什么是硬件安全模块 (HSM)?
硬件安全模块 (HSM) 是强化的、防篡改的硬件设备,可通过生成、保护和管理用于加密和解密数据以及创建数字签名和证书的密钥来保护加密过程。
HSM 经过测试、验证和认证,符合最高安全标准,包括 FIPS 140-2 和通用标准。Entrust 是全球领先的 HSM 提供商,拥有 nShield 通用 HSM 产品系列。
HSM 使组织能够:
- 满足并超过既定的和新出现的网络安全监管标准,包括《通用数据保护条例》、eIDAS、支付卡行业数据安全标准、《健康保险携带和责任法案》等
- 实现更高级别的数据安全和信任
- 保持高服务级别和业务敏捷性
什么是 HSM 即服务或云端 HSM?
HSM 即服务是一种基于订阅的产品,客户可以使用云中的硬件安全模块,以与敏感数据分开的形式来生成、访问和保护他们的加密密钥材料。该服务产品通常提供与本地部署相同级别的保护,同时实现了更大的灵活性。客户可以将资本支出转移到运营支出,使他们能够在需要时只为所需的服务付费。
nShield 即服务 使用专用的 FIPS 140-2 3 级认证的 nShield HSM。该产品提供与本地 nShield HSM 相同的全套特性和功能,并具有云服务部署的优势。这使客户能够实现其云优先目标,或混合部署本地和即服务 HSM,并由 Entrust 的专家对即服务设备进行维护。
为什么要使用 HSM?
如果加密和数字签名等加密操作使用的私钥没有得到很好的保护,那么这些操作就毫无价值。 如今,攻击者在定位存储或正在使用的私钥的能力方面变得更加老练。 HSM 是保护私钥和相关加密操作的黄金标准,强制执行使用组织为有权访问这些密钥的用户和应用程序定义的策略。
HSM 可与许多不同类型的执行加密或数字签名的应用程序一起使用。 下图显示了 2022 年 Ponemon 全球加密趋势研究报告中的 HSM 主要用例。
未来 12 个月如何部署或计划部署 HSM
详细了解为何要使用 HSM
什么是信任根?
信任根 (Root of Trust) 是在加密系统中始终可以信任的源。硬件信任根和软件信任根组件本质上是可信的,这意味着它们本质上必须是安全的。 最安全的信任根实现通常包括硬件安全模型 (HSM),该模型可以生成和保护密钥,并在安全环境中执行加密功能。
HSM 有什么价值?
HSM 增强并扩展了各种执行加密和数字签名的应用程序的安全性。 下表描述了 HSM 在一系列常见用例中的附加价值。
用例 | HSM 对用例的价值 |
云和容器/Kubernetes | 保持对云中密钥和数据的控制;确保容器化应用程序的安全 |
公共密钥基础建设 (PKI) | 保护关键 PKI 根和 CA 签名密钥 |
特权访问和机密管理 | 应对内部威胁,简化 DevOps 对密钥的访问 |
加密和令牌化 | 增强对传输和存储中数据的加密密钥保护 |
密钥管理 | 跨多个云和应用程序强制执行密钥管理策略 |
数字签名和代码签名 | 保护密钥,确保软件完整性,支持具有法律约束力的交易 |
TLS/SSL 应用程序(ADC、防火墙等) | 保护主 TLS/SSL 加密密钥 |
身份和身份验证 | 创建可信身份凭证 |
支付 | 保护创建和签署支付凭证的密钥 |
什么是随机数生成?
随机数生成 (RNG) 是指由算法或设备创建的随机数。 使用经过认证的随机数源来创建加密密钥非常重要,这对于基于软件的系统来说是一个具有挑战性的问题。
当随机数发生器的熵源来自基于软件的测量时,无法保证熵不可预测或能受到影响。 HSM 为其 RNG 使用基于硬件的熵源,经过验证,可在所有正常运行条件下提供良好的熵源。
这对于像 BYOK(自带密钥)这样的用例非常重要,因为 BYOK 允许用户创建和管理上传到云服务提供商的密钥。