데이터 보안 및 키 관리 - Thales e-Security

의 nShield 연결 XC 및 연결

nShield Connect

nShield Connect Series

nShield+ 모델 및
Connect XC

네트워크 접속형 HSM
FIPS_Common-기준

Connect+ 및 Connect XC 모델을 포함하는 nShield Connect 시리즈는 분산 애플리케이션 및 가상머신 환경을 위해 암호화 서비스를 공유 네트워크 자원을 통해 제공합니다. 탈레스 시큐리티 월드를 완벽히 지원하며, Connect 시리즈는 높은 보안성 및 운영 편의성의 이상적인 조합을 제공합니다. 따라서 듀얼컨트롤 등의 보안 정책 결정 및 실행을 쉽게 도와주며 위험 부담이 큰 관리 업무를 자동화 할 수 있습니다.

nShield Connect 시리즈는 nShield HSM 제품군 전체와 완벽히 호환되며, 기존 제품과의 혼용 운용 및 요구 성능 증대에 따른 확장이 쉽습니다. 다양한 요구를 만족하기 위해, nShield Connect는 최고의 타원 곡선 암호화(ECC) 처리 가속 능력을 지원하는 Connect XC를 포함하여 여러 성능 모델들을 가지고 있습니다. 또한, 고객의 강력하고 Mission-critical 한 커스텀 알고리즘을 HSM 경계 안에서 보호할 수 있도록 Connect XC 시리즈는 CodeSafe(nShield 고유의 실행시간 환경)를 제공합니다.

nShield Connect+는 140-2 Level 3인증을 획득하였으며, Connect XC모델은 FIPS-pending 상태입니다.


nShield Connect HSM의 특장점

    탄알 대량의 기업 트랜젝션 트래픽 지원 및 가속화

    탄알 HSM을 통해 실행 시간 환경에서 강력한 커스텀 애플리케이션들을 보호할 수 있습니다.

    탄알 보안 요구사항 증가에 따른 스케일링을 간편하게 할 수 있는 유연한 구조

   

nShield Connect 기능

보안 기능

nShield HSM 과 탈레스 Security World 구조는 여러 기술을 통합하여 다음과 같은 여러 계층의 보안 기능을 제공합니다.

물리적 보안

  • 암호화 프로세스와키를 응용 프로그램과 호스트 운영 체제에서 분리하여 고립시키고 엄격하게 관리되는 암호화 API를 통한접근 만을 허용하는 전용 장치.
  • CodeSafe 사용을 통해 보안에 민감한 응용 프로그램 코드 부분을 호스트 서버에서 HSM으로 옮겨와서 HSM의 물리적 보안으로 보호되는 위변조 방지 응용프로그램 "샌드박스"로 안전하게 실행할수 있는 옵션 기능.
  • 내부 회로를보호하기 위한 에폭시 포팅 및 장치에 대한 직접적인 무단 접근을 감지하는 보안 레이블 등의 대책이 적용 된 물리적 공격 방지 섀시.
  • 하드웨어 모니터링을 통해 공격 시도를 감지
  • nToken을 사용하는 클라이언트 인증기능은 허가되지 않은 사용자의 접근을 제한

논리적 보안

  • 스마트 카드를 사용하는 사용자 인증 기능은 보안 강도가 약하고 고통으로 자주 사용되는 패스워드 방식으로 부터 벗어날 수 있도록 합니다.
  • 응용 프로그램의 "수퍼 유저" 또는 루트 권한의 관리자가 광범위한권한을 갖게 되는 소프트웨어 기반 시스템과는 달리, 탈레스 Security World는 HSM 관리자와 HSM에서 보호하는 키의 사용을 승인하는 키 관리자 사이의 역할을 명확히 분리합니다.
  • 키 복구 등특히 신중하게 취급해야 작업을 수행하기 위해 일정 수의 인원을 요구하는 정족수 설정으로 작업에 여러 관리자 및 운영자를 요구하는 듀얼 컨트롤을지원합니다. 이러한 상호 감시 기법은 악의적인 내부자 위협을 최소화 합니다. 자유로운 구성 설정이 가능하며, HSM 내에서 엄격히 수행됩니다.
  • CodeSafe 의해 보호되는 응용 프로그램에 대해서 강력한 무결성 검증 및 정책 실행을 보장합니다. (옵션).

운영상의 특징

nShield 제품군 HSM과 Security World 키 관리 아키텍처는 여러 중요한 키 관리 작업을 자동화하고, 용량및 성능에 대한 제약을 제거하여 보안과 편리함을 동시에 제공합니다.

