nCipher HSM - MS SQL TDE및 Oracle TDE 용 암호화 키 관리 솔루션

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.05.31 17:28 / 카테고리 : nCipher HSM (Thales-HSM )



nCipher HSM 데이터베이스 암호화 및 키 관리 솔루션

nCipher HSM을 통해 기업은 내부 및 외부 위협으로부터 가장 민감한 키를 보호하고 데이터 보호 의무를 준수(컴플라이언스) 할 수 있습니다. nCipher HSM을 사용하면 기본 데이터베이스 암호화 기능을 최대한 활용하고 키 관리 활동에 더 높은 수준의 보증을 추가하여 최적의 보안, 효율성 및 암호화 된 데이터에 대한 액세스 가능성을 보장 할 수 있습니다.


nShield HSM은 Oracle Database 및 Microsoft SQL Server TDE 데이터베이스 암호화 키 및 기타 다양한 애플리케이션의 생성, 보호 및 저장을 위한 안전한 환경을 제공하는 하드웨어 암호화 모듈 장치(HSM : Hardware Security Module)입니다.





nCipher HSM 솔루션 개요 : TDE 키 관리

Microsoft SQL Server 및 Oracle Database 솔루션은 고객의 데이터베이스에 저장된 데이터를 보호하는 고유의 투명한 데이터베이스 암호화 (TDE)를 제공합니다. TDE 키를 관리하면 보호하는 자산에서 격리하고 안전하게 저장하는 것과 같은 어려움이 있습니다. nCipher 키 관리 솔루션은 Microsoft SQL Server 및 Oracle Database에 대한 키 관리를 중앙 집중화하여 데이터 보안을 강화하는 동시에 키에 대한 보다 강력한 보안성을 제공합니다.



nCipher HSM은 데이터베이스와 암호화 키에 대한 심플하고 안전한 관리 환경 구성이 가능합니다.

  • 중앙집중식 키 관리를 통한 효율적인 운영
  • 데이터베이스에서 키를 분리하여 보다 강력한 보안 구축 (별도의 물리적인 키 저장 공간 제공)
  • FIPS 140-2 인증을 받은 하드웨어 기반의 포괄적인 키 보안 환경 구성






Oracle 및 MS SQL 등의 데이터베이스 암호화시 생기는 문제점

중앙 집중화 구성 실패

데이터베이스는 중점적으로 해커들에게 공격을 당하는 포인트입니다. 온프레미스 또는 클라우드에 관계없이 데이터베이스는 중요한 데이터를 보유하고 있으며 공격 대상자가 가장 공격을 많이 하는 대상입니다.


부족한 보안 관리 및 제어

보안 관리가 충분하지 않으면 조직이 데이터 변조 및 데이터 유출로 이어질 수 있습니다. 예를 들어, 키 관리가 데이터베이스 내에서 처리되면 DBA는 데이터와 키를 모두 제어합니다. nCipher 데이터베이스 암호화 솔루션은 공격자가 권한 있는 사용자를 모방위협 뿐만 아니라 내부자 권한 남용 위협을 방지할 수 있습니다. 


암호 키 분실
암호 키 손실은 기존 고객의 데이터를 사용할 수 없도록 만들 수 있습니다. 암호화된 데이터를 해독이 불가능하기 때문에 비즈니스 운영에 막대한 손실을 가져올 수 있습니다. 




기업에게 가장 적합한 데이터베이스 암호화 솔루션은?

nCipher nShield HSM 키 암호화 / 보호

높은 수준의 보안이 필요한 환경에 최적화된 nCipher HSM은 데이터베이스 키에 대해 FIPS-140-2 인증된 보호 기능을 제공합니다. 여러 폼팩터로 제공되는 nShield HSM은 높은 보증 보안 및 규정 준수 요구 사항을 충족하고 데스크탑 데이터베이스에서 단일 서버 데이터베이스, 트워크에 분산된 데이터베이스 응용 프로그램에 이르는 모든 환경을 지원하며 강화된 솔루션의 키를 보호합니다.




nCipher nShiled HSM의 장점


규정 준수 간소화

보안 인증 암호화 및 키 관리를 사용하여 데이터 보호 준수 의무 및 보고 활동을 단순화하여 중요한 컴플라이언스 및 규제 준수 의무를 충족합니다.


직무 분리

마스터 키를 암호화 된 데이터에서 분리하여 내부자 공격의 위협을 줄임으로써 직무 분리를 수행합니다.


비용 절감

업계 최고의 암호 키 관리 아키텍처로 설계된 nCipher를 사용하여 대규모 데이터베이스 환경에서 키 관리와 관련된 관리 비용을 줄임으로써 효율성을 극대화 할 수 있습니다.





MICROSOFT SQL 및 Oracle 데이터베이스 주요 관리 과제

Microsoft SQL Server 및 Oracle Database 솔루션은 고객의 엔터프라이즈 및 클라우드 호스트 데이터베이스에 저장된 데이터를 보호하는 고유의 투명한 데이터베이스 암호화 (TDE)를 제공합니다. 또한, 암호화 기반 보안 체계와 마찬가지로 강력한 데이터 보안을 위해서는 암호화 키를 안전하게 보호하고 관리해야합니다.


암호화 키를 관리하는 것은 키 관리를 위한 가장 중요한 포인트 일뿐만 아니라 업계 공통의 데이터 보호 컴플라이언스 입니다. 하지만, 암호화 키 관리의 어려움은 여러 용도로 여러 데이터베이스를 사용하면서 필요에 따라 키를 안전하게 저장, 백업 및 사용할 수 있도록 하기 위해 전용 키 관리가 필요함에 따라 증대됩니다.


1. 투명성 있는(TRANSPARENT) 데이터베이스 암호화를 위한 주요 관리자 솔루션

nCipher 하드웨어 보안 모듈은 엔터프라이즈 및 클라우드 호스팅 Microsoft SQL Server 및 Oracle Database에 대한 핵심 관리를 강화하고 중앙 집중화하여 데이터 보안을 향상시키면서 키에 대한 더 많은 명령을 제공합니다.


2. nShield ™ 하드웨어 보안 모듈을 사용하여 암호화 키 관리
nShield 하드웨어 보안 모듈 (HSM)은 아래에 설명 된대로 Microsoft SQL 및 Oracle TDE 키를 관리하기 위한 신뢰의 루트(Root of Trust)를 제공합니다.

3. Microsoft SQL 투명 데이터 암호화
nCipher 키 관리 솔루션은 Microsoft의 데이터베이스 암호화 체계에 사용되는 키의 안전한 저장 및 관리를 제공하여 Microsoft TDE를 보완합니다. Microsoft TDE는 데이터베이스 암호화 키 (DEK)를 사용하여 SQL 데이터베이스의 중요한 데이터를 암호화하고 EKM (Microsoft Extensible Key Management)과의 nShield HSM 인터페이스를 사용하여 DEK를 FIPS 140-2 인증을 받은 nShield HSM에 저장하고 관리합니다.



4. 오라클 데이터베이스 투명한 데이터 암호화

nShield HSM은 Oracle Database 암호화 키를 중앙에서 저장 및 관리하여 Oracle Database TDE를 보완합니다. Oracle Advanced Security TDE의 2 계층 키 구조의 일부인 Oracle Database는 마스터 암호화 키 (MEK)를 사용하여 데이터베이스 내의 열과 테이블 공간을 암호화하는 데 사용되는 데이터베이스 암호화 키 (DEK)를 암호화합니다. nShield HSM은 Oracle FLEX 인증 경계 내에서 이러한 MEK를 보호하고 관리하기 위해 Oracle Wallet과 상호 작용을 합니다.




5. 엔터프라이즈 및 클라우드 지원

데이터베이스가 회사 내(온프레미스) 또는 클라우드에 있더라도 nShield HSM은 데이터베이스 암호화 키를 안전하고 효율적으로 관리합니다.


※ nCipher nShield HSM 키 관리 솔루션

암호 키를 데이터베이스 응용프로그램과 독립적(별도의 하드웨어 저장 공간)으로 중앙에서 관리하면 운영을 간소화하고 규정 준수 의무(컴플라이언스)를 만족하며 중요한 데이터를 보다 효과적으로 보호하는 데 도움이 됩니다.



nShield HSM은 세 가지 폼 팩터로 사용할 수 있습니다.

