nCipher nShield Remote Administration - 엔사이퍼 HSM 연동 원격 제어 솔루션

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.03.31 20:30 / 카테고리 : nCipher HSM (Thales-HSM )

nShield Remote Administration (엔실드 원격 관리 기능)

nShield Remote Administration (원격 관리)를 통해 사무실 위치에서 오프 사이트 HSM을 관리 할 수 있으므로 시간과 비용을 절약 할 수 있습니다.


nShield HSM은 대개 관리 대상 사람들과 떨어진 곳에 물리적으로 안전한 데이터 센터에서 실행됩니다. 많은 조직에서는 일상적인 관리 작업을 위해 원격 HSM에 액세스하는 것이 비효율적이라고 생각합니다.



Remote Administration를 사용하면 언제든지 선택한 위치에서 응용 프로그램 추가, 펌웨어 업그레이드, 상태 확인 등 HSM을 관리 할 수 있습니다. 따라서 데이터 센터로의 이동이 줄어들기 때문에 비용을 절감하고 리소스를 최적화 할 수 있습니다.


  • 멀리 떨어져 있는 nShield Solo 및 연결 하드웨어 보안 모듈(HSM)을 언제든지 사무실에서 편리하게 사용할 수 있습니다.

  • HSM에 24x7 액세스를 추가하는 동안의 이동 시간과 비용을 절감합니다.

  • 펌웨어 업그레이드, HSM 상태 확인 및 유틸리티 실행과 같은 nShield 스마트 카드의 원격 프리젠테이션을 통해 다양한 기능을 사용할 수 있습니다.

  • 스마트카드를 원격으로 조정함으로써 이동 시의 발생하는 위협을 제거 합니다.



도입 효과

1. 비용 감소

HSM 관리를 위한 데이터 센터 방문을 방지하고 비용과 시간을 절약하며 인력 소모를 줄입니다.


2. 유연한 운영

사무실에서 편리하게 nShield HSM을 관리할 수 있습니다. (24x7)


3. 광범위한 관리

펌웨어 업그레이드, HSM 상태 확인, 유틸리티 실행 등 nShield 스마트 카드의 원격 프리젠테이션을 통해 다양한 기능을 수행할 수 있습니다.


스펙

nShield Remote Administration 호환성 및 전제 조건

  • nShield Solo PCIe 및 연결 HSM

  • 원격 관리 클라이언트 소프트웨어는 Microsoft Windows, Linux 및 OS X와 호환

  • nShield v12.00 이상 소프트웨어 및 2.61.2 이상의 펌웨어

  • 고객이 제공하는 LAN 또는 VPN 및 원격 액세스 솔루션


원격 관리 키트 (Remote Administration Kit)

원격 관리 키트(Remote Administration Kit)에는 nShield HSM에서 원격 관리를 활성화하는 요소가 포함되어 있습니다. 이 키트에는 하나 이상의 TDR (신뢰할 수있는 검증 장치) (보안 스마트 카드 판독기), 원격 관리 카드 (스마트 카드) 및 원격 관리 클라이언트 소프트웨어 및 라이센스가 포함되어 있습니다. 키트는 설치된 HSM를 기준으로 계층별로 크기와 가격을 설정합니다.



FIPS 140-2 인증

원격 관리 및 원격 관리 카드를 지원하는 펌웨어는 모두 FIPS 140-2 Level 3 인증을 받았습니다.






nShield Remote Administration

상세 스펙





Remote Administration(원격 관리)는 다음 구성 요소를 사용하여 원격 HSM을 로컬로 관리합니다.

  • Remote Administration(원격 관리) 카드 - nCipher 애플릿이 장착 된 사용자 정의 스마트 카드

  • TVD (Trusted Verification Devices) - 원격 관리 카드와 함께 사용되는 스마트카드 판독기를 암호화하여 대상 HSM과의 보안 연결을 만듭니다.

  • Remote Administration(원격 관리) 클라이언트 (RAC) 소프트웨어 - HSM 연결을 구성하기 위해 클라이언트 랩탑 또는 워크 스테이션에서 실행되는 간단한 GUI


nShield Remote Administration는 원격 HSM과 로컬 원격 관리 카드 및 TVD간에 보안 연결을 생성하여 스마트카드 쿼럼을 제시하고 장치에 물리적으로 존재하는 것처럼 HSM을 관리 할 수 있게 합니다. VPN을 통해 통신하면 원격 데스크톱이나 보안 쉘 세션을 통해 랩톱이나 워크 스테이션에서 HSM을 제어 할 수 있습니다.


동작 기능

Remote Administration를 사용하면 다음을 포함하여 대다수의 일반적인 HSM 기능을 수행 할 수 있습니다.

  • 신규 nShield HSM 구성/설정 가능

  • 신규 보안 구성/체계 생성 - 유니크 키 관리 아키텍처 암호화 및 기존 보안 체계에 새로운 HSM 등록

  • 유지 보수 및 기타 업데이트를 위해 펌웨어 및 이미지 파일 업그레이드 가능

  • HSM 상태 모니터링 및 변경 및 필요에 따라 재부팅 가능


보안 기능

원격 관리에는 거래를 보호하기 위해 다음이 포함됩니다.

  • Diffie-Hellman 임시 키 교환을 사용하여 factory-issued warrants (디지털 인증서와 같은)을 기반으로하는 원격 관리 카드와 HSM 간의 상호 인증

  • AES256 - 원격 관리 카드와 HSM 간의 동등한 암호화 연결

  • 카드 소지자의 HSM 전자 일련 번호 확인 기능

  • FIPS 140-2 인증 펌웨어 및 원격 관리 카드

  • Secoder 인증을 받은 TVDs - 클라이언트 워크 스테이션의 멀웨어가 원격 관리 카드로 전달되는 HSM ID 스푸핑을 방지


NSHIELD Remote Administration 호환성 및 전제 조건

  • nShield Solo PCIe 및 연결 HSM

  • Microsoft Windows, Linux 및 OS X와 ​​호환되는 RAC 소프트웨어

  • nShield v12.00 이상 소프트웨어 및 2.61.2 이상 펌웨어

  • 고객이 제공하는 LAN 또는 VPN 및 원격 액세스 솔루션


NSHIELD Remote Administration Kit로 시작하기

NSHIELD Remote Administration Kit는 HSM 설치 크기에 따라 다양한 계층으로 제공됩니다. 또한, 원격 관리를 확장하여 업그레이드 키트를 구입하여 설치 후 더 큰 리소스를 지원할 수 있습니다. 아래표를 참조해주시기 바랍니다. (구입 가능한 키트 표기)


 Tier

 Remote HSMs Served 

 Remote Admin Cards 

 TVDs

 Client DVDs

 1

 1 to 10

 20

 2

 2

 2

 11 to 20

 50

 5

 5

 3

 21 to 40

 100

 10

 10

 4

 40 or more

 200

 20

 20




NSHIELD Remote Administration을 이용하여 워크 스테이션을 통해 원격으로 HSM 관리

(원격 데스크톱 또는 보안 셸 세션)






(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

nCipher nShield Monitor - 분산된 HSM를 통합 관리, 모니터링

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.03.30 19:48 / 카테고리 : nCipher HSM (Thales-HSM )


nCipher의 nShield HSM 제품군은 성능이 매우 뛰어나지만, 관리자가 이를 전부 파악하고 모니터링 하는 것은 정말 어려운 일입니다. nCipher는 nShield HSM 제품군을 중앙화하고, 모니터링 할 수 있는 nShield Monitor를 제공합니다. nShield Monitor 솔루션을 통해서 쉽고 빠르고, 한눈에 nCipher nShield HSM 제품군을 모니터링 할 수 있습니다. 


