Управление ключами: актуальные проблемы

Поскольку шифрование лежит в основе множества различных процессов, которые могут обеспечить надежную защиту, без надлежащего управления эти процессы могут стать сложными, затратными и склонными к риску. Ваша способность управлять операциями по обеспечению безопасности, основанными на шифровании (такими как цифровые подписи и шифрование данных), напрямую зависит от вашей способности эффективно управлять ключами шифрования, регламентирующими эти процессы. Проблемы, связанные с управлением ключами, будут только увеличиваться с течением времени, поскольку шифрование все шире используется в ИТ-инфраструктурах организаций, что предполагает необходимость управления все большим количеством ключей, которые становятся более разнообразными. Лица, отвечающие за внедрение криптографической защиты, должны знать различные подходы к управлению ключами, передовые методы управления ключами, а также альтернативные технологии внедрения таких методов. 

Управление ключами — это не просто рабочий процесс. Регулирующие органы все больше осознают важность управления ключами, что ведет к ужесточению требований в отношении безопасности и аудита для данных процессов. Кроме того, стандарты, такие как OASIS Key Management Interoperability Protocol (KMIP), совершенствуются и сводят к минимуму проблему несовместимости ключей для различных устройств и систем. С учетом этих тенденций организациям необходимо принимать во внимание требования в отношении эксплуатации, безопасности и аудита при выстраивании стратегии управления ключами.

Читать далее

Что такое управление ключами?

Процесс управления ключами представляет собой комплекс задач, выполняемых вручную и автоматически, и необходимых для создания, обслуживания, защиты и контроля за использованием ключей шифрования. Не имеет значения, используете вы шифрование данных для обеспечения конфиденциальности, применяя цифровые сертификаты для аутентификации, или выполняете процессы для цифровых подписей с целью подтверждения подлинности документа — многие трудности, связанные с управлением ключами, остаются теми же. У каждого ключа имеется жизненный цикл: он создается, проживает определенный срок службы и удаляется. Продолжительность жизненного цикла ключа и этапы, которые он проходит от момента разработки до момента удаления, могут широко варьироваться в зависимости от конкретного приложения. Благодаря эффективному управлению ключами в течение всего срока их жизненного цикла вы можете снизить риски, сократить расходы на развертывание и обеспечить соответствие требованиям в отношении защиты данных.

Подходы к управлению ключами

В зависимости от ваших целей вас может интересовать управление ключами для одного приложения либо вопрос о том, как управлять ключами шифрования в условиях комплекса деловых процессов внутри подразделения или всей корпорации в целом. 

Индивидуальные приложения для обеспечения безопасности имеют разнообразные характеристики. Вам нужно принимать во внимание разницу между: 1) зашифрованными данными, которые передаются по выделенному каналу связи между двумя центрами обработки данных; 2) использованием надежных цифровых подписей для крупного контракта; 3) обеспечением безопасных операций для Интернет-банкинга; 4) приемом платежей по кредитным картам через безопасный сервер для электронных коммерческих операций; и 5) выпуском микропроцессорной карты для руководителя службы безопасности. Эти процессы сопряжены с различными объемами данных, частотами, потенциальными атаками и деловыми рисками, но каждый из них требует эффективного управления ключами для достижения поставленных целей в отношении безопасности.

У организаций есть выбор из множества вариантов управления ключами. Существует три типовых сценария:

  • Управление ключами при помощи встроенных средств программного обеспечения. На самом простом уровне вы можете использовать базовые возможности для управления ключами, встроенные в отдельный продукт или продукты, развернутые в вашей инфраструктуре. Так, многие коммерческие продукты для шифрования предусматривают функции программного обеспечения для управления по меньшей мере несколькими фазами цикла управления ключами. Область, которой уделяется особое внимание, политики и общие характеристики безопасности таких средств для управления ключами будут широко варьироваться в зависимости от продукта.
  • Управление ключами с использованием усиленных средств защиты. Для более эффективного управления рисками и обеспечения контроля за всем жизненным циклом ключей вы можете использовать специальные надежные средства управления ключами, такие как аппаратные модули системы безопасности (HSM), добавляя к ним коммерческие и пользовательские приложения. Специализированные криптографические аппаратные средства позволят вам сформировать изолированную или защищенную зону для функций шифрования, в результате чего вы сможете избежать уязвимостей, сопряженных с программным шифрованием. Использование независимой платформы обеспечения безопасности для управления ключами также позволяет четко разделить задачи по управлению ключами и задачи по управлению приложениями, в которых используются такие ключи. Разделение обязанностей для сведения к минимуму угрозы кражи информации одним суперпользователем является примером передового метода управления ключами и настоятельно рекомендуется стандартами безопасности, такими как стандарты безопасности данных в сфере платежных карт (PCI DSS).
  • Централизованное управление ключами. При более масштабных развертываниях организации, управляющие ключами разнородных приложений и систем, могут столкнуться с противоречивыми политиками, различными уровнями защиты и растущими расходами. Использование централизованного подхода к управлению ключами позволяет получить ряд преимуществ, включая унифицированные политики, отмену действия ключа в масштабе системы, автоматическую доставку ключа, консолидированный аудит, четкое разделение обязанностей и единое устройство хранения ключей для защиты и резервирования. Применяя более стратегический, каскадный подход к управлению ключами, вы можете обеспечить больший контроль за всей организацией и повысить эффективность работы. Организации, использующие централизованное управление ключами, должны тщательно изучить характеристики безопасности системы, которая может оказаться привлекательным объектом для атаки. Также они должны поддерживать высокий уровень доступности; чтобы гарантировать, что отказ центрального процесса управления ключами не приведет к отказу всей системы, требуются отказоустойчивые механизмы и механизмы для восстановления нормального функционирования.