  • nShield Connect, 네트워크를 통해 여러 응용 프로그램을 제공하는 어플라이언스

  • nShield Solo, 단일 서버에서 애플리케이션을 지원하는 PCIe 카드

  • 저용량 거래를 위한 USB 연결 데스크톱 장치인 nShield Edge

※ nShield HSM은 FIPS 140-2 Level 2 및 Level 3 인증을 받았습니다.


1. nCipher - nShield Connect 


2. nCipher - nShield Solo



3. nCipher - nShield Edge



MS SQL DataBase의 TDE 및 Oracle DataBase TDE를 지원하는 암호화 및 암호 키 관리 하드웨어 암호화 모듈인 nCipher HSM에 대한 견적 및 제품 도입 문의는 아래의 아이마켓코리아 보안담당자에게 연락 주시기 바랍니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

SSL / TLS 암호화 솔루션 - nCipher nShield HSMs + CodeSafe

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.05.16 23:40 / 카테고리 : nCipher HSM (Thales-HSM )



TLS / SSL 암호화는 웹 응용 프로그램 및 클라우드 서비스의 사용 증가로 인해 TLS / SSL 암호화 배포 및 그에 따른 키 및 인증서 관리 요구가 증가하고 있어서 이제 필수 불가결하게 되었습니다.



nCipher의 제품 및 서비스를 사용하면 비즈니스 및 고객 데이터를 보호하고 중요한 웹 응용 프로그램에 필요한 효율성을 제공하면서 높은 수준의 보안, 고성능 SSL 및 TLS 암호화를 구현할 수 있습니다.



SSL / TLS 암호화 중요사항


1. SSL / TLS 마스터 키 보호

SSL / TLS 암호화 배포의 보안은 관련 마스터 키의 보안에 따라 다릅니다. 높은 수준의 보증이 필요한 조직은 하드웨어 보안 모듈 (HSM)에서 SSL / TLS 암호화 키를 보호해야 합니다.


2. 전체 SSL / TLS 연결 보안

보안의 필요성이 높은 어플리케이션의 경우 보안 관리자는 nShield HSM의 CodeSafe SSL 솔루션의 기능을 활용하여 전체 SSL / TLS 소프트웨어 스택 및 관련 어플리케이션 로직을 HSM의 기능 범위 안에서 해결 할 수 있습니다.




안전한 SSL / TLS 암호화를 위한 해결책 - nCipher nShield HSM

높은 수준의 보안이 필요한 어플리케이션의 경우 nShield HSM (하드웨어 보안 모듈)은 SSL / TLS 암호화 마스터 키에 대해 FIPS 인증된 보호 기능을 제공합니다. 


임베디드 nShield Solo를 사용하든 독립형 nShield Connect HSM을 사용하든, nShield SSL 솔루션은 높은 수준의 보안 및 컴플라이언스에 대한 요구 사항을 충족 하도록 지원합니다. nCipher nShield HSMs SafeGuard는 다수의 중요한 SSL / TLS를 보호하고 관리하여 키가 허가 받지 않은 사용자에게 노출되지 않도록 합니다.






nCipher SSL 보안 솔루션의 특장점

  • 중앙 집중식의 높은 SSL / TLS 키 관리를 위해 쉽게 배포되고 독립적으로 인증된 보안 환경 구축

  • 임베디드 및 독립형 폼팩터 및 성능 등급은 가상 환경을 비롯한 다양한 배포 시나리오에 적합

  • 강력한 FIPS 140-2 Level 3 인증 플랫폼은 주요 관리 정책을 시행하고 어플라이언스 감사에 유리

  • nCipher SSL 및 TLS 암호화 솔루션은 오늘날의 응용 프로그램 인프라에 대한 높은 성능, 가용성, 확장성 및 신뢰를 제공







또한, nCipher Security CodeSafe를 통해서 nCipher nShield HSM 통합하여 더 강력한 SSL / TLS 보안 환경 구축이 가능합니다.





nCipher Security CodeSafe®

민감한 애플리케이션을 위한 인증된 하드웨어 보호


CodeSafe는 개발자가 FIPS 인증 nShield HSMs의 변조 방지 영역 내에 민감한 응용 프로그램을 작성하고 실행할 수있게 해주는 도구 세트입니다. 보안 실행 환경에서 실행되는 애플리케이션은 데이터를 암호화, 복호화 처리 할 수 있을뿐 아니라 애플리케이션의 키 사용을 제어하는 정책의 HSM 적용의 이점을 누릴 수 있습니다.




1. 애플리케이션의 광범위한 산업 유형에 대응

CodeSafe를 사용하여 모든 유형의 어플리케이션을 보호 할 수 있습니다. 예로는 뱅킹, 스마트 계량, 인증 에이전트, 디지털 서명 에이전트 및 사용자 지정 암호화 프로세스와 관련된 암호화 등이 있습니다




2. 애플리케이션 무결성 보장

CodeSafe는 nShield의 보안 실행 환경에서 실행 중인 어플리케이션에 디지털 서명을 하는 도구를 제공하므로 런타임에 HSM에서 무결성을 확인 할 수 있습니다.



3. CODESAFE 주요 정책 시행 및 접근 통제

CodeSafe는 소프트웨어 소유자가 키와 인증서를 포함한 애플리케이션 데이터의 사용을 관리하는 정책을 정의하고 이러한 정책을 시행함으로써 핵심 관리를 위한 안전한 환경을 제공합니다. 또한 CodeSafe는 키와 인증서를 지정된 응용 프로그램과 고유하게 연결하여 강력한 액세스 제어를 보장합니다.



4. SSL 보호 / TLS 엔드포인트

CodeSafe 어플리케이션 개발자는 자신의 어플리케이션 내에 OpenSSL 라이브러리를 내장하여 nShield HSM에서 SSL / TLS 세션을 종료하고 end-to-end 암호화를 용이하게 하며, 데이터 전송 계층의 보안을 강화하고 공격 피해를 줄일 수 있습니다.



5. 원격 제어 및 업데이트 기능

관리자는 중앙 집중화 형태로 애플리케이션을 제어 할 수 있으므로 물리적으로 HSM에 액세스 할 필요가 없습니다.



6. nCipher nShield HSM과의 호환성

CodeSafe는 FIPS 140-2 Level 3 인증 nShield Solo PCI-e 및 네트워크 연결 nShield Connect HSM에서 사용할 수 있습니다. 호환 모델에는 XC 제품 라인을 포함하여 지원되는 모든 nShield Solo 및 Connect HSM이 포함됩니다.




HSM 개발 환경

CodeSafe는 다음 프로그래밍 어플리케이션과 호환됩니다.

  • 임베디드 애플리케이션 용 C 및 C ++ 프로그래밍 언어

  • C, C ++ 및 Java on host-server


Codesafe 사용 요구사항

CodeSafe를 사용하려면 다음이 필요합니다.

  • FIPS 140-2 Level 3 인증 nShield Solo 또는 연결 HSM

  • CodeSafe 개발자 툴킷

  • CodeSafe 정품 인증 라이센스

※ CodeSafe Developer Toolkit에는 응용 프로그램을 nShield HSMs과 통합하는 데 유용한 자습서, 문서 및 샘플 프로그램이 포함되어 있습니다. nCipher Advanced Solutions Group (ASG)은 시스템 통합에 도움이 되는 전문 서비스를 제공합니다.





nCipher nShield HSMs와 CodeSafe 솔루션을 통해 SSL 및 TLS 암호화 환경을 안전하게 구축할 수 있습니다. 솔루션에 대한 문의는 아래의 아이마켓코리아 담당자에게 문의주시기 바랍니다.




(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

DNS 쿼리 프로세스를 보호하는 보안 장비 (DNSSEC) nCipher HSM

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.04.30 08:00 / 카테고리 : nCipher HSM (Thales-HSM )



소프트웨어에서 DNSSEC를 구현하는 것이 가능하지만 공격자는 서명 키에 액세스하여 DNS 쿼리 프로세스를 손상시킬 수 있습니다.