[nCipher nShield Solution]


nShield HSM 모니터링 솔루션

nShield Monitor는 하나의 중앙 위치에서 모든 nShield HSM을 연중 무휴 감시합니다.


nShield Monitor는 포괄적인 HSM 모니터링 플랫폼으로서 운영팀이 분산 데이터센터를 포함하여 모든 nShield HSM의 상태에 대해 연중 무휴로 파악 할 수 있도록 합니다. 


이 솔루션을 사용하면 보안팀이 HSM을 효율적으로 감시하여 잠재적인 보안 위협, 구성 또는 사용 문제가 업무 핵심 인프라를 위협 할 수 있는지 즉시 파악이 가능합니다.



[nCiper nShield Monitor 화면]



nShield 모니터 특징 요약

  • 모든 nShield 하드웨어 보안 모듈 (HSM)에서 24 x 7 가시성 제공

  • 성능 병목 현상을 파악하여 용량 계획을 개선합니다.

  • 포괄적인 경고를 통해 잠재적인 문제에 즉각적인 대응 가능

  • 중요한 데이터를 검색하기 위해 HSM에 물리적으로 액세스 할 필요가 없습니다.

  • 기존 HSM 하드웨어 및 소프트웨어 구성과의 완벽한 통합



nShield 모니터 솔루션의 특장점


1. 운영 비용 절감

중요한 데이터를 검색하기 위해 HSM에 물리적으로 액세스하는 것과 관련된 비용을 절감 할 수 있습니다.


2. 활용 최적화

HSM 성능 및 배포 아키텍처 최적화 지원이 가능합니다.


3. 응답성 향상

관리자가 능동적으로 시정 조치를 취하는 데 필요한시기 적절하고 표적화 된 통찰력을 관리자에게 부여합니다.




nCipher nShield Monitor

상세 스펙



nShield Monitor는 매분 모든 HSM에 대한 사용 통계를 새로 고칩니다. 정의한 임계 값에 따라 중요한 상황이 발생할 때 솔루션에서 경고를 생성 할 수 있습니다. 


이메일, SNMP, syslog 또는 웹 인터페이스에서 경고에 대한 내용을 선택할 수 있습니다. 지난 시간, 24 시간, 7일, 30일 또는 사용자 정의 간격을 포함하여 심층 분석을 위한 특정 기간을 정의할 수 있습니다.


nShield Monitor는 아래의 내용을 포함한 다양한 속성에 대해 보고합니다.



◈ 중앙 모니터링 기능

  • 모든 HSM에 대한 사용 통계를 분 단위로 갱신

  • 사용자 정의된 임계 값을 기반으로 일련의 경고를 제공

  • 독립적인 사용자 정의 임계 값을 기반으로 중요한 경고를 제공

  • 사용자가 심층 분석을위한 기간을 정의 가능 (지난 시간, 24시간, 7 일, 30 일 또는 맞춤형)

  • 전자 메일, SNMP 및 원격 syslog 서버를 통해 경고 및 경보 제공


◈ HSM 호환성
  • 보안 세계 소프트웨어 v11.72 이상으로 nShield Edge, Solo, Solo +, Connect 및 Connect +

  • Security World Software v12.40 이상으로 nShield Solo XC 및 Connect XC


◈ 역할 기반 액세스 제어
  • 세가지 역할 - 관리자, 그룹 관리자 및 감사자 지원

  • 명확한 직무 분리를 지원하는 각 역할에 적용 가능

  • 전반적인 nShield Monitor 시스템의 구성 및 관리 측면에서 보안 강화

  • 관리자가 배포를 관리

  • 그룹 관리자가 HSM 모니터링을 제공

  • 감사인이 데이터 및 보고서를 열람 가능


◈ 솔루션 구성 요소
  • Open Virtual Appliance (OVA)로 nShield Monitor 응용 프로그램을 포함한 DVD

  • DVD 접근 방식의 대안으로 지원되는 VM 이미지 다운로드

  • 웹 기반 관리 인터페이스 및 명령행 인터페이스 (CLI)

  • Firefox 및 Internet Explorer 브라우저 지원

  • 최대 500 개의 HSM을 지원하는 유연한 엔드포인트 라이센스 메커니즘


◈ 가상 어플라이언스 최소 스펙
  • 2코어의 CPU 2개

  • 8GB RAM

  • 씬 프로비저닝 하드 드라이브

  • VMware ESXi 5.1 이상 (VM 버전 9) 및 IBM PureApp Hypervisor 버전 2.2.3 이상과 호환 가능


◈ 보안
  • 세션 설정의 일환으로 클라이언트 브라우저를 nShield Monitor 인증에 제공하는 웹 서버 인증서 관리

  • 관리자 및 그룹 관리자를 위한 역할 및 책임의 안전한 분리

  • 강력한 암호 정책 - 만료 및 자동 로그아웃 기간 제어

  • 인증 및 개인 정보 보호를 위한 알고리즘 선택

  • SNMP v3를 nShield Monitor - HSM 연결에 사용



nCipher nShield 제품군과 nSheild Monitor솔루션에 대한 제품 문의 및 견적은 아래의 아이마켓코리아 nCipher 제품군 담당자에게 연락 주시면 친절하게 상담해 드립니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

구글 크롬 제로데이(zeroday) 취약점, 다크트레이스로 탐지 / 방어

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.03.30 18:50 / 카테고리 : 차세대 위협감지 - 다크트레이스



구글에서 올해 3월 초에 패치한 웹브라우저 크롬에서 제로데이(Zeroday) 취약점이 발견되어 사이버 공격자에 의해서 악용이 되고 있습니다. 악성코드의 이름은 CVE-2019-5786으로 높은 위험성을 가지고 있습니다. 이는 대중적으로 많이 사용되고 있는 API에서 발생되기에 위험성이 높습니다.


웹 앱들이 컴퓨터에 저장된 파일을 읽을 수 있는 웹브라우저용 API인 파일리더에서 발견된 UaF 취약점입니다. 구글에서는 해당 취약점에 대한 익스플로잇이 이미 존재하고 있고 해커들이 이미 악용하고 있다고 공식적으로 발표하였으며, 크롬 브라우저는 최대한 빠르게 최신 버전으로 업데이트 할 것을 권고하였습니다. 



해당 취약점을 성공적으로 익스플로잇하면, 공격자가 임의코드를 브라우저 컨텍스트 안에서 실행할 수 있게 되며, 애플리케이션의 권한에 따라서 달라지는 점이 있지만, 공격자가 프로그램 설치, 데이터 Read & Write 권한, Admin 계정의 생성까지도 가능합니다. 


엣지스폿(EdgeSpot)이라는 익스플로잇 탐지 서비스는 크롬의 제로데이 취약점을 익스플로잇 하기 위한 PDF 파일들이 사이버 공간에서 돌아다니고 있다는 것을 발견하였습니다. PDF 문서 파일의 뷰어 프로그램 또는 API 에서 발견된 취약점이기 때문에 Adobe Reader를 제공하는 Adobe에서도 관련 보안패치를 진행하기도 하였습니다. 

최근에는, 보안에 취약한 윈도우즈 익스플로러(Windows Explorer) 대신에 확장성도 뛰어나고 반응형 웹에 강력한 성능을 보이는 구글 크롬(Google Chrome) 브라우저를 기업에서도 많이 사용하고 있습니다.


뛰어난 보안성을 자랑한다고 보였던 구글 크롬 브라우저에서도 익스플로잇, 제로데이 취약점이 나왔으며, 기업에서 자주 사용하는 PDF Reader 기능을 통해서 데이터가 탈취 당하거나, 파일 접근, 권한 탈취 등의 문제가 생기고 있습니다.

이렇게 새롭게 변조되는 악성코드과 공격 기법은 갈수록 다양해지며, 공격 루트도 웹브라우저 플러그인 등으로 가변적입니다. 기업에서는 실시간으로 감시하고 즉각적인 대응이 가능한 머신러닝, 인공지능 기반 보안 솔루션을 통해서 24/7 대응이 가능하여야 합니다. 


