Usein kysytyt kysymykset (FAQ)#
- Q: Skaalautuvuus, korkea saatavuus: Miten synkronoida usean instanssin klusteri?
NetHSM on tilaton, joten useita NetHSM-laitteita voidaan käyttää erittäin suuren läpimenon ja korkean käytettävyyden mahdollistamiseksi. PKCS#11-moduuli tukee NetHSM-instanssien klusterin round-robin-aikataulua. NetHSM:n useita instansseja voidaan synkronoida salattujen varmuuskopioiden avulla. Tätä varten erillinen järjestelmä lataa ja lataa varmuuskopiotiedostot instanssien välillä. Tämä voi olla skriptattu järjestelmä, jossa käytetään pynitrokey-avainta. Tämä erillinen järjestelmä ei pääse käsiksi varmuuskopiointitietoihin selvänä tekstinä, koska varmuuskopiotiedostot on salattu.
- Q: Onko NetHSM FIPS- tai Common Criteria -sertifioitu?
Ei vielä, mutta pyrimme sertifiointeihin tulevaisuudessa. Ota yhteyttä, jos olet kiinnostunut tukemaan näitä pyrkimyksiä.
- Kysymys: Mitä suojauksia fyysistä peukalointia vastaan on käytössä?
NetHSM sisältää TPM:n, joka on suojattu fyysiseltä peukaloinnilta. TPM on luottamuksen perusta, ja se tallentaa turvallisesti salausavaimet, joita käytetään NetHSM:n muiden tietojen ja avainten salaamiseen ja purkamiseen. Tämä suojaa käynnistämästä haitallisia laiteohjelmia ja ohjelmistoja sekä purkamasta tallennettuja tietoja ja avaimia. Nykyisessä NetHSM:ssä ei ole lisäantureita, jotka havaitsisivat peukaloinnin.
- Q: Mistä saan lisätietoja NetHMS:n turvallisuusarkkitehtuurista ja -toteutuksesta?
Aloita luvuista Aloittaminen, Hallinta ja Toiminnot. Jatka seuraavilla resursseilla.
AIS-20:n mukainen fyysinen satunnaislukugeneraattori (TRNG), jonka laatu on PTG.3: laitteisto, laiteohjelmisto.
- Q: Tiekartta: Mitä ominaisuuksia on suunnitteilla?
Suunnittelemme seuraavia kehityskohteita löyhässä järjestyksessä. Muutokset tähän priorisointiin asiakkaiden toiveiden perusteella ovat mahdollisia.
Suorituskyvyn parannukset
Quorum: m-of-n-käyttöoikeusjärjestelmä ja tietoturva-alueen hallinta
Lisää ECC:tä: ECDH (X25519, NIST), secpXk (Koblitz) , Brainpooli.
Suora, dynaaminen klusterointimahdollisuus, mahdollisesti tuki ulkoiselle tietokannalle.
Etätodistus ja pilvipalvelu
Käyttäjän todennus mTLS-varmenteilla tai FIDO:lla
Lisää käyttäjäoikeuksien hallintaa (esim. lisäroolit, ryhmät).
Tuottava käyttökelpoinen ohjelmistokontti
Muita erotteluja ja kovetuksia
FIPS- ja/tai Common Criteria -sertifikaatit
Ylimääräiset virtalähteet