DNS (Domain Name System)는 사실 인터넷 주소록입니다. 웹 사이트 이름을 해당 등록된 IP 주소와 일치시킬 수 있습니다. 그러나 웹 쿼리의 불법적인 변경은 최종사용자나 서비스를 불법 IP 주소로 유도하여 데이터 도용을 목적으로 불법 서버로 라우팅 할 수 있습니다. 


DNSSEC (Domain Name System Security Extension)은 이 위협에 대응하여 만들어졌습니다. DNSSEC은 디지털 서명을 사용하여 서버가 쿼리에 대한 DNS 응답의 무결성을 인증하고 확인할 수 있게 하는 메커니즘입니다.



솔루션 요약 - DNSSEC 배포를 위한 서명 키 보안

  • 독립적으로 인증HSM (FIPS 140-2 Level 3 및 Common Criteria EAL4 +)을 사용하여 DNSSEC 검증 프로세스의 무결성을 보장합니다.

  • 강력한 변조 방지 하드웨어 경계와 입증 된 감사 가능한 메커니즘을 유지하여 보관시에도 중요한 서명 키를 보호합니다.

  • 단일 "수퍼 유저"의 위협을 완화하고 규정 준수를 용이하게하기 위해 견고한 액세스 제어를 통해 업무를 분리합니다.

  • 무제한 키 스토리지, 보안 백업 및 복구, 강력한 암호화 가속을 통해 고가용성 및 DNS 서버 성능을 향상 시킵니다.



DNSSEC와 관련된 위험

  • DNS 프로세스에 액세스하는 공격자는 고객을 위장한 사이트로 유도하여 개인 정보를 유출하도록 속일 수 있습니다.

  • 소프트웨어에서 DNSSEC를 구현하는 것이 가능하지만 공격자는 서명 키에 액세스하여 DNS 쿼리 프로세스를 손상시킬 수 있습니다.




DNSSEC : nCipher 솔루션

nCipher의 제품 및 서비스는 비즈니스와 고객의 정보를 보호하면서 동시에 비즈니스에서 요구하는 성능을 제공하는 높은 보증 DNSSEC 프로세스를 배포하는데 도움을 줍니다. nShield 하드웨어 보안 모듈 (HSM)은 최상위 도메인 (TLD), 레지스트라, 레지스트리 및 기업이 인터넷을 통해 DNSSEC 응답의 무결성을 검증하는데 사용되는 매우 중요한 서명 프로세스를 보호하고 일반적으로 " 캐시 중독 "과" 중간자 (man-in-the-middle) "공격이 포함됩니다. 


nCipher HSM 솔루션은 검증되고 감사 가능한 보안 이점을 제공하여 DNSSEC 유효성 검사 프로세스의 무결성을 보장하는 서명 키의 적절한 생성 및 저장을 가능하게합니다.



nShield HSM으로 인터넷 보호하기

DNS (Domain Name System)는 인트라넷과 인터넷 연결 라우팅에 중요한 역할을 하는 중요한 인프라 구조 구성 요소입니다.


보안을 염두에 두고 설계된 적이 없기 때문에 시스템의 고유한 취약점은 모든 형태의 인터넷 통신에 잠재적 인 위험을 제기합니다. 실제로 DNS는 IP 주소와 도메인 이름 정보를 DNS 쿼리 형태로 서로 통신하고 공유하는 수천 개의 분산 서버로 구성됩니다. 


DNS는 실제로 인터넷의 마스터 주소록으로, nCipher 보안 도메인 이름 (www.ncipher.com)과 같은 웹 주소를 해당 등록된 IP 주소 (98.129.76.138)로 변환하고 일치시킬 수 있습니다. 쿼리를 불법적으로 변경하면 잠재적으로 사용자 또는 서비스를 불법적인 서버가 합법적인 사이트로 가장하여 불량 IP 주소로 라우팅 할 수 있습니다. 


이 DNS의 취약점은 1990년대 후반부터 알려져 있습니다. 이메일, 뱅킹, 웹 서비스, VoIP (Voice over IP), 클라우드 서비스 등과 같은 모든 유형의 서비스에 대한 인터넷에 대한 의존도가 높아짐에 따라 DNS 보안은 점점 더 위험해지고 있습니다. 


심각한 중단 및 기업 및 정부 네트워크에 대한 잠재적 위험을 관리하기 위해 이제 도메인에서 DNS 보안 확장 (DNSSEC)을 배포하기 시작했습니다. 이 취약점을 해결하고 위험 부담을 완화하기 위해 고안된 DNS 표준에 추가 되었습니다.



DNSSEC은 어떻게 DNS 취약점을 보호할 수 있을까요?

DNSSEC는 DNS 표준 외에도 DNS 쿼리에 대한 DNS 응답의 무결성을 인증하고 확인하는 메커니즘을 구축하여 캐시 중독 및 중간자 공격의 위협을 완화합니다.


캐시 중독은 DNS 서버의 캐시에 잘못된 레코드가 우발적으로 또는 의도적으로 도입되어 잘못된 라우팅 정보가 사용자에게 제공됩니다. MITM (Man-in-the-middle) 공격은 DNS 데이터베이스의 레코드를 명시적으로 변경하지 않고 사용자 요청을 차단하고 합법적인 DNS 서버로 포즈를 취합니다.



그림 1 : 비 DNSSEC 시나리오 : 사용자가 부적절한 서버로 잘못 라우팅





위 그림과 같이 사용자가 DNSSEC이 아닌 환경에서 브라우저를 사용하여 인터넷을 통해 웹페이지 또는 기타 리소스를 요청하면 (단계 1) DNS 레코드 데이터베이스 또는 캐시에서 제공된 해당 IP 주소 (2 단계 및 3 단계) 및 DNS 서버에서 (4 단계) 손상 될 수 있습니다. 잘못된 DNS 응답을 받은 결과 사용자는 위장을 하는 서버로 보내집니다 (5 단계). 주소 캐시에 대한 공격의 결과로 사용자 또는 응용 프로그램은 합법적인 서버와 실제로 통신하고 있다고 인식합니다. 


DNSSEC은 다른 많은 네트워크 보안 응용 프로그램을 보호하기 위해 널리 사용되고 신뢰되어 있는 입증 된 공개 키 암호화를 사용하여 DNS 리소스 레코드에 디지털 서명을합니다.


이 방법으로 DNS 서버는 도메인 이름을 해당 IP 주소에 연결하는 레코드의 원본 및 무결성을 증명할 수 있습니다. DNSSEC을 사용함으로써 조직은 서비스 나 사용자가 다른 타협의 희생이 될 수있는 합법적인 사이트로 위장한 잘못된 IP 주소로 리디렉션되는 위험을 최소화 할 수 있습니다.


인터넷상의 개인 정보를 보호하기 위해 중요한 데이터를 암호화하기 위한 사실상의 표준으로 SSL (Secure Socket Layer)이 자리 잡은 것처럼 DNSSEC은 라우팅 지침의 무결성을 보호하기위한 기본 메커니즘이 될 것으로 기대됩니다. DNSSEC이 배포되면 최고 수준의 루트에서 최상위 도메인 (TLD)을 거친 다음 엔터프라이즈 DNS까지 여러 계층에 걸친 "신뢰 체인"이 만들어지고 확장 될 수 있습니다 기업 내의 로컬 라이즈 드 DNS 서버에 이르기까지 다양합니다. 그림 2에서 볼 수 있듯이 루트는 TLD의 주소를 알고 있습니다.


따라서 TLD는 ISP (Internet Service Providers), 레지스트라 및 레지스트리의 주소를 구별하고 다시 ELD (Enterprise Level Domain) 고객을 식별합니다. 각 고객은 레지스트리를 세분화 할 수 있는 기능을 갖추고 있습니다. .



NCIPHER HSMS가 DNSSEC 구축에 유리한 이유

nCipher는 HSM의 선도적 제공 업체입니다. 전 세계 수천 명의 고객이 DNSSEC를 포함하여 다양한 PKI 관련 응용 프로그램에 성공적으로 배포했습니다. nCipher nShield 범용 HSM 제품군은 가장 까다로운 운영 환경에서도 견고한 보안 및 고성능을 제공합니다. 