기존의 AV, 시그니처 기반의 보안 솔루션은 현재까지 위협 방어에 대한 접근 방법의 한계성을 드러냅니다. 아이마켓코리아에서 공급하는 다크트레이스 솔루션은 기존 방식의 AV(안티바이러스)에서는 탐지가 불가능한 변종/신종 영역까지 탐지가 가능합니다. 



기존 방식의 위협 방어에 대한 문제점


1. 경계 보안의 강화를 통한 방어 체계의 한계성

많은 기업들과 기관들이 인터넷과 인트라넷, 서버팜의 경계구간의 강화를 통한 위협 대응을 수행하고 있지만, 계속 진화하는 공격 기법에 대응하기가 어렵습니다.


2. 행위의 대한 정상 및 합법여부 정의의 어려움

정상 행위 여부를 규정하기 Rule과 Signature부터 벗어난 다양한 행위들이 존재하고 있습니다.


3. 시스템과 기술을 뛰어 넘는 새로운 위협의 등장

악성코드 및 봇넷, 사이버 범죄 등의 종착지는 사람입니다. 인적 요소에 의한 내부정보탈취, 시스템 파괴 및 다양한 위협의 발생빈도가 지속적으로 증가하고 있습니다. 



Rule, Signature, SandBox 등 알려지고 공유된 인텔리전스 기반을 보완할 새로운 접근방법이 필요합니다.


정책과 시그니처 룰을 기반으로 한 기존의 심층방어체계에는 한계가 있습니다. 새로운 공격과 위협에 대해서 방어수단 확보까지의 시간이 많이 걸리며, 이때 피해가 급증하게 됩니다. 







다크트레이스(DarkTrace)란?

다크트레이스는 차세대 엔터프라이즈 면역 시스템(DarkTrace – Enterprise Immune System)으로 정상 행위 자동 학습을 통해서 비정상 행위를 탐지합니다. 



▣ 네트워크, 사용자, 디바이스의 다양한 행위에 대한 자동학습

위협에 대한 개별요소 들의 종합적인 연관상태를 분석하고 학습하여 정상상태와 비정상적인 상태를 식별한 후 규칙이나 시그니처를 기반으로 한 전통적인 시스템이 탐지못한 영역을 식별합니다.


▣ 네트워크, 사용자, 디바이스에 대한 수학적 확률 엔진을 기반으로 비정상적인 행위를 순환적으로 확률 추론

베이지안 순환 확률 모형, 순차적 몬테카를로, LASSO 모델 등을 통해서 고객 네트워크를 사용하는 사용자, 디바이스 및 행위에 대한 수학적 확률을 계산하여 지속적으로 정상 상태를 확인하고 계산합니다. 



다크트레이스 면역 시스템은 인체의 면역기능을 응용한 네트워크, 사용자, 디바이스 기반 정상행위 학습기반의 건강한 면역체계 구축하는 보안 솔루션입니다.






다크트레이스는 비지도 학습 기반(Unsupervised Learning)의 머신러닝 기법을 채택하고 있습니다. 이는, 사람의 개입을 최소화하고 기존 보안 솔루션의 한계점으로 대두되고 있는 시그니처와 룰 기반의 접근 방법의 한계점을 뛰어 넘는 방식으로 탐지합니다. 


1. 사고 - 과거의 정보를 학습하여 판단에 필요한 인사이트를 제시 합니다.

2. 실시간 - 시스템의 현재의 시점을 분석합니다.

3. 자가 개선 - 새롭게 학습되는 정보를 통해서 스스로 개선해 나갑니다. 



지도 학습 VS 지도 학습


 구분

 Unsupervised Learning 비지도학습

 Supervised Learning 지도학습

 정의1. 학습 시 출력 값에 대한 정보 없이(교사 없이) 진행되는 학습
2. 군집화, 밀도 추정, 차원축소, 특징 추출 등이 필요한 문제에 적합

1. 출력 결과 값을 미리 알려주는 교사(supervised)가 존재하는 학습

2. 주로 인식, 분류, 진단, 예측 등의 문제 해결에 적합

 사례

동물과 관련된 데이터가 입력되면 수집된 데이터로부터 특징을 추출, 군집화, 추정을 통해 서로 다른 종으로 구분하여 분류

 파충류, 포유류 등 종에 대한 분류지표와 기준을 이미 입력시킨 후 컴퓨터로 하여금 어떤 종이 파충류인지 또는 포유류인지 분류



다크트레이스 솔루션은 사용자, 디바이스, 네트워크 행위에 대해서 학습, 추론, 시각화를 할 수 있는 종합 면역체계 입니다.




다크트레이스 VS 다른 보안 솔루션


구분
DARKTRACE
APT solution
Network forensic &
Log analysis
위협 영역내부+외부외부내부+외부
위협의 종류모든 이상 행위악성코드알려진 위협
운영 노력낮음높음높음
탐지 기반 기술자동화된 머신러닝가상 샌드박스사람의 지식 및 룰
상세 분석딥 패킷 분석코드 리버싱딥 패킷 분석,SQL
데이터 흐름 가시성3D기반의 100% 가시성없슴제한적
실시간 탐지실시간수분 ~ 수시간수시간 ~ 수일
도입 및 운영 비용





매일 급변하는 보안취약점을 방어하기 위한 인공지능, 머신러닝 기반 엔드포인트 보안 솔루션인 다크트레이스에 대한 도입 / 견적 문의는 아래의 아이마켓코리아 담당자에게 연락주시기 바랍니다.


(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

[탈레스 보메트릭] 2019년 세계보안엑스포(SECON) 개인정보보호 주요 이슈

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.03.30 18:49 / 카테고리 : 보메트릭 암호화 솔루션


2019년 세계보안엑스포 (SECON)이 3월 8일 일산 킨텍스 그랜드볼룸에서 개최되었습니다. 행정안전부가 주최하고 미디어닷이 주관하는 행사로써 공공기관 CPO를 대상으로 진행되었습니다. 


주로 개인정보보보호정책과 개인정보 주요 이슈를 주제로 강연이 시작되었으며, 이에 대한 사고 유출사례 및 법 개정 내용도 많이 나왔습니다. 



최근의 개인정보 유출 사례는 해킹과 더불어서 접근통제가 미비하거나, 데이터에 대한 암호화 처리 미비, 공개된 장소에 개인정보 공개, 담당자 실수로 인한 개인정보의 유출 등의 기본적인 내용에 대한 것들이 많았습니다. 


또한, 해킹은 유출 사고 원인의 63%를 차지하였으며, 접근 통제 및 암호화 등의 기술적인 조치가 취해지지 않은 경우가 대부분이기 때문에 개인정보가 유출되는 경우가 많았습니다. 휴먼 에러로 인해서 주민등록번호, 생체정보, 여권 정보 등의 민감한 데이터가 대량으로 유출되는 경우도 많았습니다. 


대부분의 담당자가 숙지하고 있는 내용이긴 하지만 아래의 사항들이 잘 지켜지지 않고 있습니다. 

▲ 개인정보 접근권한 관리  접근 통제  개인정보 암호화  접속 기록의 보관   보안 시스템 점검 등


그리고, 행정안전부는 현재의 개인정보보호법으로는 개인정보의 개념이 모호하고, 개인정보 감독기구 및 관련 법령이 분산되는 단점을 보완하고자 개인정보보호법의 개정을 추진하고 있다고 밝혔습니다.

개인정보보호법 개정안에서는 특정 인원을 식별할 수 있는 개인정보(이름, 주민등록번호, 영상, 생체정보 등)과 해당 정보만으로는 특정 개인을 알아볼 수 없지만, 다른 정보와 결합하여 신원 확인이 가능한 가명정보, 그리고 특정 개인사용자를 파악할 수 없는 익명정보까지 포함하게 됩니다. 