  • 기존 데이터백업, 복제 및 파일 공유 등의 방법을 이용하여 안전하고 자동화된 응용 프로그램 키의 공유, 배포 및 백업을 수행하는 강력한 기능을 통해 HSM의 실제 적용및 운용에 발생되는 여러 비용들을 최소화함으로써 HSM 설치 및 관리 작업을 크게 단순화.
  • 원격 관리는 HSM 관리자 및 운영자가 그들의 사무실에서 멀리 떨어진 곳에 설치되어 있는 HSM들을 관리할 수 있도록 하여 비용을 절감.
  • 다양한 애플리케이션및 시스템, 그리고 애플리케이션 선두 업체의 광범위한 사전 테스팅 프로그램을 지원하는 표준 API를 지원함으로써 도입 위험 부담을 최소화.
  • 암호화 처리의 가속 및 리소스 집약적인 작업의 오프로드를 통해 클라이언트 시스템의 전체적인 성능을 향상시킴.
  • 무제한의 키 저장 용량은 높은 확장성을 제공
  • 키 저장을 위한고가의 백업 전용 하드웨어 또는 키 백업 전용 HSM의 필요성을 없애는 백업 기술 제공
  • 두 개의 핫스왑전원 및 현장에서 교환 가능한 예비 팬을 포함하는 내결함성 섀시 설계.
  • 여러 HSM을 통합 구성하여 로드-밸런싱 및 장애 복구 기능을 통해 복원력 높은 네트워크를 구축 가능.

 

nShield Connect 옵션 및 액세서리


빠른 링크

개발자 소프트웨어 및 옵션

액세서리




개발자 소프트웨어 및 옵션

성능 평가

nShield는 다수 성과 이체에서 다음과 같이 유효하다 연결한다:

  • FIPS 팬딩되어 있는 XC 모형을 연결하십시오: XC 기초, XC 중앙, 그리고 XC 최고
  • FIPS 증명한 Connect+는 만든다: 500+, 1500+, 6000+

nShield를 연결한다 성과 자료를 위한 자료표를 상담하십시오.

클라이언트 라이센스

nShield Connect에는 3 개의 클라이언트 라이센스가 번들로 포함되어 있습니다. 추가 라이센스를 구입할 수 있습니다. 지원된 테이블에서 아래에 보여지는 것과 같이 클라이언트 면허의 최대 숫자는 곁에 연결한다 모형을 변화한다. 게다가, nTokens는 HSM 클라이언트 확인을 위한 유효한 부속품이다.

nShield는 테이블을 연결한다





CodeSafe

CodeSafe을 사용하면 응용 프로그램 개발자는 nShield HSM의보안 영역에 로드되는 프로그램을 작성하여 표준 서버 플랫폼에서 볼 수 있는 내부 관계자에 의한 공격, 악성코드, 트로이 목마 등의 위협에서 해당 프로그램을 보호 할 수 있습니다. CodeSafe는 "샌드 박스"라는 응용 프로그램을 제공합니다. 샌드 박스는 코드의 무결성을 검증하고 위변조 방지가 확보된 방법으로 실행을 허용하기 때문에 신뢰할 수 없는 영역에 배치된 애플리케이션에 적용하기에 이상적 입니다. CodeSafe는 개인 키와 비휘발성 사용자 메모리, 하드웨어에 의해 보호되는 시간 정보와 같은보안이 중요한 자원의 사용에 대해 세분화 된 접근 제어를 제공합니다. 샘플 애플리케이션으로는 디지털 미터, 인증 에이전트, 타임 스탬프 엔진,감사 로거, 디지털 서명 에이전트, 사용자 정의암호화 프로세스 등이 있습니다. CodeSafe는 nShield Edge를 제외하고 FIPS 140-2 Level 3 인증을 받은 모든 nShield HSM에서 사용할 수 있습니다.

CodeSafe

CipherTools 개발자 툴킷 

CipherTools 개발자 도구키트를사용하면 개발자는 HSM을 사용자 정의 응용 프로그램에 통합 할 때 nShield HSM 제품군이 제공하는 앞선 기능들을 충분히 활용할 수 있습니다. 이 개발자 도구키트는 자습서 및 참조 문서 류, 다양한 고급 언어로 작성된 예제 프로그램 및 비즈니스 응용 프로그램과의 통합을 위한 기능 확장 추가 라이브러리가 포함되어 있습니다. 이 추가적인 라이브러리는 표준 애플리케이션 프로그램인터페이스 (API)에 의해 실현 가능한 범위를 넘어설 수 있도록 해줍니다.

ECC(타원 곡선 암호 기술) 활성화

nShieldHSM은 표준 기능 세트의 일부로, AES, DSA ​​및 RSA를 포함하는 여러 가지 암호화 알고리즘을 제공합니다. 타원 곡선 암호 (ECC)를 사용하는 경우는 ECC 활성화 라이센스를 구입할 수 있습니다. 선택 활성화 면허는 nShield에 기계설비 낙관한 ECC 가동을 연결한다 HSMs를 가능하게 한다.

