Dažnai užduodami klausimai (DUK)

K: mastelio keitimas, didelis prieinamumas: kaip sinchronizuoti kelių egzempliorių klasterį?

NetHSM neturi būsenos, todėl galima naudoti kelis NetHSM įrenginius, kad būtų užtikrintas itin didelis pralaidumas ir didelis prieinamumas. PKCS#11 modulis palaiko „NetHSM“ egzempliorių klasterio apylankinį tvarkaraštį. Keli NetHSM egzemplioriai gali būti sinchronizuojami naudojant šifruotas atsargines kopijas. Tam atskira sistema atsisiunčia ir įkelia atsargines kopijas tarp egzempliorių. Tai gali būti scenarijaus sistema, naudojanti pynitrokey. Ši atskira sistema neturi prieigos prie atsarginių kopijų duomenų atviru tekstu, nes atsarginių kopijų failai yra užšifruoti.

K: Ar NetHSM turi FIPS arba Common Criteria sertifikatą?

Kol kas dar ne, bet ateityje ketiname sertifikuoti. Jei norite paremti šias pastangas, susisiekite su mumis.

K: Kokios apsaugos priemonės nuo fizinio klastojimo yra įdiegtos?

NetHSM turi TPM, kuris yra apsaugotas nuo fizinio klastojimo. TPM yra pasitikėjimo pagrindas ir saugiai saugo kriptografinius raktus, kurie naudojami kitiems NetHSM duomenims ir raktams šifruoti ir iššifruoti. Tai apsaugo nuo kenkėjiškos programinės įrangos ir programinės įrangos paleidimo ir saugomų duomenų bei raktų iššifravimo. Dabartiniame NetHSM nėra papildomų jutiklių, kuriais būtų galima aptikti klastojimą.

K: Kur galiu sužinoti daugiau apie NetHMS saugumo architektūrą ir įgyvendinimą?

Pradėkite nuo skyrių „Pradedame dirbti“, „Administravimas“ ir „Operacijos“. Tęskite darbą su šiais šaltiniais.

• Bendras sistemos dizainas

• Saugumo vertinimo ataskaita

• Visas pirminis kodas

• Fizinis atsitiktinių skaičių generatorius (TRNG), kurio kokybė PTG.3 pagal AIS-20: techninė įranga, programinė įranga

K: veiksmų planas: Kokios funkcijos planuojamos?

Toliau planuojame šiuos pokyčius laisva tvarka. Atsižvelgiant į klientų pageidavimus, šį eiliškumą galima keisti.

• Našumo patobulinimai

• Kvorumas: m-of-n prieigos schema ir saugumo srities valdymas

• Papildomas ECC: ECDH (X25519, NIST), secpXk (Koblitz) , Brainpool

• Tiesioginė, dinaminė klasterio galimybė, galbūt išorinės duomenų bazės palaikymas

• Nuotolinis atestavimas ir debesijos paslauga

• Naudotojo autentiškumo patvirtinimas naudojant mTLS sertifikatus arba FIDO

• Daugiau naudotojų teisių valdymo (pvz., papildomi vaidmenys, grupės)

• Produktyviai naudojamas programinės įrangos konteineris

• Tolesnis atskyrimas ir grūdinimas

• FIPS ir (arba) „Common Criteria“ sertifikatai

• Rezerviniai maitinimo šaltiniai