이렇듯 최근의 개인정보의 범위가 기존의 개인정보, 가명정보, 익명정보 등으로 더욱 더 확대됨에 따라서 개인정보 암호화에 대한 필요성은 더 높아졌습니다. 개인정보보호를 위해서 가장 기본적인 보안 조치이자 가장 강력한 암호화에 대한 필요성이 높아지고 있습니다.


이전 보다 더 범위가 넓어졌을 뿐더러, 동영상, 로그파일, 이미지, 음성 등의 비정형데이터로 이루어진 개인정보가 많아져서 기업의 입장에서는 서버의 부하, 리소스 점유 등으로 인해 암호화 자체가 큰 부담이 될 수 있습니다. 


그렇기 때문에, 기존 정형데이터와 비정형데이터까지 완벽하게 커버할 수 있는 암호화 솔루션이 반드시 필요합니다. 


아이마켓코리아에서 공급하는 암호화 보안 솔루션인 보메트릭 암호화 솔루션은 기존의 정형데이터 뿐만 아니라 비정형데이터를 적은 리소스 점유로 안전하게 암호화 할 수 있는 보안 솔루션입니다. 



보메트릭 암호화 솔루션인 Vormetric Transparent Encryption은 기존의 API 방식에 개인정보 토큰 값을 적용하여 단순 API 방식 암호화 보다 구축은 더 편리하고 보안성을 증가하였습니다. 또한, 전용 키 관리 장비를 통해서 암호 키의 유출을 방지할 수 있으며, 인증서와 비밀번호를 통한 안전한 암호화 모듈 접근 통제가 가능합니다. 



일반적인 암호화 솔루션은 암호화 이후에 파일의 크기가 증가하는 단점이 있지만, Vormetric Transparent Encryption은 기존의 방식과는 다르게 동일한 파일 크기로 암호화가 가능하며, 지속적인 수정도 필요가 없기 때문에 관리면에서도 우수합니다. 




그리고, 암호화 솔루션 도입시에 어플리케이션 수정 및 데이터베이스의 변화가 없이 도입이 가능한 장점을 가지고 있습니다. 암호화 뿐만 아니라 키 관리, 접근 통제, 권한 및 역할 관리, 감사 등을 지원하여 암호화 보안에 필요한 모든 유틸리티를 갖추고 있습니다. 


Voremtric Transparent Encryption 제품의 특장점 소개


투명성

  • 애플리케이션 변경이 불필요

  • 다양한 형태의 파일에 적용

강력한 보안

  • 우수한 성능, 여러 환경 및 BMT에서 최상의 성능 확인

  • 관리자(root) 접근 통제

손쉬운 구축

  • 암호화 영역에 데이터를 복사하면 구축 완료

  • 구축기간 최소화 (3 ~ 5일 가능)

효과적인 플랫폼

  • 다수 서버에 대한 중앙집중 관리

  • 고성능 실시간 암호화


■  고성능

특정 작업이 요구하는 스토리지 블록에 대해서만 암호화 및 복호화를 수행하기 때문에 아주 작은 오버헤드만으로 동작하는 것이 가능합니다. 디스크 I/O 동작이 보호된 데이터에서 실행될 때에만 암호화 및 해독 작업을 수행하므로, 암호화를 작동시켜도 트랜잭션적인 영향을 피할 수 있습니다.


■  최소의 성능 부하

본 제품은 암호화 후에도 성능 부하를 최소로 유지합니다. 실제로 울산대학교병원은 구축 후 성능 오버헤드를 1~2% 미만으로 유지하여 시스템에 무리 없이 업무를 원활히 수행할 수 있던 사례가 있습니다.


■  투명한 구축

파일 시스템 논리 볼륨 계층 위에 추가되는 형태의 보메트릭 암호화 솔루션은 데이터베이스, 애플리케이션, 파일 및 스토리지 네트워크를 재구성할 필요가 없이 현재 상태에서 투명한 보안을 제공합니다.


■  중앙집중화된 키 및 정책 관리

보메트릭은 폭넓은 IT환경에 걸쳐 쉽게 확장할 수 있는 안전하고 중앙집중화된 키 관리 시스템을 제공합니다. 이는 암호화 데이터가 운영되는 장비와 별도로 운영되는 키 관리 어플라이언스인 데이터 파이어월을 통해 모든 엔터프라이즈 시스템에 단일 방식의 대폭 간소화되고 정밀한 제어와 감사 기능을 가진 별도의 키 관리 시스템을 제공합니다.



FPE (Format Preserving Encryption) 지원

  • 원본 데이터와 암호화 데이터의 사이즈 및 형태가 동일한 암호화 방식

  • 미국 NIST의 암호화 표준 규격 중 FFX3 모드 적용

  • 암호화 후 사이즈와 데이터 타입이 동일하기 때문에 DBMS 변경 불필요


파일 암호화 기능 향상

  • VAE 제품으로 파일에 암호화를 적용할 때 자사의 커널 암호화 제품(VTE)과 동일한 방식 적용

  • 두 제품 간의 호환성 증가로 보다 유연한 적용 가능



또한, 보메트릭 암호화 솔루션은 Data Masking 기법의 암호화도 가능하며, 토큰화 암호화 솔루션(Vormetric Tokenization)을 사용하여 안전하게 마스킹 할수 있습니다. 자사 커널 방식의 암호화와 타 플러그인 방식, API 방식과의 비교는 아래를 참조해주시기 바랍니다. 




 구분

Vormetric Tokenization

Vormetric 커널 암호화

Plug-In 방식

API 방식

 적용방식

응용프로그램에서 토큰 서버를 호출하여 토큰(대체값)을 생성하도록 소스 코드 수정

암호화 모듈이 운영체제 커널안에 로딩되어 파일에 대해 암복호화 수행

DBMS 엔진 내부에 암호화 모듈이  탑재되어 DB 내부에서 암복호화

응용프로그램에서 암호화 라이브러리를 호출하도록 소소 코드 수정

 운영환경

제약 없음

(대상 서버에 설치되는 모듈 없음. 단, 토큰 서버를 위해 x86 기반의 가상화 환경 필요)

대부분의 상용 운영체제

(AIX, HP-UX, Solaris, Windows,     Red Hat, SLES, Ubuntu, 클라우드)

일부 상용 운영체제

(AIX, HP-UX, Solaris, Windows, 일부 리눅스)

일부 상용 운영체제

(AIX, HP-UX, Solaris, Windows, 일부 리눅스)

 지원환경

RESTful 표준을 지원하는 개발 언어 (C, Java 등 대부분의 개발언어에서 지원)

Oracle, DB2, MS-SQL, Sybase, Informix, MySQL, PostgreSQL, Cache Hadoop, MongoDB 등 제한 없음

Oracle, MS-SQL, DB2 등 특정 DBMS

C 언어, Java 언어 등의 환경

 데이터 사이즈

원본 데이터와 동일한 사이즈의 토큰 생성

암호화 전후 파일 사이즈 동일

암호화 후 사이즈 증가

(13자리의 주민번호 암호화 후 16byte 로 증가 함)

암호화 후 사이즈 증가

(13자리의 주민번호 암호화 후 16byte 로 증가 함)

 구축기간

2~4개월

(토큰화 전후 데이터 사이즈가 동일하여 API 방식 암호화 대비 수정 방식이 단순함)

3~5일

1개월 ~ 3개월

3~6개월

구축비용

유지보수

·  응용프로그램 수정을 위한 인력 소요 (초급이상)

·  토큰이 적용된 DB에는 민감정보가 사라짐에 따라 보안 관리에 용이

구축 및 유지 보수를 위한 특수한 인력 불필요

·  SQL 튜닝 인력비 (고급 이상) 소요

·  유지보수 중에도 지속적인 튜닝 필요

·  응용프로그램 수정 (중급 이상) 소요

·  유지보수 중에도 지속적 수정 필요



마지막으로, Vormetric Data Security Manager를 통해서 자사 제품과 통합된 암호 키 및 정책 관리가 가능합니다. 