데이터베이스 보안 옵션 팩

대부분의 경우 데이터베이스에는 가장 신중하게 처리 되야 할 데이터가 저장되어 있습니다. 따라서 주요 데이터베이스 공급 업체들은 자사의 데이터베이스 서버 제품 내에 네이티브 암호화 기능을 구현하고 있습니다. nShield 데이터베이스보안 옵션 팩은 Microsoft 확장 키 관리 (ExtensibleKey Management : EKM) API를 추가적으로 지원합니다. 이 옵션 팩은투명한 데이터 암호화 기능(Transparent Data Encryption : TDE)을 이용하여 Microsoft SQL Server 2008 시스템에 있는 중요한 데이터 보호에 사용되는 키에 대한 보호를 강화할수 있으며 여러 데이터베이스 및 시스템에 분산되어 있는 키를 관리하고 키 관리 및 데이터베이스 관리 역할을 분리합니다. 자세한 정보 >>

payShield Cardholder Authentication for nShield

신용 카드 및온라인 뱅킹과 관련된 부정 행위를 방지하기 위해 많은 금융 기관이 비 대면 거래에 대한 추가적인 보안 대책을 구현하고 있습니다. .nShield 용 payShield 카드 소지자 인증 기능은 온라인 뱅킹 트랜잭션을 위한 Chip & PIN (CAP) 인증, 3-D Secure, "Verified by Visa","MasterCard SecureCode" 등 다양한 수단을 통해 카드 소지자 인증을 가능하게 함으로써 다른 탈레스 지불결제 제품을 보완합니다. 이 옵션은 ActivIdentity, Arcot, Bell ID 및 Gemalto를 포함한 카드 소지자 인증 솔루션과 통합 할 수 있습니다.

KCDSA 활성화

국가 안보와 관계가 깊은 정부 및 기업에서는 가장 신중하게 처리해야 할 정보를 보호하기 위해 자체 개발 한 국내용 암호화 알고리즘 사용을 선호합니다. 이러한 보안문제가 있으면 보안 HSM 플랫폼에서 이러한 알고리즘을 실행하는 것이 적합합니다. KCDSA Activation을 사용하면 한국의 여러 기관에서 nShield HSM에 KCDSA(Korean Certificate-based Digital Signature Algorithm)를 활용할 수 있습니다. 보호 된 HSM 플랫폼에서 그 나라 고유의 알고리즘을 구현하려는 경우에는 Thales의 CodeSafe 기술의 사용을 권장합니다.

액세서리

원격 관리 키트

원격 관리 기능은 귀하가 언제 어디서든지 애플리케이션을 추가하거나 펌웨어 업데이트, 상태 점검과 같은 HSM 관리 업무를 할 수 있도록 합니다. 원격 관리자 기능은 일반적인 HSM 관리를 위해 데이터 센터를 방문해야 하는 필요를 없앰으로써 비용을 절감하고 귀사의 자원을 최적화 시켜드립니다. 원격 관리는 다음과 같은 이점을 제공합니다:

  • 출장 비용 절감
  • 다운 타임을 감소
  • 스마트 카드를 떨어진 지역까지 운송할 때 수반되는 위험성을 제거

원격 관리 키트는 하나 이상의 신뢰된 검증 장치(TVDs)(안전한 커스텀 카드 리더기) 및 원격 관리 카드(스마트 카드), 클라이언트 소프트웨어를 포함합니다. 키트의 필요 수량 및 가격은 소유하고 있는 HSM 수에 따라 책정됩니다.

더욱 자세한 정보는 이곳을 통해 확인하실 수 있습니다.

nToken

nShield Connect HSM의 클라이언트 보안을 강화하고자 하는 조직은 PCI/PCIe 형태의 nToken을 사용하면 됩니다. nToken은 임의적인 접근을 방지하는 클라리언트 인증기능을 제공합니다. 탈레스는 개별 nTokens 뿐만 아니라 세개의 nTokens 번들 또한 제공합니다. PCI 종류는 full-height 이며, PCI Express 종류는 low-profile cards 입니다. nTokens은 가상 서버와 호환되지 않습니다.

Thales nToken

교체가능한 PSU(전원 공급 장치)

nShield Connect는 이중 핫 스왑 전원 공급 장치를 갖추고 있습니다. 탈레스 전원 공급 장치를 다운 타임없이 교체 할 수 있습니다.

교체 팬 트레이

nShield Connect에는 현장에서 교체 가능한 이중 팬이 장착되어 있습니다. 탈레스 교체 팬 트레이는 다운 타임없이 교체 할 수 있습니다.

