Często zadawane pytania (FAQ)#
- P: Skalowalność, wysoka dostępność: Jak zsynchronizować klaster składający się z wielu instancji?
NetHSM jest bezstanowy, dzięki czemu można korzystać z kilku urządzeń NetHSM, aby zapewnić niezwykle wysoką przepustowość i wysoką dostępność. Moduł PKCS#11 obsługuje harmonogram round-robin dla klastra instancji NetHSM. Wiele instancji NetHSM może być synchronizowanych poprzez szyfrowane kopie zapasowe. W tym celu oddzielny system pobiera i przesyła pliki kopii zapasowych między instancjami. Może to być system skryptowy wykorzystujący pynitrokey. Ten oddzielny system nie ma dostępu do danych kopii zapasowej w postaci zwykłego tekstu, ponieważ pliki kopii zapasowej są zaszyfrowane.
- P: Czy NetHSM posiada certyfikat FIPS lub Common Criteria?
Jeszcze nie, ale dążymy do uzyskania certyfikatów w przyszłości. Skontaktuj się z nami, jeśli jesteś zainteresowany wsparciem tych wysiłków.
- Q: Jakie są zabezpieczenia przed fizyczną manipulacją?
NetHSM zawiera moduł TPM, który jest chroniony przed fizyczną ingerencją. TPM jest podstawą zaufania i bezpiecznie przechowuje klucze kryptograficzne, które są używane do szyfrowania i odszyfrowywania dalszych danych i kluczy w NetHSM. Chroni to przed uruchomieniem złośliwego oprogramowania układowego i oprogramowania oraz odszyfrowaniem przechowywanych danych i kluczy. Obecny NetHSM nie zawiera dodatkowych czujników do wykrywania manipulacji.
- P: Gdzie mogę dowiedzieć się więcej o architekturze i implementacji zabezpieczeń NetHMS?
Zacznij od rozdziałów Pierwsze kroki, Administracja i Operacje. Następnie skorzystaj z następujących zasobów.
- P: Mapa drogowa: Jakie funkcje są planowane?
Planujemy następujące zmiany w luźnej kolejności. Możliwe są zmiany tego priorytetu w oparciu o prośby klientów.
Ulepszenia wydajności
Kworum: schemat dostępu m-of-n i zarządzanie domeną bezpieczeństwa
Dodatkowe ECC: ECDH (X25519, NIST), secpXk (Koblitz) , Brainpool
Bezpośrednia, dynamiczna możliwość tworzenia klastrów, możliwa obsługa zewnętrznej bazy danych
Zdalne zaświadczenia i usługi w chmurze
Uwierzytelnianie użytkownika za pomocą certyfikatów mTLS lub FIDO
Lepsze zarządzanie uprawnieniami użytkowników (np. dodatkowe role, grupy)
Produktywny, użyteczny kontener oprogramowania
Dalsze rozdzielanie i utwardzanie
Certyfikaty FIPS i/lub Common Criteria
Nadmiarowe zasilacze