  • 중앙집중형 단일 인터페이스를 통한 암호키와 정책 관리

  • 소프트웨어 / 하드웨어 일체형 어플라이언스 또는 가상 머신 형태

  • 가용성 확보를 위한 이중화 구성 지원

  • 1만대 이상의 서버 환경에서 입증된 관리 기능

  • 웹과 CLI 기반의 콘솔 및 자동화를 위한 API 지원

  • 미국 연방 정부의 FIPS 140-2 Level 3 인증 확보



보메트릭 암호화 솔루션을 통한 데이터 보안 구축 절차는 아래와 같습니다.

구축 준비 및 사전 분석

구현 및 검증

운영 이행

안정화

· 프로젝트 수행 TFT 구성

· 업무/어플리케이션 분석

· 영향도 분석

· 데이터 보호 정책 수립

· 테스트 환경 구축

· 암호화 적용

· 테스트를 통한 검증

· 개선 사항 도출 및 대응

· 이행 계획 수립

· 계획 작성

· 운영 서버 적용

· 이행 작업 수행

· 모니터링

· 인수인계




개인정보 암호화, 개인정보보호법 대비를 위한 비정형데이터 암호화 솔루션, Thales Vormetric 솔루션에 대한 문의는 아래의 아이마켓코리아 담당자에게 문의주시기 바랍니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

코드 서명 - nCipher Code Signing / nShield HSMs

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.03.21 08:30 / 카테고리 : nCipher HSM (Thales-HSM )

고객의 애플리케이션을 보호하기 위한 코드 서명 (Code signing to protect your applications)

악성 코드 및 APT (Advanced Persistent Threats)가 확산됨에 따라 많은 소프트웨어 공급 업체, 온라인 서비스 제공 업체 및 엔터프라이즈 IT 조직은 코드 서명 프로세스의 보안을 강화해야 한다는 압력을 받고 있습니다. 


nCipher Code Signing 솔루션은 모든 유형의 소프트웨어 제작자가 소프트웨어 변조와 관련된 위험으로부터 조직을 보호하는 매우 안전하고 효율적인 코드 서명 프로세스를 구현할 수 있도록 도와줍니다. 


무단 변조 방지 nShield HSM과 nCipher ASG (Advanced Solution Group) 서비스를 결합한 nCipher Code Signing 솔루션은 코드 서명 모범 사례 및 적절한 관리 기준에 대한 풍부한 전문 지식을 바탕으로합니다. 


HSM은 비공개 코드 서명 키에 대한 변조 방지 및 인증된 보호 기능과 중요한 디지털 서명 프로세스를 수행 할 수 있는 안전한 플랫폼을 제공합니다. 또한 nCipher Code Signing은 복잡한 요구 사항이 있는 조직의 코드 서명 요청 / 승인 워크 플로를 단순화하고 자동화 할 수 있는 유연한 기능을 제공합니다.





nCipher Code Signing - 코드 서명의 높은 보안성 보장

  • 작성자, 발행일 및 내용 확보

  • 소프트웨어 무결성 확립

  • 중요한 코드 서명 키를 보호


각 nCipher Code Signing 솔루션에는 하나 이상의 nShield HSM, nCipher Code Signing 프레임 워크 및 특정 요구 사항에 적합한 서비스가 포함됩니다. nCipher ASG는 특정 코드 서명 워크 플로우를 지원하도록 솔루션을 설계 및 구성합니다. nCipher 코드 서명은 세 가지 구성으로 제공됩니다.


  • 개발자 - 이 코드 서명 솔루션은 코드 서명이 적은 개별 개발자 워크 스테이션 용으로 설계 되었습니다. 

  • 작업 그룹 - 이 코드 서명 솔루션은 공유 서명 리소스가 유리한 여러 빌드 스테이션이 있는 조직을 위해 설계 되었습니다. 

  • 기업 - 이 코드 서명 솔루션은 강력한 End to End 감사 기능을 통해 고도로 제어된 소프트웨어 서명 승인 프로세스 워크 플로에 대한 요구 사항이 있는 대규모 조직을 위해 설계 되었습니다



nCipher Code Signing 도입 효과


빠른 구현 / 빠른 도입

조직의 규모와 범위에 적합한 높은 보증 코드 서명 프로세스를 구축할 수 있습니다.


강력한 보안

외부 위와 내부 공격으로부터 보호를 극대화 할 수 있습니다.


솔루션 자동화

워크 플로 자동화 기능을 사용하여 코드 서명 프로세스를 간소화 할 수 있습니다.



nCipher Code Signing 의 강점

향상된 코드 서명 키 보안 외에도 nCipher Code Signing 솔루션은 코드 서명 승인 프로세스는 물론 중앙 암호화 키 관리를위한 유연한 자동화 기능을 제공합니다. 


nCipher Code Signing 솔루션은 인증 된 보안 하드웨어에서 개인 코드 서명 키를 보호 할 수 있는 높은 보증 방법을 제공할 뿐만 아니라 조직의 코드 서명 요청 / 승인 워크 플로를 간소화하고 자동화 할 수 있는 유연한 범위를 제공한다는 점에서 독보적인 제품입니다.



코드 배포 문제

비즈니스 IT는 복잡하고 다양한 소스의 소프트웨어를 사용하여 조직을 운영합니다. 소프트웨어를 개발하는 회사는 내부용 또는 고객용으로 판매 할 때 소프트웨어의 신뢰성을 증명하는 메커니즘을 만들거나 지원해야합니다. 이 보안을 보장하려면 다음과 같은 조치가 필요합니다.

° 서명 프로세스의 유효성을 검사하므로 올바른 코드 만 올바른 키로 서명

° 개인 서명 키를 도난 당하지 않도록 관리하여, 승인되지 않은 버전이 배포 방지

° 모든 서명 활동에 대한 감사 추적 제공


nCipher는 개발 및 구현에 상당한 전문 지식을 보유하고 있습니다. 무결성, 인증 및 개인 키 보호 문제를 해결하는 다음과 같은 기능을 제공하는 안전한 코드 서명 솔루션입니다.

° nCipher nShield® 하드웨어 보안 모듈을 사용하여 코드 도난, 도용 및 악성 소프트웨어 변경을 방지합니다.

° 최종 사용자가 소프트웨어의 출처와 무결성을 확인하고 악성 코드의 변조 또는 삽입을 탐지합니다.

° 서명되지 않은 소프트웨어에 대한 운영 체제의 강력한 경고 대화 상자를 호출합니다.

° 코드 서명 작업에 대한 액세스 제어, 승인 워크 플로, 자동화 및 감사 기능을 제공합니다.


이러한 기능을 제공하기 위해 nCipher는 nCipher nShield 하드웨어 보안 모듈 (HSM)을 기반으로 하는 두 가지 코드 서명 솔루션을 신뢰의 루트로 제공합니다. 솔루션은 다음과 같습니다.

° 코드 서명 게이트웨이

° 직접 HSM 통합을 통한 코드 서명



NCIPHER HSMS와 신용 협상 서명 (Root of Trust)

코드 서명은 소프트웨어 게시에 디지털 서명을 적용하는 것입니다. 코드 서명을 통해 최종 사용자는 게시자의 신원을 인증함으로써 소프트웨어의 출처와 무결성을 확인할 수 있습니다. 


또한, 운영 체제가 서명되지 않은 소프트웨어에 대해 강력한 경고 대화 상자를 표시하므로 사용자가 소프트웨어 설치를 포기하는 것을 방지 할 수 있습니다.


코드 서명 솔루션은 최종 사용자가 코드를 확인할 수 있도록 소프트웨어 작성자의 공개 / 개인 키 쌍과 소프트웨어 작성자의 공개 키를 포함하고 적합한 CA가 서명 한 디지털 인증서를 사용합니다. 


