Często zadawane pytania (FAQ)#

Skalowalność, wysoka dostępność: Jak zsynchronizować klaster składający się z wielu instancji?#

NetHSM jest bezstanowy, dzięki czemu można korzystać z kilku urządzeń NetHSM, aby zapewnić niezwykle wysoką przepustowość i wysoką dostępność. Moduł PKCS#11 obsługuje harmonogram round-robin dla klastra instancji NetHSM. Wiele instancji NetHSM może być synchronizowanych poprzez szyfrowane kopie zapasowe. W tym celu oddzielny system pobiera i przesyła pliki kopii zapasowych między instancjami. Może to być system skryptowy wykorzystujący pynitrokey. Ten oddzielny system nie ma dostępu do danych kopii zapasowej w postaci zwykłego tekstu, ponieważ pliki kopii zapasowej są zaszyfrowane.

Czy NetHSM posiada certyfikat FIPS lub Common Criteria?#

Jeszcze nie, ale dążymy do uzyskania certyfikatów w przyszłości. Skontaktuj się z nami, jeśli jesteś zainteresowany wsparciem tych wysiłków.

Jakie zabezpieczenia przed fizyczną ingerencją zostały zastosowane?#

NetHSM zawiera moduł TPM, który jest chroniony przed fizyczną ingerencją. TPM jest podstawą zaufania i bezpiecznie przechowuje klucze kryptograficzne, które są używane do szyfrowania i odszyfrowywania dalszych danych i kluczy w NetHSM. Chroni to przed uruchomieniem złośliwego oprogramowania układowego i oprogramowania oraz odszyfrowaniem przechowywanych danych i kluczy. Obecny NetHSM nie zawiera dodatkowych czujników do wykrywania manipulacji.

Gdzie mogę dowiedzieć się więcej o architekturze i implementacji zabezpieczeń NetHMS?#

Zacznij od rozdziałów Pierwsze kroki, Administracja i Operacje. Następnie skorzystaj z następujących zasobów.

Mapa drogowa: Jakie funkcje są planowane?#

Planujemy następujące zmiany w luźnej kolejności. Możliwe są zmiany tego priorytetu w oparciu o prośby klientów.

  • Ulepszenia wydajności

  • Kworum: schemat dostępu m-of-n i zarządzanie domeną bezpieczeństwa

  • Dodatkowe ECC: ECDH (X25519, NIST), secpXk (Koblitz) , Brainpool

  • Bezpośrednia, dynamiczna możliwość tworzenia klastrów, możliwa obsługa zewnętrznej bazy danych

  • Zdalne zaświadczenia i usługi w chmurze

  • Uwierzytelnianie użytkownika za pomocą certyfikatów mTLS lub FIDO

  • Lepsze zarządzanie uprawnieniami użytkowników (np. dodatkowe role, grupy)

  • Produktywny, użyteczny kontener oprogramowania

  • Dalsze rozdzielanie i utwardzanie

  • Certyfikaty FIPS i/lub Common Criteria

  • Nadmiarowe zasilacze