Скрыть раздел

Риски связанные с ключевым управлением

  • Ключи могут попасть в чужие руки, что приведет к доступу посторонних лиц или приложений к вашей конфиденциальной или ценной информации.
  • Утечка данных может бросить тень на вашу репутацию, привести к риску хищения персональных данных клиента, штрафным санкциям или юридическим проблемам.
  • Ключи шифрования могут потеряться или не подлежать восстановлению, в результате чего данные окажутся нечитаемыми. В зависимости от характера данных потеря ключей может привести к серьезным проблемам для компании, таким как приостановка деятельности, потеря клиентов или правовые последствия.
  • Процессы управления программными ключами предлагают ограниченный уровень защиты, оставляя важные ключи и данные, которые они защищают, уязвимыми для атак.
  • Распространение фрагментированных систем управления ключами повышает сложность и стоимость контроля за безопасностью, в результате чего становится сложнее управлять и масштабировать бизнес-процессы.
  • Ненадлежащая документация действий по управлению ключами может усложнить составление отчетности о соответствии стандартам.

Управление ключами: решения компании Thales e-Security

Thales e-Security ставит перед собой цель помочь организациям достичь высочайшего уровня надежности благодаря внедрению эффективного управления ключами во всем спектре процессов шифрования. С помощью продуктов и услуг компании Thales организации смогут воспользоваться передовыми методами управления ключами и обеспечить высокий уровень надежности, а также операционную эффективность для легкого управления и масштабирования бизнес-процессов. Специалисты компании Thales по управлению ключами помогут вам разработать подход к управлению ключами и внедрить решение, которое будет лучше всего соответствовать вашим потребностям — сегодня и в будущем.

  • Модули nShield HSM позволяют организациям повысить безопасность процессов шифрования и цифровой подписи, обеспечивая аппаратную защиту ключей и операций от несанкционированного вмешательства. Данные модули HSM имеют надежную архитектуру управления ключами Thales Security World, которая автоматизирует важнейшие задачи управления ключами, такие как политики резервного копирования и применения ключей, согласованно по всей совокупности модулей HSM.
  • keyAuthority — защищенное устройство управления ключами, разработанное, чтобы помочь организациям внедрить централизованный подход к управлению ключами для широкого спектра устройств и процессов. Данное устройство обеспечивает защиту от несанкционированного вмешательства, и имеет сертификацию согласно Федеральному стандарту обработки информации (FIPS 140), а также поддерживает репликацию, гарантирующую отказоустойчивость, и сложное управление политиками на основе ролей. KeyAuthority поддерживает новый стандарт KMIP и включает более 25 миллионов ключей.

Преимущества:

  • Внедрение эффективного управления ключами шифрования с помощью выделенных аппаратных модулей и/или централизованных устройств управления ключами.
  • Значительное повышение безопасности по сравнению со встроенными программными средствами по управлению ключами.
  • Установление контроля над фрагментированным развертыванием шифрования или других криптографических приложений.
  • Снижение риска потери ключей, расходов на управление и не масштабируемых процессов.
  • Соответствие всем задачам отрасли и новым стандартам по управлению ключами без риска для непрерывности бизнес-процессов.
  • Внедрение передовых методов управления ключами шифрования и обеспечение соответствия будущим требованиям.
  • Работа со специалистами компании Thales e-Security, которая является мировым лидером в сфере управления ключами шифрования и имеет опыт работы более чем 30 лет.