Thales DPoD — Data Protection On Demand

Thales Data Protection on Demand — это облачная платформа, предоставляющая широкий спектр облачных HSM и услуг управления ключами через онлайн-маркетплейс. Благодаря Data Protection on Demand (DPoD) безопасность становится экономичнее и проще в управлении, потому что нет необходимости в приобретении, настройке и развертывании оборудования.

Защита данных за считанные минуты.

Data Protection on Demand предоставляет широкий спектр криптографических услуг для защиты приложений и множество вариантов их использования.

Отсутствие высоких затрат

Data Protection on Demand поставляется в виде сервиса, не требует покупки оборудования или программного обеспечения. Расширение подписки возможно в соответствии с меняющимися потребностями бизнеса.

Защита данных в любой среде и соблюдение требований регуляторов.

Data Protection on Demand обеспечивает защиту конфиденциальных данных в любой среде — облачной, гибридной или локальной, помогает управлять политиками безопасности и удовлетворять требований регуляторов.

Централизованное управление ключами шифрования

Data Protection on Demand не зависит от типа используемого облака. Не важно используете ли вы Microsoft Azure, Google, IBM, Amazon Web Services или Salesforce, или комбинации облачных и on-premises решений ключи шифрования всегда будут под контролем.

Интеграция с облачными, гибридными и ИТ-сервисами

Data Protection on Demand поставляется с предварительно настроенными API, которые позволяют легко интегрировать Luna Cloud HSM и CipherTrust Key Management для защиты приложений и данных. Благодаря прозрачной миграции ключей между сервисами Luna Cloud HSM и локальными устройствами Luna HSM, Thales обеспечивает безопасность данных и ключей, независимо от того, где находятся данные, за счет поддержки интеграции HSM сторонних производителей, поддержки стандартных SDK и API, а также режим высокой доступности как для локальных устройств Luna, так и для служб DPoD.

Масштабируемость и гибкость

В соответствии с требованиями бизнеса можно легко увеличить или уменьшить производительность используемых HSM.

Особенности DPOD

• Отсутствие первоначальных вложений;
• Ценообразование облачного сервиса — выставление счетов только за использованные услуги;
• On-demand поставка;
• SLA — доступность 99,95%;
• Multi-tenant с полной сегментацией/разделением ключевых пространств каждого клиента;
• Централизованное управление;
• Автоматическое резервное копирование и аварийное переключение.

Применение Data Protection on Demand

Data Protection on Demand предоставляет широчайшие возможности по интеграции с приложениями безопасности в том числе благодаря поддержке стандартного интерфейса PKCS#11.

