Organizacje świadome zagrożeń jakie niesie ze sobą cyfrowa przestrzeń szukają sposobu na zabezpieczenie danych. Coraz więcej firm decyduje się na rozwiązania kryptograficzne. HSM ( pełna nazwa to Hardware Security Module, a w naszym rodzimym języku Sprzętowy Moduł Bezpieczeństwa), staje się coraz popularniejszym sposobem ochrony danych z kilku powodów.
Czym jest HSM?
HSM to sprzętowy moduł bezpieczeństwa do zabezpieczenia najważniejszych danych serwerów oraz aplikacji. Umożliwia generowanie i przechowywanie kluczy kryptograficznych w chronionym, odizolowanym środowisku, co w konsekwencji pozwala na szyfrowanie kryptograficzne. Obejmuje on oprogramowanie integracyjne, które obsługuje standardy branżowe (np. PKCS#11, Microsoft CSP/CNG, JCE, OpenSSL). Dzięki temu urządzenia te charakteryzują się:
- najwyższym poziomem bezpieczeństwa – zapewniają niezawodną ochronę fizyczną i logiczną materiału kryptograficznego,
- najwyższą wydajnością działania,
- prostotą wdrożenia – zarówno w nowej, jak i w istniejącej infrastrukturze.
Jakie platformy sprzętowe można “uzbroić” w HSM?
Dzięki modułowej budowie systemu, urządzenia te działają na wszystkich platformach sprzętowych – od kart PCIe po dedykowane urządzenia typu appliance, które wszystko posiadają w sobie. Istnieje szereg możliwości w kwestii wyboru odpowiedniego urządzenia.
Urządzenia PCIe są przewidziane do wykorzystania w autonomicznych serwerach i urządzeniach w istniejącej już infrastrukturze IT bez potrzeby jej modyfikacji. Oferują najlepszy stosunek ceny do efektywności i zapewniają mniejsze wykorzystanie zasobów serwerów. Umożliwiają zdalną administrację i oprócz bezpiecznego zarządzania kluczami są w stanie wykryć sabotaż.
Serwer LAN HSM znajdzie zastosowanie tam, gdzie zalecane jest fizyczne odseparowanie modułu szyfrującego od reszty infrastruktury sprzętowej. Urządzenia te są w pełni skalowalne i dają możliwość klastrowania oraz równoległego dostępu z wielu urządzeń w sieci. Poza tym charakteryzują się rozbudowaną zdalną konfiguracją i zdolnością do wykrycia sabotażu.
Hardware Security Module i szyfrowanie kryptograficzne wykorzystywane są wszędzie tam, gdzie trzeba:
- Podnieść bezpieczeństwo cyfrowych informacji – funkcje jakie zapewnia, to m. in. ochrona zasobów, podwojona kontrola, bezpieczeństwo pierwszego kontaktu i szyfrowanie baz danych
- Usprawnić procesy: tu niezwykle przydatne są funkcje takie jak: weryfikacja zgodności kluczy, szybki czas wdrożenia, szyfrowanie i deszyfrowanie danych kluczami kryptograficznymi,
- Zarządzać operacjami kryptograficznymi: HSM pozwala na tworzenie struktury uprawnień, tworzenie kluczy prywatnych/publicznych – stosownie do algorytmu, współpracę z aplikacjami poprzez ustandaryzowane interfejsy, generowanie cyfrowych certyfikatów, wydawanie i akceptowanie wniosków o kluczowe dane, posiada miejsce na kilkaset kluczy. Dzięki tym funkcjom umożliwia szyfrowanie kryptograficzne.
Kiedy warto skorzystać z kryptografii?
HSM nie jest rozwiązaniem niezbędnym w każdej organizacji. Wybór sprzętowego modułu bezpieczeństwa, który zapewni szyfrowanie kryptograficzne powinien być podyktowany ilością i istotnością danych, do których dostęp należy ograniczać.
Analiza zasobów informacyjnych organizacji jest jednym z filarów cyberbezpieczeństwa. Jeśli organizacja dysponuje dużą ilością danych wrażliwych lub danymi o kluczowym znaczeniu, dostęp do nich powinien być ograniczony.