프로세스는 소프트웨어 배포자가 배포 할 코드를 해시하고 개인 키를 사용하여 해시에 서명 / 암호화 할 때 시작됩니다. 


그런 다음, 암호화 된 해시와 원본 코드를 디지털 인증서와 함께 최종 사용자에게 패키지로 배포합니다. 최종 단계에서 최종 사용자는 소프트웨어 작성자의 공개 키를 사용하여 암호화 된 해시 된 코드를 해독하고 결과 해시를 수신 된 코드의 다시 생성 된 해시와 비교합니다. 해시가 동일하면 코드가 확인됩니다. 


개인 키는 코드 서명 시스템의 보안에 중요하며 절대로 공개하거나 공유해서는 안됩니다. 개인 키가 유출되면 신뢰 시스템이 실패합니다. 개인 서명 키 보안은 코드 서명 프로세스의 토대가됩니다. 


코드 서명과 같은 민감한 응용 프로그램의 경우 사용 중이거나 사용 중이 아닌 경우 모두 개인 키를 보호해야 보안 솔루션을 만드는 것이 중요합니다. HSM은 라이프 사이클 전반에 걸쳐 키를 안전하게 보호 할 수있는 인증 된 변조 방지 환경을 제공합니다.



코드 서명 게이트웨이 (Code Signing Gateway)

고도로 제어 된 소프트웨어 서명 승인 프로세스가 필요한 대규모 조직의 경우 Code Signing Gateway는 소프트웨어 개발 조직이 강력한 보안 요구 사항을 충족 할 수 있도록 다양한 유연하고 중앙 집중화 된 워크 플로 자동화 기능을 제공합니다. 


코드 서명 게이트웨이는 nCipher 코드 서명 워크 플로 응용 프로그램을 실행하는 중앙 집중식 고객 호스팅 서버입니다. 코드 서명 게이트웨이는 워크 플로를 관리하고 요청을 수락하며 전자 메일을 통해 승인자에게 알리고 시간 제한을 관리하고 승인을 승인하고 작업을 기록하고 준비된 코드를 준비 영역으로 보냅니다.


코드 서명 게이트웨이 관리자, 엔터프라이즈, 데스크톱, IoT 또는 모바일 응용 프로그램 개발자, 관리 팀 및 코드 서명 승인자 등 여러 사용자 역할을 지원할 수 있습니다. 


Active Directory 통합은 작업 그룹 권한 부여 및 사용자 인증에 사용됩니다. nCipher nShield HSM은 코드 서명에 사용되는 개인 키를 보호하는 데 사용니다. 서명 키는 HSM에 있으며 코드 서명 게이트웨이에서 생성 할 수있는 여러 개의 경고 프로필에 매핑됩니다. 


Code Signing Gateway는 Oracle Jarsigner, Microsoft SignTool, Apple 코드 서명 도구 및 Android 코드 서명 유틸리티와 같은 표준 서명 도구와 통합됩니다.  아래의 그림을 참고해주시기 바랍니다.



추가 기능에는 다중 서명 프로필, 중앙 집중식 로깅, 파일 보관, 타임 스탬프 서비스와의 통합은 물론 서명 전에 바이러스 검사 파일을위한 Microsoft Windows Defender와의 통합을 지원하는 여러 가지 디지털 인증서를 사용하도록 정의 할 수있는 다중 서명 프로필이 포함됩니다. 


nCipher Codes Signing Gateway는 nCipher Advanced Solutions Group (ASG)이 각 고객의 고유 한 환경에 맞게 사용자 정의 된 솔루션입니다


직접 HSM 통합을 통한 코드 서명 

nCipher nShield HSM과의 직접 통합은 간단한 업무 분담으로 소수의 개발자를 위한 솔루션을 제공합니다. 일반적으로 개별 개발자 워크 스테이션 또는 전용 코드 서명 서버에 사용됩니다. 


코드 서명에 사용되는 개인 키는 nShield HSM에 의해 생성되고 보호됩니다. 


코드 서명은 JCE (Java Cryptography Extension), Microsoft CAPI 및 CNG와 같은 표준 API를 사용하여 HSM과 통합되며 Jarsigner, SignTool 및 Open SSL과 같은 타사 도구를 사용하여 HSM에 의한 실행을위한 서명 요청을 작성합니다.




nCipher Code Signing / nShield HSMs 솔루션에 대한 제품 문의 및 견적은 아래의 아이마켓코리아 nCipher 제품군 담당자에게 연락 주시면 친절하게 상담해 드립니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

nCipher nShield Edge HSMs (휴대용 HSM - 엔사이퍼 엣지)

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.03.20 08:30 / 카테고리 : nCipher HSM (Thales-HSM )



nCipher nShield Edge HSMs

nCipher nShield Edge 하드웨어 보안 모듈 (HSM)은 소량의 암호화 키 서비스가 필요한 환경에서 편의성과 경제성을 제공하는 USB 연결 데스크톱 장치입니다.





nShield Edge는 소량의 트랜잭션 환경을 위해 설계된 완벽한 기능을 갖춘 휴대용 HSM입니다. 이 USB 연결 장치는 암호화 및 키 보호 기능을 제공하며 인증 기관(CA) 및 개발 환경을 위한 오프라인 키 생성에 가장 적합한 모델입니다.


[nCipher Edge HSMs]


암호화 된 데이터를 전송하는 인증된 USB 연결형 HSMs - nShield Edge

  • 비용 효율성을 극대화합니다. nShield Edge는 nShield 제품군에서 가장 경제적인 HSM입니다.

  • 인증 기관, 코드 서명 등을 포함한 다양한 응용 프로그램 지원

  • 강력한 보안을 제공합니다. nShield Edge HSM은 FIPS 140-2 Level 3까지 인증됩니다.



nShield Edge HSMs 특장점

적은 볼륨의 트랜잭션에 이상적인 하드웨어

USB 포트를 통해 연결되기 때문에 nShield Edge HSM은 오프라인 키 생성 및 개발 환경에 적합하면서 완벽한 알고리즘 및 API 지원을 제공합니다.


높은 휴대성

편리한 USB 인터페이스를 갖춘 작고 가벼운 디자인으로 노트북 및 기타 휴대용 장치를 포함한 다양한 호스트 플랫폼을 지원합니다.


비용 절감 효과

nShield 제품군의 가장 경제적인 HSM인 nShield Edge는 엔트리 포인트 HSM을 제공하는 동시에 필요에 따라 다른 nShield 모델로 환경을 확장 할 수 있도록 해줍니다.




nCipher nShield Edge HSMs 제품 사양


인증 받은 하드웨어 솔루션

nCipher는 nShield 제품에 대한 광범위한 인증을 받았습니다. 이러한 인증은 고객이 nShield HSM이 엄격한 업계 표준을 준수한다는 확신을 주면서 고객이 컴플라이언스를 준수하는데 도움이 됩니다. nShield Edge HSM은 FIPS 140-2 Level 2 및 Level 3 인증을 받았습니다.


안전 및 환경 표준 준수

  • UL, CE, FCC, C-TICK, 캐나다 ICES

  • RoHS2, WEEE


API 및 암호화 알고리즘에 대한 폭 넓은 지원


지원되는 API

  • PKCS # 11, OpenSSL, Java (JCE), Microsoft CAPI 및 CNG


지원되는 암호화 알고리즘

  • 비대칭 공개 키 알고리즘 : RSA, Diffie-Hellman, ECMQV, DSA, KCDSA, ECDSA, ECDH, Edwards (X25519, Ed25519ph)

  • 대칭 알고리즘 : AES, AES-GCM, ARIA, 동백, CAST, RIPEMD160 HMAC, SEED, 트리플 DES

  • 해시 / 메시지 다이제스트 : SHA-1, SHA-2 (224, 256, 384, 512 비트), HAS-160

  • Brainpool 및 커스텀 커브를 포함한 완벽한 라이선스 ECC를 갖춘 Full Suite B 구현


nShield HSM은 이러한 암호화 알고리즘의 대부분을 표준 기능 세트의 일부로 제공합니다. ECC 또는 한국 알고리즘을 사용하려는 조직의 경우 선택적인 활성화 라이센스가 필요합니다.