모든 nShield HSM은 다양한 공통 DNSSEC 지원 소프트웨어 시스템을 대신하여 신뢰할 수 있고 변조된 내성이 없는 보안 경계 내에서 암호화 및 디지털 서명과 같은 키 관리 및 암호화 작업을 수행합니다. 동등한 보안 경계를 설정할 수 없는 대체 소프트웨어 솔루션에 비해 탁월한 보안을 제공하기 때문에 DNSSEC 환경에서 nShield HSM을 배포하면 다음과 같은 이점이 있습니다.


  • 시스템의 보안 속성에 대한 독립적 인 보증을 제공하는 FIPS 140-2 Level 3 및 Common Criteria EAL4+ 에 대한 인증

  • 암호 키를 안전하게 보관하고 보호하는 강력한 변조 방지 하드웨어

  • 단일 "수퍼 사용자"의 위협을 완화하기 위해 고급 쿼럼 기술을 사용하여 관리자 및 이중 제어를 강력하게 인증합니다.



DNS, IT 및 보안 관리자 간의 주요 관리 활동 의무를 사전에 분리하여 규정 준수 촉진 보안 및 규정 준수 강화 이외에도 ISP, 등록기관, 레지스트리 및 IPAM (IP Address Management) 공급 업체가 이러한 운영상의 이점을 실현할 수 있습니다. 


운영상의 이점은 다음과 같습니다.

  • 여러 DNS 서버를 지원하는 중앙 집중식 키 관리

  • HSM을 동적으로 추가하고 용량 요구 사항이 증가함에 따라 로드 균형을 조정할 수 있는 확장성

  • 무제한의 안전한 키 백업 및 복구 기능을 갖춘 고 가용성 및 재해 복구

  • DNS 서버 성능 향상을 위한 암호화 CPU 오프 로딩

nCipher의 고유 한 키 관리 방식은 손실로 부터 키를 보호하고 무제한 스토리지를 제공하며 데이터 센터 간의 복제를 지원하고 운영의 연속성을 보장합니다.





DNS 보안에 최적화된 nCipher nShield HSM으로, 전한 DNSSEC 솔루션을 구축하시기 바랍니다. 솔루션에 대한 문의는 아래의 아이마켓코리아 담당자에게 문의주시기 바랍니다.




(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

블록체인 구축 및 암호 키 보호를 위한 보안 솔루션 - nCipher nShield HSM

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.04.30 06:52 / 카테고리 : nCipher HSM (Thales-HSM )


블록체인 보안 (Blockchain Security) - nCipher nShield HSM 솔루션

블록체인 네트워크 참여자는 각 사용자가 인증되고 각 거래가 유효하다는 보증을 요구합니다.


블록체인 및 분산 원장 기술은 기존 조직과 신규 시장 진출자 모두에게 중요한 새로운 기회를 제공합니다. 블록체인 구현은 특정 비즈니스를 근본적으로 변경하여 운영을 단순화하고 비용을 줄이며 트랜잭션을 간소화 할 수 있습니다.




지불, 건강 관리, 무역 금융, 정부 및 규정 등 가장 관련이있는 사용 사례에서 Blockchain을 광범위하게 채택하는 주요 장애물 중 하나는 중요한 문제, 즉 보안 문제를 해결하는 것입니다.


조직에서 블록체인에 대한 새롭고 혁신적인 사용 사례를 지속적으로 찾으면서 보안은 처음부터 통합되어야합니다. 블록체인의 각 트랜잭션이 적절하게 보안이 설정된 서명 키를 사용하여 디지털 서명되고 로직이 변경되지 않도록 보호해야 합니다.


nCipher HSM 및 전문 서비스는 안전하고 확장 가능한 블록체인 어플리케이션을 개발하고 구현하는 데 도움이 될 수 있습니다.


nCipher HSM, 블록체인을 위한 높은 보증 보안 구현

  • HSM의 보안 경계 내에서 민감한 코드를 처리하여 위험을 감소

  • 증가하는 타원 곡선 목록 지원으로 블록 체인 구현 편의성 증대

  • nShield HSM은 보안을 희생하지 않고도 암호화 기능을 확장, 클러스터링 가능

  • nCipher의 전문 서비스팀의 강력하고 신속한 지원 제공



블록체인 구현시 보안 위협


참가자 인증

개인이 분산 원장에 참여하기 전에 고도의 보안 방법을 사용하여 인증을 받아야합니다.


트랜잭션의 신뢰성 검증

네트워크 참여자는 각 거래를 신뢰할 수 있다는 확신이 필요합니다. 그렇지 않으면 네트워크 자체에 대한 신뢰가 문제가됩니다.


암호 키 보안

블록 체인 기술 자체가 변조 방지 기능을 갖추고 있음에도 불구하고 암호화 된 키는 분산 네트워크에 대한 액세스를 보호하고 트랜잭션이 유효한지 확인하는 데 필수적입니다. 최근 몇 년 동안 암호 해독 교환에 대한 공격에서 볼 수 있듯이 이러한 키는 네트워크 침해를 통해 취약 해지고 도난 당할 수 있습니다.




암호 키를 보호하고 시스템을 보호할 수 있습니다.

암호화 기반의 인프라와 마찬가지로, 암호 키를 보호하는 것은 블록체인 시스템의 보안을 보장하는데 가장 중요합니다. 성공적인 블록체인 시스템은 HSM이 제공하는 강력한 보안이 필요합니다. nCipher HSM은 분산 블록체인 모델에 필요한 확장성과 유연성을 제공합니다.

nCipher는 서명 키 및 컨센서스 로직을 보호하는 블록체인의 구현과 관련된 기본적인 보안 문제를 해결합니다. nShield HSM을 통해 기업은 다음을 수행 할 수 있습니다.

  • secp256k1, Edwards Curve (Ed25519) 및 기타와 같은 ECC 알고리즘을 사용한 안전한 트랜잭션 서명

  • FIPS 인증, 변조 방지 하드웨어 경계 내에서 서명 키 보호

  • nShield의 고유한 CodeSafe 기능을 사용하여 서명 프로세스의 비즈니스 로직을 보호




블록체인 솔루션


강력한 인증

은행 및 기타 산업과 마찬가지로 블록 체인 네트워크에 대한 신뢰를 구축하는 것은 암호화 프로세스를 기반으로 참여하는 사용자 및 장치의 강력한 인증 여부에 달려 있습니다. 전 세계의 조직에서는 높은 수준의 사용자 인증 방법의 기반으로 nCipher nShield HSM을 사용합니다.


디지털 서명

블록 체인에 제출 된 트랜잭션은 개인 키를 사용하여 디지털 서명되어 사용자가 입력 한 내용을 확인하고 변경을 방지합니다. nCipher nShield HSM은 개인 키의 발급 및 해지에 사용되는 기본 루트 키를 보호합니다.


루트 키에 대한 보안 강화

nCipher nShield HSM은 네트워크 사용자 인증 및 트랜잭션 유효성 검사를 지원하는 루트 키에 대해 FIPS 인증, 변조 방지 (tamper-resistant) 보호 기능을 제공합니다. 현장에서 검증된 nShield HSM은 특정 환경에 맞게 다양한 폼팩터 및 성능 수준에서 사용할 수 있습니다.



블록체인에 제출된 트랜잭션은 개인 키를 사용하여 디지털 서명되어 해당 항목이 의도된 사용자의 것 인지 확인하고 변조/위조를 방지합니다. nCipher nShield HSM은 개인 키의 발급 및 삭제에 사용되는 기본 루트 키를 보호합니다.


승인된 트랜잭션만 블록체인에 추가 할 수 있도록 nShield의 고유한 CodeSafe 기능은 컨센서스 로직 코드를 실행 할 수 있는 안전한 환경을 제공합니다. CodeShield는 nShield HSM의 보안 경계 내에 있기 때문에, 가장 민감한 코드에 대해 FIPS 140-2 Level 3 인증을 제공합니다.



또한, 수십 년간의 경험을 바탕으로 nCipher의 전문 서비스팀은 nShield HSM의 안전한 기반 위에 구축 된 안전하고 효과적인 블록체인 어플리케이션을 구현하는데 도움을 줄 수 있습니다.




