YubiHSM

Защита секретов на серверах

Серверы, хранящие охраняемые секреты для всех пользовательских аутентификаций, требуют наивысших уровней безопасности, поскольку, если секреты, хранящиеся на этих серверах, подвержены риску, это может привести к компрометации всех криптографических ключей и паролей, находящихся на сервере.

Yubico первоначально разработал YubiHSM, модуль безопасности оборудования, для обработки шифрования, дешифрования и хранения секретов на своих собственных серверах. Сегодня Yubico предлагает YubiHSM для легкой, доступной и надежной защиты секретов аутентификации, хранящихся на серверах аутентификации и ключей. Устройство защищает данные от удаленных атак, а также от внутренних угроз, таких как сотрудники, копирующие секреты.

Ключевые случаи использования

Защита секретов – Секреты хранятся на компьютере, который должен быть доступен из Интернета, и вы обеспокоены тем, что он однажды будет взломан.

Ограничение доступа – вы хотите, чтобы системные администраторы и сотрудники, имеющие физический доступ к серверу, не копировали базу данных и не получали доступ к конфиденциальным данным.

Предотвращение компромиссов. Вам нужна архитектура, которая мешает хакерам скомпрометировать ваши секреты, но позволяет вам выполнять свою служебную работу.

Поддержка YubiKeys. У вас есть небольшой парк Yubikeys и вы хотите сделать аутентификацию самостоятельно, без необходимости развёртывания полноценного сервера аутентификации с базой данных.

Снижение затрат. Вы отклонили типичные HSM по причинам затрат (как правило, 15 000 долларов США за единицу или более + плата за обслуживание).

Основные особенности

• Работает с любым стандартным USB-портом.

• Поддержка нескольких операционных систем, включая Linux и Microsoft Windows.

• Предлагает шифрование с помощью кода аутентификации сообщения (MAC), хеширования HMAC-SHA1, шифрования / дешифрования AES и криптовального создания случайных чисел.

• Обеспечивает физически изолированную среду для криптографической обработки.

• Не имеет движущихся частей и не требует дополнительного обслуживания после установки.

• Поддерживает любой протокол OTP на основе счетчика, включая аутентификацию YubiOTP и OATH-HOTP.

• Работает с Yubico Validation Server.

Легкий и доступный

Установка YubiHSM не требует какой-либо специализированной настройки, и она быстро конфигурируется, поскольку для ее использования не требуются дополнительные драйверы или программное обеспечение. Он потребляет менее 0,2 Вт по сравнению с более чем 300 Вт для некоторых аппаратных средств HSM и намного ниже традиционного оборудования HSM по цене.

Шифрует и защищает секреты

YubiHSM настроен по умолчанию для поддержки проверки YubicoOTP, но может быть настроен для обработки шифрования / дешифрования AES, безопасного сравнения дешифрованных данных или проверки HMAC-SHA1 с ключом, хранящимся на YubiHSM. Кроме того, он может использоваться для генерации действительно случайных чисел, полученных из физических характеристик компьютера и порта USB, к которому он присоединен.

Когда вызывается для проверки OTP Yubico, YubiHSM загружает OTP и связанный зашифрованный ключ в свой встроенный процессор и выполняет дешифрование и сравнение. Впоследствии он будет передавать результаты проверки и соответствующие данные (например, счетчики использования) обратно на главный компьютер; Дешифрованный ключ и OTP открытого текста никогда не оставляют аппаратное обеспечение YubiHSM. Это обеспечивает высокий уровень безопасности для секретов, если сервер аутентификации становится скомпрометированным – сами секреты остаются в безопасности на оборудовании YubiHSM, зашифрованном 128-битным ключом AES.

Надежное решение

YubiHSM был проверен экспертами в области интернет-безопасности и в настоящее время используется более чем 100 организациями, включая ведущие интернет-компании и подрядчики Министерства обороны США. YubiHSM также защищает YubiCloud, службу поддержки Yubico.

Processing...
Thank you! Your subscription has been confirmed. You'll hear from us soon.
ErrorHere