키보드

nShield Connect의 ​​많은 기능은 장치 전면에 있는 터치 휠을 사용하여 쉽게 조작할 수 있지만, 운영자는 키보드를 사용하는 것을 좀 더 선호 할 수 있습니다. 탈레스는 옵션으로 USB 키보드를 제공합니다. 키보드는 일반적으로 몇 가지 작업에만 사용되기 때문에, 데이터 센터 사이트 마다 하나의 키보드 만으로도 충분합니다.

nShield Connect 6000 액세서리에는 슬라이드 레일, 스마트 카드 및 선택적인 USB 키보드가 포함됩니다.

슬라이드 레일

Thales는 19" 랙에 선반 없이 nShield Connect를 장착할 수 있도록 nShield Connect에 적합한 선택적 슬라이드 레일을 제공합니다. 이렇게 하면 하드웨어 설치가 보다 용이해지고 사용자가 서버 랙을 보다 밀도 있게 사용할 수 있습니다. 다른 제조업체의 부품이 호환되지 않을 수 있으므로 해당 슬라이드 레일을 사용하는 것이 좋습니다. 이 슬라이드 레일은 항상 쌍으로 판매됩니다. 즉 이 부품 코드의 장치 1개를 주문하면 2개의 슬라이드 레일이 제공되므로 1개의 nShield Connect 모듈을 장착하는 데 충분합니다.

호환성 개요

선택권 테이블
 

* 이러한 CodeSafe 응용 프로그램 중 오직 하나만 하나의 HSM에서 실행될 수 있습니다.

nShield Connect 사양

지원되는 암호화 알고리즘:

  • 대칭
    • AES(128, 192 및 256비트)
    • Aria(128, 192 및 256비트)
    • Camelia(128, 192 및 256비트)
    • Triple DES(112, 168비트)
  • 비대칭
    • RSA(1024, 2048, 4096, 8192비트)
    • Diffie-Hellman
    • DSA
    • ECC 제품군 B
  • 해싱
    • SHA-1, SHA-2 (224, 256, 384 및 512비트)

인증:

  • FIPS 140-2 Level 3(자세한 사항은 FIPS )
    • Connect XC는 FIPS-pending
  • Common Criteria EAL4+ (AVA_VAN.5)
    • 안전한 서명 창조 장치 (SSCDs)로 Thales nShield HSMs의 승인을 포함하여 Organismo di Certificazione della Sicurezza Informatica (OCSI) 이탈리아 증명서. eIDAS 기사 참조  51
  • UL, CE, FCC
  • RoHS, WEEE

지원되는 운영 체제:

  • Windows
  • Linux
  • 레드햇 엔터프라이즈 리눅스
  • Solaris
  • IBM AIX
  • HP-UX
  • VMware
  • Hyper-V
  • AIX LPARs

지원되는 API:

  • PKCS # 11
  • Open SSL
  • Java (JCE)
  • Microsoft CAPI 및 CNG
이러한 API를 활용하고 탈레스와 당사의 파트너 및 상호 고객에 의해 테스트를 완료한 응용 프로그램 목록은 다음과 같습니다.
  • Aconite Affina
  • ActivIdentity Card Management System, 4Tress, Validations Authority
  • Apache
  • Axway Validation Authority
  • Bell ID Token Manager, EMV Data Preparation
  • CA Application Performance Manager
  • CyberArk Digital Vault
  • EfficientIP SolidServer
  • Entrust Authority Security Manager
  • IBM Tivoli Access Manager, Websphere
  • Imperva SecureSphere
  • Infoblox IPAM Appliance
  • Insta Certifier Certificate Authority
  • Intercede MyID
  • ISC BIND
  • Lieberman Software Enterprise Random Password Manager
  • Keynectis OpenTrust PKI
  • McAfee Iron Mail, Web Gateway
  • Microsoft Active Directory Federated Services(ADFS), Active Directory Certificate Services(ADCS), Forefront Identity Manager(FIM), Internet Services Accelerator(ISA), Rights Management Services(RMS), Internet Information Services(IIS), BizTalk Server, Authenticode, Hyper-V, SQL Server, Mediaroom
  • nuBridges Protect
  • PingIdentity PingFederate
  • Prime Factors EncryptRIGHT
  • PrimeKey EJBCA
  • Protegrity Data Security Platform
  • Red Hat Certificate System
  • Riverbed Stingray
  • RSA Certificate Manager, Data Protection Manager
  • Totemo Trustmail
  • Vasco Vacman
  • Verisec Hnossa
  • Voltage SecureData

동작 환경

nShield는 환경을 연결한다

신뢰도

의 nShield 사양 

nShield Connect 데이터 시트

관련 제품

Powered by Translations.com GlobalLink OneLink Software