 서명 키 보호

 서명 프로세스 보호

 FIPS 및 공통 기준 인증 HSM 내에서 

서명 키 생성 및 보호

 nShield CodeSafe 실행 환경을 사용하여 

서명 프로세스 제어   (다중 서명 응용 프로그램 지원)


암호화 지원


◈ 타원형 곡선 지원

  • secp256k1, ECDSA

  • Ed25519, EdDSA


◈ 해시
  • SHA-2

  • RIPEMD-160


◈ 키 유도 함수
  • Hyperledger 클라이언트 키 유도
    ※ nCipher Professional Services가 제공하는 구현 지원



nChiper HSM으로 블록체인 보안을 구축 하였을 때의 이점


Root of Trust 제공

nCipher HSM은 조직에서 신뢰를 바탕으로 블록 체인 기반 트랜잭션 네트워크를 구축, 배포 및 운영 할 수 있도록하는 키 및 암호화 작업에 대한 강력한 신뢰 기반을 제공합니다.


보안성 향상

nShield HSM은 가장 엄격한 보안 요구 사항을 충족시키는 루트 키에 대한 선도적인 보호 기능을 제공합니다.


확장성

nShield HSM을 클러스터링하여 성능과 가용성을 향상시켜 보안을 희생하지 않고도 블록체인 작업의 확장성을 구현할 수 있습니다.


강력한 컴플라이언스 준수

nShield HSM은 FIPS 140-2 Level 3 및 Common Criteria EAL 4+ 인증을 충족하므로 규제가 엄격한 환경의 조직이 규정 준수 요구 사항을 충족시키면서 블록 체인 전략을 실행할 수 있습니다.




nCipher nShield HSMS 소개

nShield HSM은 최고 수준의 보안 및 컴플라이언스 표준을 충족하는 하드웨어 암호화 모듈입니다. FIPS 및 공통 Criteria 인증의 키 생성 및 보호기능을 제공합니다. 


nCipher nShield HSM Connect (네트워크 연결형 HSM)


또한, nShield HSM은 점점 커지는 타원 곡선 목록을 지원하며 전 세계의 보안 의식이 뛰어난 조직에서 서명 키 및 암호화 응용 프로그램을 보호합니다. 그리고, nShield HSM은 처리량 증가에 대한 요구를 충족하고, 확장 할 수 있도록 클러스터링 할 수 있습니다.



nCipher nShield HSM FIPS 140-2 인증




nCipher nShield HSM CC EAL 4+ 인증



블록체인 구현 및 암호 키 보호에 최적화된 nCipher nShield HSM으로, 전한 블록체인 서비스를 구축하시기 바랍니다. 솔루션에 대한 문의는 아래의 아이마켓코리아 담당자에게 문의주시기 바랍니다.




(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

[nCipher HSM] 강력한 인증(Strong Authentication) 절차 구현을 위한 솔루션

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.04.23 08:00 / 카테고리 : nCipher HSM (Thales-HSM )



nCipher HSM의 강력한 인증(Strong Authentication) 구현

단순한 암호가 많은 응용 프로그램에 여전히 사용되고 있지만 웹 기반 기술의 사용 확대로 인해 지분이 더 많이 발생하고보다 정교하고 복잡한 위협이 생겨 규제가 더욱 엄격 해졌습니다. 새 제품과 서비스는 처음부터 적절하고 적절한 보안으로 제공되어야하며 기존 시스템은 재평가되어야 합니다. 이러한 이유와 다른 이유로 많은 조직에서는 암호를 뛰어 넘는 강력한 인증 솔루션을 구현하고 있습니다.


온프레미스 및 클라우드 기반 리소스에 액세스 하기 위한 FIPS 인증 암호화를 사용하는 표준 기반 Single Sign-On 솔루션

  • 기업 전체의 리소스에 대한 관리 액세스가 가능

  • 사내 구축형 또는 클라우드 기반 엔터프라이즈 서비스에 대한 multiple sign-on의 필요성 제거

  • 기존의 다중 도메인 액세스 솔루션을 사용하여 신속하게 배포하고 확장

  • FIPS 및 Common Criteria 인증 표준 기반 Single Sign On으로 신뢰 강화

  • 보호된 토큰 서명 및 암호화로 동급 최강의 신원 관리 제공


애플리케이션의 특정 요구 사항에 부합하는 접근 방식을 찾으려면 조직에서 광범위한 공급 업체 제품을 선택하거나 자체 솔루션을 조합 할 수 있습니다. 그러나, 바쁜 웹 사이트에서 직원이나 모바일 고객을 인증하는 기업은 다음과 같은 방법으로 강력한 인증을 제공해야 합니다.

  • 업계 고유의 위임 사항 및 인증 체계를 지원합니다. 예를 들어, 지불 업계에서는 조직이 EMV 카드에 대한 지원을 시작하고 3D 보안 프로토콜과 같은 온라인 인증 체계를 지원해야 합니다.

  • 신흥 다중 요소 인증 기술에 대한 지원을 제공합니다. 인증 기술이 은색으로 나타나지 않으며 대부분의 조직은 새로운 기술이 출시되면서 시간이 지남에 따라 발전하는 다양한 메커니즘을 지원해야 합니다.

  • 인증 인프라에서 일관된 보안 상태를 유지합니다. 사용자 토큰 및 생체 인식의 형태로 강력한 인증 기술이 소개되면서 조직은 새로운 공격 지점을 나타내는 불일치를 피하기 위해 백엔드 시스템의 보안 수준을 높여야합니다.

  • 강력한 인증 관리를 유지할 수 있습니다. 단일 조직 내에서 다양한 인증 기술을 사용할 수 있다는 점을 감안할 때 일부 조직에서는 인증 시스템을 중앙 집중식 다중 프로토콜 인증 시스템과 통합하여 효율성을 향상시키고 있습니다.



문제 : 사용자에게 정보 및 애플리케이션에 쉽고 안전하게 액세스 할 수 있는 방법 제공 - 어디서나 어떤 장치에서나

스마트폰부터 태블릿, 클라우드 기반 응용 프로그램에 이르기까지 오늘날의 기업 사용자는 이전보다 더 많은 방법으로 데이터에 액세스 할 수 있으며 빠르고 쉽게 액세스 할 수 있습니다. 엔터프라이즈 보안 요구 사항과 사용자 요구 사항을 충족시키기 위해 조직에는 포괄적인 ID 관리 시스템이 필요합니다.


과제 : 강화된 환경의 Single Sign-on 솔루션은 보다 강력한 보안을 요구합니다.

Single Sign-On (SSO) 솔루션을 사용하면 모든 장치에서 모든 응용 프로그램에 원활하게 액세스 할 수 있습니다. 그러나 직원, 고객 및 파트너의 ID를 여러 도메인에 걸쳐 액세스하려면 클라우드에 많은 ID가있는 경우 특히 이러한 솔루션이 제공하도록 설계된 것보다 강력한 보안이 필요합니다.


사용자가 점점 더 자신의 장치를 조직 환경에 가져 오면 비즈니스 및 개인 데이터를 안전하고 사적으로 유지하는 데 추가적인 어려움이 있습니다. Single Sign-On 솔루션은 사용자 자격 증명의 수가 증가하고 있기 때문에 보호해야 하는 매우 중요한 대상이되었습니다. 


시스템의 손상은 광범위한 기업의 결과를 초래할 수 있으며 서비스 중단으로 인해 광범위한 액세스 거부가 발생할 수 있습니다.



nCipher nShield Connect HSM은 PingFederate 엔터프라이즈 ID 브리지와 통합되어 높은 보증 환경에서 SAML 토큰 서명 및 암호화 키를 보호하므로 SOAP (Simple Object Access Protocol)를 사용하여 웹 서버간에 키를 교환 할 수 있습니다.



nCipher nShield Connect HSM은 PingFederate 엔터프라이즈 ID 브리지와 통합되어 높은 보증 환경에서 SAML 토큰 서명 및 암호화 키를 보호하므로 SOAP (Simple Object Access Protocol)를 사용하여 웹 서버간에 키를 교환 할 수 있습니다.