운영 체제

  • Microsoft Windows 7 x64, 10 x64, Windows Server 2008 R2 x64, 2012 R2 x64, 2016 x64

  • Red Hat Enterprise Linux AS / ES 6 x64, x86, 7 x64; SUSE Enterprise Linux 11 x64 SP2, 12 x64

  • Oracle Enterprise Linux 6.8 x64, 7.1 x64



nCipher nShield Edge HSMs 옵션 및 액서서리


CipherTools 개발자 툴킷

CipherTools Developer Toolkit은 자습서, 참조 문서, 샘플 프로그램 및 추가 라이브러리 세트입니다. 이 툴킷을 사용하면 개발자는 nShield HSM의 고급 통합 기능을 최대한 활용할 수 있습니다. 이 툴킷을 사용하면 표준 API에 대한 지원을 제공 할 수 있을 뿐 아니라 nShield HSM을 사용하여 사용자 정의 응용 프로그램을 실행할 수 있습니다.


Elliptic Curve Cryptography (ECC) 활성화

ECC 활성화 라이센스를 사용하면 nShield HSM에서 EC-DH, EC-DSA 및 EC-MQV를 사용할 수 있습니다.


KCDSA 활성화

KCDSA 활성화 라이센스를 사용하면 한국어 인증서 기반 디지털 서명 알고리즘 (KCSDA)과 HAS-160, SEED 및 ARIA 알고리즘을 nShield HSM에서 사용할 수 있습니다.


FIPS 인증 옵션

nShield Edge는 FIPS 140-2 Level 2 및 Level 3 변형으로 제공됩니다. 비 FIPS 개발자 버전도 제공됩니다.




관리 및 모니터링

° 원격 관리 오퍼레이팅 기능 / 멀티유저 엑세스 컨트롤 기능

° 보안 감사 로깅

° Syslog 진단 지원

° Windows 성능 모니터링

° SNMP 모니터링 에이전트


물리적인 스펙

° 스마트 카드 리더가 내장 된 휴대용 데스크탑 장치

° 스탠드 오픈 치수 120 x 118 x 27mm (4.7 x 4.6 x 1in)

° 무게 : 340g (0.8lb)

° 입력 전압 : USB 호스트 장치로 구동되는 5V DC

° 소비 전력 : 700mW


성능

° NIST 권장 키 길이에 대한 서명 퍼포먼스 지원

° 2048 비트 RSA : 2 tps

° 4096 비트 RSA : 0.2 tps




nShield HSM FIPS 140-2 인증




CC EAL4+ 인증서





nCipher의 nShield HSM에 대한 사양 및 구입 문의는 아래의 아이마켓코리아 담당자에게 연락주시면 친절하게 상담해드립니다.



nCipher nShield HSM 문의
(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

nCipher nShield Solo HSMs 소개 (엔사이퍼 HSM 솔로)

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.03.19 08:00 / 카테고리 : nCipher HSM (Thales-HSM )



nShield Solo HSMs

nShield Solo HSM (Hardware Security Module)는 개별 서버 및 어플라이언스에서 호스팅되는 응용 프로그램에 암호화 키 서비스를 제공하는 FIPS 인증 PCI-Express 카드 기반 암호화 솔루션입니다.


nShield Solo HSM은 단일 서버 또는 어플라이언스에서 호스팅되는 하나 이상의 응용 프로그램에 암호화 서비스를 제공하는 로우 프로파일 임베디드 PCI-Express 카드입니다. 이 강화된 변조 방지 카드는 암호화, 코드 서명 등을 포함하여 광범위한 상용 및 맞춤형 응용 프로그램을 대신하여 암호화, 디지털 서명 및 키 생성을 수행합니다.


nShield Solo 시리즈에는 nShield Solo+와 새로운 고성능 nShield Solo XC가 포함되어있어 비대칭 및 대칭 성능이 뛰어나며 동급 최강의 타원 곡선 암호화 (ECC) 트랜잭션 속도를 제공합니다.



nShield Solo 시리즈는 독립 실행형 서버에 대한 암호화를 제공하는 PCI-Express 카드입니다.

  • 높은 암호화 트랜잭션 속도와 유연한 확장으로 성능과 가용성을 극대화

  • 암호화, 코드 서명 등을 포함한 다양한 응용 프로그램 지원

  • nShield CodeSafe는 nShield의 보안 실행 환경에서 응용 프로그램을 보호

  • nShield 원격 관리를 통해 비용을 절감하고 출장 인건비를 감소




nCipher Solo HSM의 장점


유연한 아키텍처

모든 nShield HSM은 nCipher의 고유한 Security World 아키텍처와 통합됩니다. 이 입증된 기술을 통해 다양한 nShield HSM 모델을 결합하여 확장성, 원활한 장애 극복 및 로드 밸런싱을 제공하는 통합 된 생태계를 구축 할 수 있습니다.


더 많은 데이터 처리 속도 향상

nShield Solo HSM은 업계에서 가장 높은 암호화 트랜잭션 속도를 지원하므로 처리량이 중요한 기업 소매, IoT 및 기타 환경에 이상적입니다. nShield Solo XC는 최고의 트랜잭션 성능 속도와 호스트 측 가상화 지원 기능을 제공합니다.


독점적인 애플리케이션 및 데이터 보호

nShield Solo HSM은 중요한 키와 데이터를 보호하지 않습니다. 또한 중요한 응용 프로그램을 실행하기위한 안전한 환경을 제공합니다. CodeSafe 옵션을 사용하면 nShield 경계 내에서 코드를 실행하여 응용 프로그램과 프로세스에서 처리하는 데이터를 보호 할 수 있습니다.



인증받은 하드웨어 솔루션

nCipher는 nShield 제품에 대한 광범위한 인증을 받았습니다. 이러한 인증은 고객이 nShield HSM이 엄격한 업계 표준을 준수한다는 확신을 주면서 고객이 규정을 준수하는 데 도움이됩니다.


보안 컴플라이언스 인증

  • FIPS 140-2 레벨 2 및 레벨 3

  • nShield Solo + 모델에 대한 공통 기준 EAL4 + (AVA_VAN.5)

  • QSCD (Qualified Signature Creation Device)로 nShield Solo + 인식



안전 및 환경 표준 준수

  • UL, CE, FCC, C-TICK, 캐나다 ICES

  • RoHS2, WEEE


고성능 트랜잭션 레이트

nShield HSM은 높은 타원 곡선 암호화 (ECC) 및 RSA 트랜잭션 속도를 자랑합니다. 가장 효율적인 암호화 알고리즘 중 하나인 ECC는 소형 센서 또는 모바일 장치에서 실행되는 응용 프로그램과 같이 낮은 전력 소비가 중요한 곳에서 특히 선호됩니다.


 nShield Solo Models

 500+

XC Base 

6000+ 

XC Mid 

XC High 

 NIST 권장 키 길이에 대한 RSA 서명 성능 (tps)

 2048 bit

 150

 430 

 3000 

 3500 

 8600 

 4096 bit

 80

 100 

 500 

 850 

 2025 

 ECC NIST 권장 키 길이에 대한 ECC 프라임 곡선 서명 성능 (tps)

 256 bit

 540

 680 

 2400 

 5500 

 14,400 



API, 암호화 알고리즘 및 OS에 대한 폭 넓은 지원

1. 지원되는 API

  • PKCS # 11, OpenSSL, Java (JCE), Microsoft CAPI 및 CNG


2. 지원되는 암호화 알고리즘

  • 비대칭 공개 키 알고리즘 : RSA, Diffie-Hellman, ECMQV, DSA, KCDSA, ECDSA, ECDH, Edwards (X25519, Ed25519ph)

  • 대칭 알고리즘 : AES, AES-GCM, ARIA, 동백, CAST, RIPEMD160 HMAC, SEED, 트리플 DES

  • 해시 / 메시지 다이제스트 : SHA-1, SHA-2 (224, 256, 384, 512 비트), HAS-160

  • Brainpool 및 커스텀 커브를 포함한 완벽한 라이선스 ECC를 갖춘 Full Suite B 구현


nShield HSM은 표준 기능 세트의 일부로 이러한 암호화 알고리즘의 대부분을 지원합니다. ECC 또는 한국 알고리즘을 사용하려는 조직의 경우 선택적인 활성화 라이센스가 필요합니다.


