM部署也结合了逻辑保护以及物理保护(例如锁,警报和安全摄像机等)以及管理所有这些东西的人力。具有多租户支持的安全HSM架构可以提供相同的服务,并且租户不必承担所有部署成本。
入侵检测/警告和审计机制:由于多租户HSM体系结构为大量租户提供服务,因此存在更多违反安全性和威胁的机会。多租户HSM体系结构必须包含安全性控件,以检测有关入侵和未经授权的访问尝试或滥用的检测并向其发出警报机制。体系结构的管理员可以查看访问日志以进行验证。
标准和法律合规性:客户始终选择拥有国际认证的供应商,例如FIPS 140-2(3级或更高级别)和通用标准,这些标准使卖方/卖方可以信任对安全设备进行了安全漏洞和漏洞的正式测试。经过认证的HSM架构可确保安全,加速的加密操作以及法规/法律合规性。
多租户HSM架构面临的挑战可以列举为:
大规模专用数据安全性:大量租户的密钥管理机制由单个多租户HSM体系结构处理。这些架构要安全地管理每个租户的密钥,数据和安全策略,这是一个巨大的挑战。必须正确执行基于角色的策略以实现数据可访问性。实施NIST和其他标准推荐的数据保护方法和机制是一项巨大的挑战。
正确实施身份验证机制:多租户HSM体系结构必须包含严格且可强制执行的身份验证机制,以便每个租户在身份验证后仅获得系统使用授权。白名单或授权访问模式仅应被允许访问系统。
系统效率:客户端利用多租户HSM架构来减轻费时且复杂的加密操作以及密钥或关联数据的管理。租户可能包括各种银行和支付系统,这些系统无法承受会导致业务损失的延迟和性能问题。对于这些系统而言,在安全地为大量租户提供服务的同时实现可接受的性能是一个巨大的挑战。
威胁检测和审核管理:由于多租户HSM体系结构是所有租户的密码数据保管人,因此必须存在高级日志记录,警报和审核机制。授权用户所需的访问权限模式;-不应授予所有未经授权访问的模式访问权限,并应正确记录尝试尝试以进行进一步分析。这种方法的进一步发展是与知名SEIM解决方案(例如QRadar和ArcSight等)集成。
可负担的成本:对于多租户HSM架构,所有权成本(采购、部署和管理)由服务提供商承担。租户只需支付使用费,即可享受企业级HSMaaS服务的好处。HSMaaS提供商收取的价格与为在商业市场上竞争而提供的功能集之间应该保持平衡。
数十年来,在与支付相关的应用程序中,必须将HSM用于业务应用程序的安全性。随着违规数量和成本的上升,许多CISO正在重新考虑其安全架构-包括HSM。因此,违反和。多租户HSM体系结构变得越来越流行,但仍然存在许多缺陷和安全风险。
联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:
数据库访问控制:揽阁LGPAC系统
通用HSM:Luna HSM、ProtectServer HSM
支付HSM:payShield 10K
您还可以得到揽阁信息所提供的优质服务。
揽阁信息 · 值得您信赖的信息安全顾问!