솔루션 : 핑 (PING) ID 및 NCIPHER 하드웨어 보안 모듈 (HSMS)은 액세스 관리를 위한 고성능 솔루션을 제공합니다.

PingFederate는 기업 사용자가 자신의 정보 및 응용 프로그램에 쉽게 액세스 할 수 있도록 Single Sign-On (SSO)을 지원합니다. multiple sign-on 사용자 이름과 암호가 필요 없으며 사용자가 웹 응용 프로그램과 조직간에 ID를 공유 할 수 있습니다. 


PingFederate는 SAML (Security Assertion Markup Language), WS- 연합, WS- *, OAuth, OpenID, OpenID Connect 및 SCIM (System for Cross-Domains Identity Management)을 포함한 Single Sign-On 및 연합 신원 표준을 준수합니다. 이러한 ID 표준을 활용하여 PingFederate는 조직 도메인 및 모바일 장치를 통해 엔터프라이즈 및 클라우드 기반 리소스에 대한 사용자 액세스를 보호합니다.


최고 수준의 ID 보안을 위해 PingFederate는 nCipher 네트워크 기반 nShield Connect 하드웨어 보안 모듈 (HSM)과 함께 배포 할 수 있습니다. nCipher HSM은 안전한 암호화 서비스를 제공하는 고성능 네트워크 연결 및 변조 방지 장치입니다. 이 장치를 통해 조직은 SAL 토큰 처리 및 생성을 보완하는 토큰에 서명하고 암호화 할 수 있습니다. 


HSM은 중요한 서명 및 SSL 키를 보호하기 위해 강력한 무결성 및 신뢰성을 제공하여 키가 권한이 없는 엔터티에 노출되지 않도록합니다. 또한 nCipher HSM은 중앙 집중식 키 관리 기능을 제공하며 고 가용성 장애 조치 및로드 균형 조정을 위해 구성 할 수 있습니다. 


PingFederate와 nCipher의 통합 nShield Connect는 FIPS 140-2 Level 3 및 Common Criteria EAL4 + 인증된 보호 기능을 제공합니다.





HSMS가 신원 관리에 중요한 이유는 무엇입니까?

순전히 소프트웨어 기반 시스템에 ID 관리 플랫폼을 배포 할 수는 있지만 이 방법은 본질적으로 안정성이 떨어집니다. 인증된 HSM의 암호화 경계 외부에서 처리되는 토큰 서명 및 암호화 키는 토큰 서명 및 배포 프로세스를 손상시킬 수있는 공격에 훨씬 더 취약합니다. HSM은 귀중한 암호 자료를 보호하고 FIPS 승인 하드웨어 보호를 제공하는 유일한 입증되고 감사 가능한 방법입니다.




nCipher 솔루션이 제공하는 이점

  • nShield HSM과의 사전 테스트 된 통합을 통해 다양한 유형의 상용 인증 솔루션을 쉽게 강화

  • 지적 재산 보호 및 악의적인 공격으로부터 보호하기 위해 독점 인증 프로세스를 강화

  • 다양한 유형의 인증을 하나의 유연한 플랫폼으로 통합하고 중앙 집중화

  • 인증에 크로스 토큰 또는 멀티 벤더 방식을 채택하고, 백엔드 인증 시스템의 변경없이 벤더 종속을 피하고 기술 마이그레이션이 가능

  • 비즈니스 요구 사항에 따라 다양한 선택 항목 중에서 가장 적합한 인증 체계를 선택하고 동시에 애플리케이션 통합, 시스템 보호 및 정책 집행 영역의 일관성을 보장



HSM을 통해 기업은 다음을 수행 할 수 있습니다.

  • 신중하게 설계된 암호화 경계 내에서 안전한 토큰 서명 키를 사용하고, 권한이 부여 된 엔티티에서만 키가 사용되도록 하기 위해 강제적인 업무 분리와 함께 견고한 액세스 제어 메커니즘을 사용합니다.

  • 정교한 키 관리, 스토리지 및 이중화 기능을 사용하여 가용성 확보

  • 다양한 디바이스 및 위치의 리소스에 대한 액세스 요구에 대한 엔터프라이즈 요구 사항을 지원하는 고성능 제공


NCIPHER

nCipher nShield Connect는 고 가용성 웹 서버 및 데이터 센터 환경을 위한 고성능 네트워크 연결 HSM입니다. 

  • 보안 및 변조 방지 환경에서 디지털 인증서 서명 및 발급을 위한 키 저장

  • 공공 부문, 금융 서비스 및 기업에 대한 규제 요구 사항 준수

  • 스마트 카드 기반 정책 및 이중 인증으로 관리자 액세스를 관리

  • 원격 위치에 있는 무인 HSM에 대한 관리 기능을 제공하고 권한을 위임 불필요

  • 고성능 타원 곡선 암호화 (ECC)를 지원


핑 (PING IDENTITY)

PingFederate는 고객, 파트너 및 직원을 위한 SSO 및 ID 관리를 가능하게 합니다. 기존 ID 인프라를 사용하여 응용 프로그램에 대한 페더레이션 액세스를 위한 포괄적인 아이덴티티 관리 솔루션을 제공하는 가볍고 강력한 ID 브리지입니다.

  • 미리 패키지 된 80 개의 통합 키트 제공

  • ID 저장소 및 응용 프로그램, 사내 구축 형 및 클라우드에 연결

  • 하루 이내에 어디서나 배치



강력한 인증 환경(Strong Authentication) 구현하는 nCipher의 nShield HSM에 대한 사양 및 구입 문의는 아래의 아이마켓코리아 담당자에게 연락주시면 친절하게 상담해드립니다.



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

[nCipher] PKI (공개키) 및 디지털 인증서의 무결성을 보장하는 HSM

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.04.18 06:00 / 카테고리 : nCipher HSM (Thales-HSM )



공개 키 암호화 및 디지털 인증서 (PKI and Digital Certificates)의 무결성을 위한 nCipher HSM

공개 키 암호화는 사용자, 네트워크, 데이터 및 중요한 비즈니스 시스템을 보호하는 방법으로 널리 보급되었습니다. 


데이터를 암호화하고 개인 정보를 보호하기 위해 공개 키 기반 구조 (PKI) 디지털 인증서를 사용하는지 여부, 무결성 및 신뢰성을 입증하기 위해 문서 및 메시지에 디지털 서명을하거나 사용자 및 시스템을 인증하고 액세스를 제어하는데 사용되는 공개 키 작업은 현대 운영 체제, 상업용 보안 제품 및 사용자 지정 시스템으로 구성됩니다. 


전자상거래, 온라인뱅킹, 인터넷 게임, 스마트 폰 및 클라우드 컴퓨팅은 모두 사용자, 연결된 장치, 웹 서비스 및 비즈니스 응용 프로그램의 디지털 신원을 나타 내기 위해 디지털 인증서를 사용합니다.


인증 기관에서 발급 한 각 디지털 인증서는 문제의 사용자 또는 조직과 밀접하게 관련되어 있으며 암호화 또는 서명과 같은 안전한 작업을 수행하는 데 사용되는 강력한 고유의 자격 증명을 형성하는 암호 키 쌍을 기반으로 합니다.


nCipher 서비스 및 HSM을 사용하여 보안 ID 관리 솔루션 배포 및 유지 관리가 가능합니다.

  • 개인과 장치의 신원을 보호

  • 올바른 프로세스와 절차 구축

  • 기존 PKI 배포의 상태 확인

  • 확대 요구 사항을 충족시키는 PKI 마이그레이션

  • 보안 감사 및 규정 준수



PKI 및 디지털 인증서를 사용시 당면하는 문제점은?

내부 공개 키 인프라 (PKI)를 배포하는 조직은 특정 요구에 맞는 보안 모델을 정의 할 수 있는 유연성을 보유하고 있지만 PKI를 정의, 유지 및 보안하는데 있어서 PKI 관리상의 많은 어려움이 있습니다.

  • CA 서명 사설 키 또는 루트 키의 절도는 위조 된 인증서가 발행 되도록 하며, 위법의 혐의로 이전에 발급 된 디지털 인증서의 일부 또는 전부의 재발급을 강제 할 수 있습니다.