Nie mam tu na myśli jedynie zewnętrznego dostępu. Ograniczenia dostępu do danych kluczowych warto wprowadzić również wewnątrz organizacji. Zabezpieczenia sprzętowe znacząco przy tym pomagają i są bardziej odporne na złamanie niż systemowe ograniczenia, choć te z pewnością też rozwiązują problem powszechnej dostępności informacji.
Hardware Security Module często stosuje się do przechowywania materiału kryptograficznego (kluczy), które wykorzystywane są do szyfrowania danych cyfrowych w procesach i transakcjach biznesowych. Kluczy szyfrujących używa się m. in. do:
- zabezpieczenia cyfrowego dokumentów elektronicznych w urzędach i instytucjach,
- zarządzania kluczami dostępu i bezpieczeństwem w ramach wymiany danych,
- bezpiecznego generowania kluczy do szyfrowania transakcji w Internecie,
- przechowania tych kluczy w sposób uniemożliwiający ich kopiowanie i przenoszenie,
- umożliwienie kontroli nad poufnymi danymi kryptograficznymi.
Wydajność i skalowalność HSM
HSM to wydajne rozwiązanie, które zapewnia sprawną pracę i możliwość skalowania infrastruktury, co z kolei pozwala organizacjom obsługiwać duże ilości danych i transakcji kryptograficznych. Ma to szczególne znaczenie np. przy zabezpieczaniu danych płatniczych w handlu elektronicznym.
Coraz więcej standardów nakłada na organizacje obowiązek ochrony danych, np. PCI DSS, HIPAA czy GDPR. Szyfrowanie danych przy pomocy HSM pomaga organizacjom spełniać te wymagania. Rozwiązania, które w Perceptus oferujemy naszym klientom gwarantują najwyższy poziom zabezpieczenia danych wrażliwych w chronionym, odizolowanym środowisku. Dowodem tego są certyfikaty z USA FIPS 140-2 Level 3 oraz Level 4 i europejski certyfikat eIDAS Common Criteria EAL4+.
Jak dokładnie działa szyfrowanie kryptograficzne przy użyciu HSM?
Szyfrowanie z wykorzystaniem HSM opiera się na następujących czynnościach:
Generowanie kluczy kryptograficznych
HSM generuje klucze o wysokiej entropii, co oznacza, że są one trudne do odgadnięcia przez potencjalnego atakującego. Klucze te są przechowywane wewnątrz HSM i są dostępne tylko dla upoważnionych użytkowników, posiadających odpowiednie uprawnienia zapisane na dedykowanej karcie inteligentnej.
Przechowywanie kluczy kryptograficznych
Dostęp do kluczy jest ściśle kontrolowany i wymaga autoryzacji, za pomocą jednego bądź dwóch składników autoryzacji.
Szyfrowanie danych
Aby zaszyfrować dane, użytkownik lub aplikacja musi zwrócić się do HSM z prośbą o wykorzystanie odpowiedniego klucza kryptograficznego do szyfrowania danych.
HSM wykonuje operację szyfrowania, używając klucza, który jest przechowywany wewnątrz urządzenia.
Deszyfracja danych
Aby odczytać zaszyfrowane dane, użytkownik lub aplikacja musi również zwrócić się do HSM z prośbą o wykorzystanie odpowiedniego klucza kryptograficznego do deszyfrowania danych.
Kontrola dostępu do kluczy kryptograficznych
HSM zapewnia również kontrolę dostępu do kluczy kryptograficznych i operacji szyfrowania/deszyfrowania. Tylko upoważnieni użytkownicy lub aplikacje mają dostęp do kluczy i mogą wykonywać operacje kryptograficzne.
Monitorowanie prób uzyskania dostępu
HSM natywnie rejestruje operacje związane z kluczami i kryptografią, co umożliwia identyfikowanie prób nieautoryzowanego dostępu, ataków lub nadmiernego użycia.
Chcesz wdrożyć HSM w swojej infrastrukturze? Porozmawiajmy!
Artykuł pierwotnie opublikowano w SecurityMagazine.pl 12(21) 2023 – pełne wydanie zawierające ten tekst i wiele innych treści dotyczących cyberbezpieczeństwa znajdziesz klikając w ten link.