TLS
Securitatea nivelului de transport (TLS) este protocolul standard din industrie pentru securizarea datelor în tranzit. Două dintre cele mai mari provocări legate de TLS sunt protejarea cheilor TLS și gestionarea certificatelor acestora. Cheile TLS sunt adesea stocate în software direct pe serverele web, ceea ce le face vulnerabile la compromitere. Pentru întreprinderile mari care gestionează multe servere, acest lucru creează riscuri serioase și îngreunează gestionarea ciclului de viață al certificatelor.
Cu E-semnatura, cheile TLS sunt securizate într-un modul hardware de securitate (HSM), mai degrabă decât în software sau stocate local pe servere. Evitarea întreruperilor prin rotația la timp a certificatelor este mult simplificată, deoarece toate cheile, certificatele și soluțiile de semnare a codului sunt gestionate centralizat în HSM.
TLS is ubiquitous throughout enterprise IT environments.
Standardul industrial pentru organizațiile mari este criptarea întregului trafic de rețea cu Transport Layer Security (TLS). Pentru întreprinderi, acest lucru prezintă două provocări: cheile TLS trebuie securizate, iar certificatele trebuie reînnoite înainte de expirare pentru a evita întreruperile și perioadele de nefuncționare.
Cum gestionezi în siguranță toate cheile și certificatele TLS?
De prea multe ori, cheile și certificatele TLS sunt stocate local în software, pe servere. Acest lucru nu oferă o securitate adecvată și nici nu permite rotirea ușoară a certificatelor, deoarece certificatele nu sunt gestionate central.
Give E-semnatura a Try
Cu E-semnatura, toate cheile și certificatele de securitate a nivelului de transport (TLS) sunt gestionate și securizate centralizat în modulul de securitate hardware (HSM).
Acces securizat la cheile TLS protejate prin modulul de securitate hardware (HSM)
E-semnatura este implementat pe o infrastructură gestionată de client între HSM și servere, restricționând accesul cheilor proxy la aceste servere.
Rezultatul este că cheile TLS rămân securizate și neexportabile în HSM, în timp ce serverele pot utiliza cheile de care au nevoie pentru a efectua handshake-uri de securitate a nivelului de transport (TLS) și pentru a proteja traficul de rețea. E-semnatura securizează în continuare cheile HSM prin controale și funcții granulare de acces, cum ar fi autentificarea dispozitivelor, includerea pe lista albă a adreselor IP și multe altele.
Certificate gestionate central de HSM
Când implementați E-semnatura, toate certificatele de securitate a nivelului de transport (TLS) sunt gestionate centralizat în software-ul modulului de securitate hardware (HSM). Acest lucru asigură o rotație ușoară a certificatelor pentru a preveni întreruperile și perioadele de nefuncționare costisitoare. De asemenea, este ușor să efectuați alte sarcini de gestionare a ciclului de viață al certificatelor.
Gestionarea cheilor TLS pentru întreprinderi, simplificată
Indiferent câte chei de securitate a nivelului de transport (TLS) și certificate TLS există într-un anumit mediu, E-semnatura permite companiilor să își gestioneze și să își auditeze infrastructura dintr-o locație centralizată a software-ului modulului de securitate hardware (HSM). Folosind această abordare HSM ca serviciu, administratorii mențin întotdeauna vizibilitate completă asupra tuturor cheilor TLS. E-semnatura creează un jurnal detaliat pentru fiecare cheie TLS, facilitând auditarea utilizării cheilor pentru a vedea când au fost utilizate aceste chei TLS, la ce oră și de către ce utilizatori.
Autentificarea certificatului de securitate a nivelului de transport al clientului (TLS)
E-semnatura poate gestiona, de asemenea, cheile și certificatele TLS pentru autentificarea clienților (cunoscută și sub numele de TLS mutual). Acest lucru poate permite gestionarea accesului privilegiat (PAM), prin funcții precum autentificarea multi-factor și a dispozitivului (MFA), fără a fi nevoie de reconfigurarea serverelor.
Întrebări frecvente privind semnarea codului de companie E-semnatura
E-semnatura protejează cheile de securitate a nivelului de transport (TLS) de pe server sau de pe client?
E-semnatura acceptă ambele. Aplicațiile web ar trebui să aibă cheile de securitate a nivelului de transport (TLS) protejate de E-semnatura pentru a se asigura că atacatorii nu le pot uzurpa prin furtul cheii private TLS. Clienții care utilizează Mutual TLS ar trebui să aibă cheia privată a clientului protejată de E-semnatura pentru a oferi audit centralizat, gestionare automată a certificatelor TLS și implementare fără probleme a controalelor suplimentare de securitate cibernetică.
Stocarea cheilor de securitate a nivelului de transport (TLS) în spatele E-semnatura afectează performanța?
Deși se adaugă un salt suplimentar la rețea, impactul asupra performanței este minim, deoarece această cheie a modulului de securitate hardware (HSM) este utilizată doar în timpul handshake-ului TLS inițial. După finalizarea handshake-ului, E-semnatura nu mai este necesar.
Cum sunt aplicate controale suplimentare de acces privilegiat fără a scrie cod nou pentru aplicația mea web?
Când se utilizează securitatea mutuală a nivelului de transport (TLS), E-semnatrura poate transmite prin proxy cheia TLS a clientului utilizată pentru a finaliza procesul de handshake provocări-răspuns. Cu cheia TLS în spatele controlului accesului privilegiat al E-semnatrura, E-semnatrura poate aplica controale suplimentare de securitate cibernetică, de exemplu, autentificarea multi-factor (MFA), înainte de a permite utilizarea cheii modulului de securitate hardware (HSM). Cu alte cuvinte, aplicația web deleagă controalele suplimentare de securitate cibernetică către E-semnatrura și nu este conștientă de faptul că au loc controalele suplimentare de acces privilegiat.
Avem obligația de a activa autentificarea multi-factor (MFA) pe unele aplicații web vechi pe care nu le controlăm. Poate E-semnatura să ne ajute?
Da. E-semnatura poate aplica în mod transparent controale de securitate cibernetică pentru acces privilegiat, cum ar fi MFA, fără nicio programare nouă. Trebuie doar să activați autentificarea certificatului client (fie la serverul web, fie la echilibratorul de încărcare, fie la alt proxy) și să stocați cheile modulului de securitate hardware privat (HSM) al clientului în GaraSign. Apoi, pentru fiecare cheie de securitate a nivelului de transport (TLS), setați politica la una care necesită MFA (sau orice alt control de securitate pentru acces privilegiat pe care doriți să îl aplicați).
What happens when my hardware security certificates expire?
E-semnatura can automate the renewal process and make sure the clients and servers have the new hardware security module (HSM) certificates they need. For extremely sensitive environments where HSM certificate automation is not permitted, E-semnatura can alert administrators about certificates nearing expiration, and they can decide what actions to take.