  • 서명 키 사용에 대한 제어가 약하기 때문에 키 자체가 해킹되지 않아도 CA를 오남용 할 수 있습니다.

  • 온라인 인증서 유효성 검사 프로세스와 관련된 키 도난 또는 오남용은 해지 프로세스를 파괴하고 해지 된 디지털 인증서를 악의적으로 사용하는 데 사용할 수 있습니다.

  • 새로운 응용 프로그램이 온라인 상태가 되면 발급 및 유효성 검사와 관련된 서명 활동의 성능 측면을 고려하지 않으면 상당한 비즈니스 영향을 받을 수 있습니다.


nCipher HSM : PKI 및 디지털 인증서를 무결성 보장

nCipher의 제품 및 서비스는 PKI의 무결성, 성능 및 관리 효율성을 보장합니다. 인증서를 발급하고 서명 키를 능동적으로 관리하는 프로세스를 보호함으로써 분실이나 도난을 방지하고,  디지털 보안에 대한 높은 기반을 마련합니다. 


nShield HSM (하드웨어 보안 모듈)을 PKI에 추가하면 가장 중요한 키와 비즈니스 프로세스 중 일부를 보호하는 데 사용되는 독립적으로 인증된 변조 방지 장치를 배포합니다.


nCipher는 주요 PKI 공급 업체와의 상호 운용성 테스트를 수행하고 조직에서 주요 보안 고려 사항을 이해하고 배포를 가속화하고 위험을 최소화하는데 도움이되는 포괄적인 백서 및 통합 가이드를 게시합니다. nCipher의 제품, 전문 기술 및 서비스를 활용하면 기업 전체에서 PKI를 안정적으로 사용할 수 있습니다.


nCipher HSM 도입시 장점

  • CPU 집약적인 서명 작업을 가속화하고 성능을 향상시키며 응용프로그램 및 비즈니스 프로세스를 확장 할 수 있도록 암호화 처리를 분산할 수 있습니다.

  • 위험한 수동 키 관리 프로세스를 제거할 수 있습니다.

  • 엄격하게 시행되는 주요 관리 정책을 통해 규정 준수를 입증하고 포렌식 및 감사 요청에 응답하는 작업을 단순화 할 수 있습니다.

  • 대형 엔터프라이즈 PKI에서 현지화 된 CA 또는 응용 프로그램 특정 CA에 이르기까지 다양한 배포 시나리오에 적합한 다양한 HSM 폼 팩터 및 성능 등급 중에서 선택할 수 있습니다.



상호 연결된 기술의 채택이 증가하면서 기존의 핵심 인프라 스트럭처 (PKI)의 기능을 강화하고 새로운 기술을 보완 할 필요성을 느끼고 있습니다.


암호화가 가능한 응용 프로그램의 사용 증가와 IoT (Internet of Things)의 영향으로 PKI에 대한 새로운 요구가 발생합니다. 


인증 요구 사항의 확대와 장치 및 센서가 가까운 네트워크 생태계에 안전하게 연결되는 방식을 관리해야 하는 필요성 때문에 기업은 기존 PKI의 상태를 확인해야 합니다. 보안 표준의 변화와 함께 기업들은 PKI 구현 전략을 재고하고 경우에 따라 새롭고보다 견고한 배포로 다시 설계하고 마이그레이션 해야합니다.


보다 강력한 보안 응용 프로그램의 운영상의 요구 사항을 충족시키는 엔터프라이즈 PKI를 기반으로 강력한 신뢰의 기반을 유지해야 합니다.


PKI를 사용하는 보안에 더 민감한 응용 프로그램의 경우 개인 키를 기반으로 하는 보안이 필수적입니다. 

2018 Ponemon Institute PKI Trends Study에 따르면 디지털 인증서를 사용하는 상위 5개 응용 프로그램에는 공개 웹 사이트, 가상 사설망, 공용 클라우드 기반 응용 프로그램, 전자 메일 및 장치 인증을 위한 SSL / TLS가 포함됩니다. 


디지털 인증서를 사용하면 응용 프로그램 및 장치를 식별하고 신뢰할 수 있도록 인증 할 수 있습니다. 이를 위해서는 점점 더 많은 수의 개인 키를 자동으로 신뢰할 수 있는 방법으로 보호하고 관리해야 합니다.



[nCipher 자체 관리 PKI 솔루션과 nShield HSM은 상호 연결된 생태계를 보호합니다.]



NCIPHER 자체 관리 PKI는 적절한 보안 하드웨어와 함께 병행 컨설팅 서비스를 제공하여 설치 및 교육에 대한 요구 사항을 고객에게 알립니다.


엔터프라이즈 PKI 요구 사항은 일반적으로 비즈니스, 클라이언트 및 지원하는 응용 프로그램에 따라 고유합니다. nCipher 자체 관리 PKI 오퍼링은 조직 PKI의 설계 및 구현에 대한 기술 전문 지식과 시스템에 대한 강력한 신뢰 기반을 제공하는 데 필요한 보안 하드웨어를 결합합니다. 


서비스에는 초기 요구 사항 평가와 프로세스 및 절차 개발, 고객이 현재 및 미래 요구 사항을 충족시키는 PKI를 배포 할 수 있도록 하는 데 필요한 인프라의 설계 및 구현이 포함됩니다. 컨설턴트는 고객이 자체 PKI 스킬 세트를 개발할 수 있도록 고가용성 및 중복성이 필요한 작업 설정 또는 환경을 지원할 수 있습니다. 


PKI를 처음으로 배포하는 고객의 경우 보안 하드웨어 지원과 함께 설명서 및 배포 서비스가 제공됩니다. 기존 PKI 배포 및 확장 PKI 배포가있는 고객을 위해 보안 검사와 보안 하드웨어와 함께 SHA 마이그레이션 서비스를 비롯한 마이그레이션 서비스가 제공됩니다. nCipher nShield 하드웨어 보안 모듈 (HSM)은 PKI 배포의 보증 수준을 높입니다. 


인증 된 격리 된 환경에서 사설 개인 키를 보호하고 관리하도록 설계된 nCipher nShield HSM은 표준 암호화 응용 프로그래밍 인터페이스 (CAPI)를 사용하여 Microsoft, Red Hat, Entrust, RSA, Safelayer 및 Insta의 PKI를 지원합니다.




왜 NCIPHER HSM을 사용해야 하는 이유

더 중요한 보안 응용 프로그램과 연결된 장치를 배포하면 PKI에 대한 수요가 증가하고 도메인 전체에서 발급 된 개인 및 장치 인증서의 루트 CA (Certificate Authority) 개인 키와 해당 등록을 보호 할 수 있습니다. 



개인 키를 보호하기 위해 HSM을 사용하지 않는 조직의 PKI는 잠재적인 심각한 결과로 인해 혼란에 취약합니다.


HSM은 도난 및 오용으로부터 보안 핵심 키를 보호하고 페일 오버 지원을 통해 전체 라이프 사이클을 관리 할 수 있는 강화된 환경을 제공합니다. HSM을 사용하여 ID 확인 및 승인에 인증서 발급을 바인딩하는 것은 CA 보안 손상을 예방하는 방법입니다. 


FIPS 140-2 Level 3 및 Common Criteria EAL 4+, nCipher nShield HSM 인증을 받았습니다.


  • 안전하고 변조되지 않는 환경에서 루트 CA 및 등록 키 저장

  • 스마트 카드 기반 정책 및 이중 인증을 통한 관리자 액세스 관리

  • 공공 부문, 금융 서비스 및 기업에 대한 규제 요구 사항 준수





NCIPHER HSM 제품군 소개

가상화된 환경을 포함하여 기업 전체에서 ID 자격 증명 관리를 간소화하는 nCipher nShield HSM은 PCI DSS (Payment Card Industry Data Security Standard)와 같은 감사 및 준수 요구 사항을 충족하는 데 도움이 됩니다.



nCipher HSM은 특정 고객의 요구를 충족시키기 위해 다음 모델에서 사용할 수 있습니다.