Сервисы Luna Cloud HSM

• 
  • HSM on Demand — служба Cloud HSM выступает в качестве надежного корня доверия для криптографических операций.
  HSM — это безопасный и надежный механизм, используемый для защиты криптографических ключей. Есть возможность использовать HSM для генерации и/или хранения криптографических ключей, устанавливая общий корень доверия для всех приложений и служб. Также возможно использование HSM для выполнения криптографических операций, таких как шифрование/расшифрование ключей, данных и защиты секретов (пароли, ключи SSH и т.д.).
• 
  • HSM on Demand для CyberArk — ключ шифрования верхнего уровня решения для обеспечения безопасности привилегированного доступа CyberArk в HSM.
  HSM on Demand для CyberArk обеспечивает хранение в HSM ключа шифрования верхнего уровня CyberArk Privileged Access Security Solution. HSM on Demand для CyberArk генерирует и хранит серверные ключи, предоставляя качетсвенную генерацию и защиту секретных ключей для системных ключей CyberArk Privileged Access Security Solution.
• 
  • HSM on Demand для цифровой подписи — цифровая подпись программного и firmware, а также электронных документов для обеспечения целостности.
  Цифровые подписи используются для подтверждения отправителя документов, авторства программного обеспечения и firmware, а также для подтверждения целостности подписанных данных. Компрометация ключей цифровой подписи позволяет злоумышленникам выдавать себя за автора и создавать свои собственные вредоносные обновления (вредоносные программы). Службы цифровой подписи DPoD защищают в HSM закрытые ключи, предназначенные для подписи приложений, и предотвращают взлом или кражу закрытых ключей.
• 
  • HSM on Demand для Hyperledger – обеспечивает доверие транзакциям блокчейна, выполняя необходимые криптографические операции в распределенной системе.
  HSM on Demand для Hyperledger хранит закрытые ключи, используемые участниками блокчейна Hyperledger для подписи всех транзакций, и гарантирует, что криптографические ключи не могут быть использованы неавторизованными устройствами или людьми для ряда приложений Hyperledger. HSM on Demand для Hyperledger предоставляет высокую степень безопасности в центрах обработки данных и в облаке, обеспечивая многопользовательскую работу с идентификаторами блокчейна для каждого раздела в качестве доказательства транзакции и выполнения требований аудита.
• 
  • HSM on Demand для Java Code Signer — генерирование и защита закрытых ключей, связанных с приложением Java Code Signer в HSM.
  HSM on Demand для Java Code Signer предоставляет возможность предотвратить кражу или компрометацию закрытых ключей, переложив криптографические операции сервера приложений Java на HSM. Безопасность значительно повышается за счет генерации ключей подписи и сертификатов с использованием HSM, а криптографические операции Java Code Signer выполняются внутри службы HSM on Demand. Кроме того, это повышает производительность, разгружая сервера приложений.
• 
  • HSM on Demand для служб сертификации Microsoft Active Directory — защита ключей корневого центра сертификации (CA) Microsoft в HSM.
  HSM on Demand для Microsoft ADCS (Active Directory Certificate Services) обеспечивает корень доверия для ключа подписи корневого центра сертификации (CA) в HSM. Это позволяет защитить корневой криптографический ключ подписи CA, который используется для подписи открытых ключей держателей сертификатов. Обеспечение основы доверия для ключа CA, позволяет усилить безопасность MS CA, например, при размещении Microsoft ADCS, в распределенных центрах обработки данных.
• 
  • HSM on Demand для Microsoft Authenticode — защита сертификатов Microsoft Authenticode в HSM.
  Служба HSM on Demand интегрируется с Microsoft Authenticode, для обеспечения надежной системы защиты организационных учетных данных разработчика программного обеспечения и защиты в HSM ключей, используемых приложением для подписи кода. HSM on Demand для Microsoft Authenticode обеспечивает соответствие систем, программного и аппаратного обеспечения стандартам Microsoft и предотвращает несанкционированный доступ к ключам подписи.
• 
  • HSM on Demand для Microsoft SQL Server — выполнение криптографических операций Microsoft SQL Server в HSM.
  Служба HSM on Demand обеспечивает корень доверия для хранения ключей, используемых в Microsoft SQL — ключи шифрования не хранятся вместе с данными. Данные могут быть зашифрованы с помощью ключей шифрования, к которым имеет доступ только пользователь базы данных в службе HSM on Demand, а криптографические операции, такие как создание ключей, шифрование, расшифрование и т.д., могут выполняться в HSM.
• 
  • HSM on Demand для Oracle TDE — защита ключей шифрования Oracle TDE ключом, находящимся в HSM.
  Ключи шифрования обычно хранятся локально вместе с базой данных по соображения производительности и масштабируемости, но это создает проблему, как защитить ключи шифрования, которые использовались для шифрования данных. Решение — защита локальных ключей шифрования, обычно называемых Data Encryption Keys (DEK), с помощью Key Encryption Key (KEK) или главного ключа, который находится в хранилище ключей службы HSM on Demand. Это гарантирует, что только авторизованные службы могут запросить расшифровку DEK.
• 
  • HSM on Demand для PKI Private Key Protection — безопасные закрытые ключи, принадлежащие центрам сертификации, отвечающим за создание иерархии доверия PKI.
  Корневые ключи PKI — это закрытые ключи Центра сертификации (CA), отвечающему за установку иерархии доверия PKI. Корневые центры сертификации являются корнем доверия при развертывании PKI, и компрометация ключей CA может поставить под угрозу иерархию доверия PKI, подвергая риску все данные. PKI Private Key Protection устанавливает доверие, защищая ваши закрытые ключи.
• 
  • Luna Backup HSM — резервное копирование и восстановление локальных модулей Luna HSM.
  Luna Backup HSM — это сервис HSM on Demand, которое предоставляет выделенное место для резервного копирования и восстановления локальных модулей Luna HSM. С помощью Luna Backup HSM можно безопасно создавать резервные копии и восстанавливать ключевой материал HSM. Ключи клонируются напрямую и могут передаваться из локальной среды в облако и из облака в локальную среду. Автоматическая репликация ключей включена для резервного копирования в Luna Cloud HSM, Luna HSM в локальной среде (включая Luna Backup HSM), а также для выделенных HSM Luna в Azure, IBM и AWS. При резервном копировании в службы Luna Cloud HSM можно быть уверенным, что резервное копирование выполняется в отказоустойчивую службу Luna Cloud HSM (99,95% SLA), а ключи надежно хранятся в оборудовании, сертифицированном по стандарту NIST FIPS 140-2 level 3.