운영 체제

  • Microsoft Windows 7 x64, 10 x64; Windows Server 2008 R2 x64, 2012 R2 x64, 2016 x64

  • Red Hat Enterprise Linux AS / ES 6 x64, 7 x64; SUSE Enterprise Linux 11 x64 SP2, 12 x64

  • Oracle Solaris 11 (SPARC), Oracle Solaris 11 x64

  • Oracle Enterprise Linux 6.8 x64, 7.1 x64

  • Solo+ : Red Hat Enterprise Linux AS / ES 6 x86; IBM AIX 7.1 (POWER6), HP-UX 11i v3

Solo XC 가상 환경 지원 : Microsoft Windows Hyper-V Server 2016, VMware ESXi 6.5, Citrix XenServer 6.5

 Model

 MTBF (hours)

 Solo XC 726,461

 Solo+

 1,105,978

※ Telcordia SR-332 "전자 장비의 신뢰성 예측 절차 "MTBF 표준을 사용하여 25C 온도에서 계산됩니다.



성능 등급 및 옵션

nCipher는 응용 프로그램의 성능 요구를 충족시키기 위해 사양 탭에 표시된대로 다양한 nShield 솔로 모델을 제공합니다. 표시된 성능 모델 중에서 선택할 수 있으며 저 성능 모델에서 상위 모델로 현장 업그레이드를 구입할 수도 있습니다.


nShield 웹 서비스 옵션 팩

웹 서비스 옵션 팩을 사용하면 응용 프로그램과 nShield 암호화 서비스 간의 간단한 인터페이스를 제공하는 nShield 웹 서비스 암호화 API를 사용할 수 있습니다. 이 API는 클라우드, 데이터 센터 또는 사내 애플리케이션이 클라이언트 측 통합없이 nShield 데이터 보호 솔루션에 액세스 할 수있게합니다.


nShield 모니터

nShield Monitor는 payShield 및 nShield HSM의 상태를 연중 무휴로 파악할 수있는 모니터링 플랫폼입니다. 이 솔루션을 사용하면 보안 팀이 HSM을 효율적으로 검사하여 잠재적 인 보안, 구성 또는 사용 문제가 업무 핵심 인프라를 손상시킬 수 있는지 즉시 확인할 수 있습니다.


원격 관리 키트

nShield 원격 관리를 통해 사업자는 분산 된 nShield HSM (응용 프로그램 추가, 펌웨어 업그레이드, 상태 확인, 재부팅 등)을 관리 할 수 ​​있으므로 출장 비용을 절감 할 수 있습니다. 원격 관리 키트에는 도구를 설치하고 사용하는 데 필요한 하드웨어 및 소프트웨어가 들어 있습니다. 이 키트는 nShield Solo 및 nShield Connect HSM에서 사용할 수 있습니다.



CodeSafe

CodeSafe는 nShield HSM의 보안 경계 내에서 응용 프로그램을 실행할 수있는 강력하고 안전한 환경입니다. 샘플 응용 프로그램에는 디지털 미터, 인증 에이전트, 디지털 서명 에이전트 및 사용자 지정 암호화 프로세스가 포함됩니다. CodeSafe는 FIPS 140-2 Level 3 인증 nShield Solo 및 nShield Connect HSM과 함께 제공됩니다.


CipherTools 개발자 툴킷

CipherTools Developer Toolkit은 자습서, 참조 문서, 샘플 프로그램 및 추가 라이브러리 세트입니다. 이 툴킷을 사용하면 개발자는 nShield HSM의 고급 통합 기능을 최대한 활용할 수 있습니다. 이 툴킷을 사용하면 표준 API에 대한 지원을 제공 할 수 있을 뿐만 아니라 nShield HSM을 사용하여 사용자 정의 응용 프로그램을 실행할 수 있습니다.


데이터베이스 보안 옵션 팩

데이터베이스는 종종 조직의 가장 중요한 데이터를 포함합니다. 고객이 데이터를 보호 할 수 있도록 주요 데이터베이스 공급 업체는 자사 제품에 기본 암호화를 구현했습니다. nShield 데이터베이스 보안 옵션 팩은 Microsoft의 EKM (Extensible Key Management) API에 대한 지원을 추가하여 조직에서 Microsoft SQL Server의 중요한 데이터를 보호하는 키를보다 잘 보호 할 수 있도록 지원합니다.


타임 스탬핑 옵션 팩 (Time Stamping Option Pack)

nShield Solo 500+ HSM과 함께 사용되는 Time Stamping Option Pack 및 Time Stamping Developer 소프트웨어 (선택 사항)를 사용하면 회사에서 문서에 타임 스탬프가 지정된 서명을 안전하게 적용 할 수 있습니다. 이러한 타임 스탬핑 시그니처는 디지털 기록 관리에 높은 보증 무결성을 제공하며 코드 서명, 금융 거래, 법적 서류, 복권 및 게임, 보안 로그, 장기 아카이브 등을 포함한 다양한 응용 프로그램을 지원할 수 있습니다.





Elliptic Curve Cryptography (ECC) 활성화

ECC 활성화 라이센스를 사용하면 nShield HSM에서 EC-DH, EC-DSA 및 EC-MQV를 사용할 수 있습니다.


KCDSA 활성화

KCDSA 활성화 라이센스를 사용하면 한국어 인증서 기반 디지털 서명 알고리즘 (KCSDA)과 HAS-160, SEED 및 ARIA 알고리즘을 nShield HSM에서 사용할 수 있습니다.


스마트 카드 판독기 랙 마운트

19인치 랙에 하나 이상의 nShield Solo 모듈을 배치하는 조직의 경우 nShield 스마트 카드 판독기 랙 마운트 (선택 사양)를 사용하여 카드 판독기를 데이터 센터에 부착 할 수 있는 실용적이고 깔끔한 솔루션을 제공합니다. 랙 마운트 높이는 1U이며 최대 장착 가능 nShield Solo 카드가 기본으로 제공되는 4 개의 스마트 카드 리더 각 장치에는 사용하지 않은 슬롯을 덮을 수 있도록 3 개의 블랭킹 플레이트가 함께 제공됩니다.




nCipher의 nShield HSM에 대한 사양 및 구입 문의는 아래의 아이마켓코리아 담당자에게 연락주시면 친절하게 상담해드립니다.



nCipher nShield HSM 문의
(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

Blog Information

아이마켓코리아

보안솔루션, HSM, 인증보안, DLP 솔루션, 암호화 장비, 기업서버 판매, 보메트릭

공지사항

블로그 검색

Calendar

«   2019/03   »
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31            

방문자 통계

  • 전체 : 378,481
  • 오늘 : 136
  • 어제 : 393
(주) 아이마켓코리아
주소 : 서울시 강남구 삼성로 512 삼성동빌딩 16층
대표이사 : 남인봉 | 사업자등록번호 : 104-81-58502
TEL : 02-3708-8254 | Mail : raykim7@imarketkorea.com
Copyright © imarketkorea.Co,Ltd All Rights Reserved.