  • nShield Edge : 오프라인 루트 CA 및 개발자 응용 프로그램 용 휴대용 USB 연결 HSM

  • nShield Solo / Solo + / Solo XC : 서버용 임베디드 PCI Express 고성능 HSM

  • nShield Connect / Connect + / Connect XC : 데이터 센터를 위한 네트워크 연결 고성능 HSM



PKI(공개키) 및 디지털 인증서의 무결성을 보장하고 안정성을 높이는 nCipher의 nShield HSM에 대한 사양 및 구입 문의는 아래의 아이마켓코리아 담당자에게 연락주시면 친절하게 상담해드립니다.




(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

nCipher nShield Remote Administration - 엔사이퍼 HSM 연동 원격 제어 솔루션

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.03.31 20:30 / 카테고리 : nCipher HSM (Thales-HSM )

nShield Remote Administration (엔실드 원격 관리 기능)

nShield Remote Administration (원격 관리)를 통해 사무실 위치에서 오프 사이트 HSM을 관리 할 수 있으므로 시간과 비용을 절약 할 수 있습니다.


nShield HSM은 대개 관리 대상 사람들과 떨어진 곳에 물리적으로 안전한 데이터 센터에서 실행됩니다. 많은 조직에서는 일상적인 관리 작업을 위해 원격 HSM에 액세스하는 것이 비효율적이라고 생각합니다.



Remote Administration를 사용하면 언제든지 선택한 위치에서 응용 프로그램 추가, 펌웨어 업그레이드, 상태 확인 등 HSM을 관리 할 수 있습니다. 따라서 데이터 센터로의 이동이 줄어들기 때문에 비용을 절감하고 리소스를 최적화 할 수 있습니다.


  • 멀리 떨어져 있는 nShield Solo 및 연결 하드웨어 보안 모듈(HSM)을 언제든지 사무실에서 편리하게 사용할 수 있습니다.

  • HSM에 24x7 액세스를 추가하는 동안의 이동 시간과 비용을 절감합니다.

  • 펌웨어 업그레이드, HSM 상태 확인 및 유틸리티 실행과 같은 nShield 스마트 카드의 원격 프리젠테이션을 통해 다양한 기능을 사용할 수 있습니다.

  • 스마트카드를 원격으로 조정함으로써 이동 시의 발생하는 위협을 제거 합니다.



도입 효과

1. 비용 감소

HSM 관리를 위한 데이터 센터 방문을 방지하고 비용과 시간을 절약하며 인력 소모를 줄입니다.


2. 유연한 운영

사무실에서 편리하게 nShield HSM을 관리할 수 있습니다. (24x7)


3. 광범위한 관리

펌웨어 업그레이드, HSM 상태 확인, 유틸리티 실행 등 nShield 스마트 카드의 원격 프리젠테이션을 통해 다양한 기능을 수행할 수 있습니다.


스펙

nShield Remote Administration 호환성 및 전제 조건

  • nShield Solo PCIe 및 연결 HSM

  • 원격 관리 클라이언트 소프트웨어는 Microsoft Windows, Linux 및 OS X와 호환

  • nShield v12.00 이상 소프트웨어 및 2.61.2 이상의 펌웨어

  • 고객이 제공하는 LAN 또는 VPN 및 원격 액세스 솔루션


원격 관리 키트 (Remote Administration Kit)

원격 관리 키트(Remote Administration Kit)에는 nShield HSM에서 원격 관리를 활성화하는 요소가 포함되어 있습니다. 이 키트에는 하나 이상의 TDR (신뢰할 수있는 검증 장치) (보안 스마트 카드 판독기), 원격 관리 카드 (스마트 카드) 및 원격 관리 클라이언트 소프트웨어 및 라이센스가 포함되어 있습니다. 키트는 설치된 HSM를 기준으로 계층별로 크기와 가격을 설정합니다.



FIPS 140-2 인증

원격 관리 및 원격 관리 카드를 지원하는 펌웨어는 모두 FIPS 140-2 Level 3 인증을 받았습니다.






nShield Remote Administration

상세 스펙





Remote Administration(원격 관리)는 다음 구성 요소를 사용하여 원격 HSM을 로컬로 관리합니다.

  • Remote Administration(원격 관리) 카드 - nCipher 애플릿이 장착 된 사용자 정의 스마트 카드

  • TVD (Trusted Verification Devices) - 원격 관리 카드와 함께 사용되는 스마트카드 판독기를 암호화하여 대상 HSM과의 보안 연결을 만듭니다.

  • Remote Administration(원격 관리) 클라이언트 (RAC) 소프트웨어 - HSM 연결을 구성하기 위해 클라이언트 랩탑 또는 워크 스테이션에서 실행되는 간단한 GUI


nShield Remote Administration는 원격 HSM과 로컬 원격 관리 카드 및 TVD간에 보안 연결을 생성하여 스마트카드 쿼럼을 제시하고 장치에 물리적으로 존재하는 것처럼 HSM을 관리 할 수 있게 합니다. VPN을 통해 통신하면 원격 데스크톱이나 보안 쉘 세션을 통해 랩톱이나 워크 스테이션에서 HSM을 제어 할 수 있습니다.


동작 기능

Remote Administration를 사용하면 다음을 포함하여 대다수의 일반적인 HSM 기능을 수행 할 수 있습니다.

  • 신규 nShield HSM 구성/설정 가능

  • 신규 보안 구성/체계 생성 - 유니크 키 관리 아키텍처 암호화 및 기존 보안 체계에 새로운 HSM 등록

  • 유지 보수 및 기타 업데이트를 위해 펌웨어 및 이미지 파일 업그레이드 가능

  • HSM 상태 모니터링 및 변경 및 필요에 따라 재부팅 가능


보안 기능

원격 관리에는 거래를 보호하기 위해 다음이 포함됩니다.

  • Diffie-Hellman 임시 키 교환을 사용하여 factory-issued warrants (디지털 인증서와 같은)을 기반으로하는 원격 관리 카드와 HSM 간의 상호 인증

  • AES256 - 원격 관리 카드와 HSM 간의 동등한 암호화 연결

  • 카드 소지자의 HSM 전자 일련 번호 확인 기능

  • FIPS 140-2 인증 펌웨어 및 원격 관리 카드

  • Secoder 인증을 받은 TVDs - 클라이언트 워크 스테이션의 멀웨어가 원격 관리 카드로 전달되는 HSM ID 스푸핑을 방지


NSHIELD Remote Administration 호환성 및 전제 조건

  • nShield Solo PCIe 및 연결 HSM

  • Microsoft Windows, Linux 및 OS X와 ​​호환되는 RAC 소프트웨어

  • nShield v12.00 이상 소프트웨어 및 2.61.2 이상 펌웨어

  • 고객이 제공하는 LAN 또는 VPN 및 원격 액세스 솔루션


NSHIELD Remote Administration Kit로 시작하기

NSHIELD Remote Administration Kit는 HSM 설치 크기에 따라 다양한 계층으로 제공됩니다. 또한, 원격 관리를 확장하여 업그레이드 키트를 구입하여 설치 후 더 큰 리소스를 지원할 수 있습니다. 아래표를 참조해주시기 바랍니다. (구입 가능한 키트 표기)


 Tier

 Remote HSMs Served 

 Remote Admin Cards 

 TVDs

 Client DVDs

 1

 1 to 10

 20

 2

 2

 2

 11 to 20

 50

 5

 5

 3

 21 to 40

 100

 10

 10

 4

 40 or more

 200

 20

 20




NSHIELD Remote Administration을 이용하여 워크 스테이션을 통해 원격으로 HSM 관리

(원격 데스크톱 또는 보안 셸 세션)






(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

Blog Information

아이마켓코리아

보안솔루션, HSM, 인증보안, DLP 솔루션, 암호화 장비, 기업서버 판매, 보메트릭, 센스톤, 다크트레이스

공지사항

블로그 검색

Calendar

«   2019/06   »
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30            

방문자 통계

  • 전체 : 346,545
  • 오늘 : 19
  • 어제 : 73
(주) 아이마켓코리아
주소 : 서울시 강남구 삼성로 512 삼성동빌딩 16층
대표이사 : 남인봉 | 사업자등록번호 : 104-81-58502
TEL : 02-3708-8254 | Mail : raykim7@imarketkorea.com
Copyright © imarketkorea.Co,Ltd All Rights Reserved.