Службы управления ключами CipherTrust

• 
  • Брокер ключей для Azure — безопасная генерация и импорт криптографических ключей в Azure Key Vault, позволяющая использовать BYOK для инфраструктуры Microsoft.
  Брокер ключей для службы Azure позволяет безопасно создавать и загружать криптографические ключи в хранилища ключей Azure, обеспечивая возможность использования собственного ключа (BYOK) в качестве облачной службы на базе DPoD.
• 
  • Брокер ключей для Google Cloud EKM — создание, контроль и хранение ключей шифрования вне облака, где хранятся конфиденциальные данные, с использованием возможности Google Cloud для вычислений и аналитики.
• 
  • Key Broker для Salesforce — создание ключевых материалов (секреты клиентов) для Salesforce и управление ключами и политиками безопасности совместно с Salesforce Shield на протяжении всего их жизненного цикла.
  Используя CipherTrust Cloud Key Broker, можно разрабатывать и применять политики, обеспечивая соответствие стандартам. Для усиления безопасности и конфиденциальности данных можно использовать собственный ключ (BYOK) в службе Data Protection в облаке. CipherTrust Cloud Key Broker через GUI/API интерфейс позволяет создавать ключевой материал (Salesforce tenant secret) для Salesforce и управлять своими ключами совместно с Salesforce Shield на протяжении всего их жизненного цикла.

Преимущества Thales

Thales является единственным поставщиком, который предлагает широкий спектр вариантов развертывания HSM, предоставляя действительно гибридный HSM, который может распределять рабочие нагрузки между локальной и облачной средами и поддерживать облачное резервное копирование криптографических объектов организации в реальном времени. Thales также предоставляет широкий спектр решений Bring Your Own Key (BYOK), включая CipherTrust Key Management Services, для растущего числа CSP и поставщиков SaaS на базе DPoD.

Технические характеристики

Поддержка API

• PKCS # 11, Java и OpenSSL в Linux;
• PKCS # 11, Java и CSP / KSP в Windows.

Криптография

• Полная поддержка Suite B;
• Асимметричные алгоритмы: RSA, DSA, Diffie-Hellman, эллиптические кривые (ECDSA, ECDH, Ed25519, ECIES) с именованными, определяемыми пользователем и кривыми Brainpool, KCDSA;
• Симметричные алгоритмы: AES, AES-GCM, Triple DES, DES, ARIA, SEED, RC2, RC4, RC5, CAST;
• Hash/Message Digest/HMAC: SHA-1, SHA-2, SM3;
• Key Derivation: SP800-108 Counter Mode;
• Key Wrapping: SP800-38F;
• Генерация случайных чисел: DRBG, сертифицированного по FIPS 140-2 (SP 800-90 CTR mode), в соответствии с BSI DRG.4.

Производительность

• До 100 операций в секунду;
• Хранение до 50 пар асимметричных ключей; и/или до 100 симметричных ключей на услугу;
• До 5 клиентских приложений на услугу.

Сертификаты безопасности

• FIPS 140-2 level 3;
• ISO, 9001, 14001, 27001, 27015 (Bank), 27018 (GDPR).

Описание Thales DPoD sb

Описание thales dpod pb