在人與裝置身分識別、支付與資料保護領域頗負盛名的Entrust,正可協助建立必要的身分驗證機制,並且是安全等級更高的硬體安全模組(HSM)認證與加解密的應用。Entrust最新公布加碼收購HyTrust,拓展數位安全解決方案的加密、金鑰與雲端安全政策管理能力,預期可提供企業合規性所需的資料保護服務,協助加速數位轉型。
由於在全球HSM市場將具有壟斷性的過高市占率,在歐盟要求下,知名資安品牌nCipher於2019年1月正式從Thales集團拆分出來,成為以nShield通用型硬體安全裝置為主要產品線的獨立供應商,之後再加入Entrust Datacard集團旗下。Entrust台灣區銷售總監凃敬智表示,隨著2020年9月該集團正式宣布原本來自兩家合併公司命名的「Entrust Datacard」,此後改以一致的品牌識別統一稱為Entrust,不再只是軟體研發提供PKI服務,亦納入硬體安全,此後解決方案發展勢必更加多元。
「既有的Entrust本就依據產品線切分,旗下的Entrust、DataCard、nCipher各有擅長領域,如今則進一步朝向整合運行發展,例如DataCard過去HSM合作夥伴為Gemalto旗下的SafeNet,併購nCipher之後勢必會改採用自家產品線。」凃敬智說。
專注於發展通用型HSM技術
眾所皆知,PKI技術發展已相當久,不論銀行、製造等產業多數是基於軟體實作。至於傳統信用卡交易安全等級要求相當高,必須符合Visa、Master國際組織提出的規範,其HSM硬體安全模組設計理念與發展方向主要以合規為考量,而非廣大應用市場需求。因此市場自然形成了專門負責銀行的支付型HSM解決方案,至於其他應用採以PKI提高安全等級的硬體設備,則稱之為通用型HSM。
即便如此,不代表通用型HSM無法進入支付領域,差別只在於是否須通過發卡組織驗證。凃敬智指出,安全水準並非只靠主觀認定,經過國際具公信力的組織認定更具說服力,而支付型與通用型的HSM原理皆相同,只是驗證單位不同,支付型必須符合Visa、Master提出的規範,通用型常見的則是符合資安共同準則(Common Criteria),分屬兩個解決方案才能符合實際應用所需。 以目前主流的網路銀行來看,前端應用程式多數採Java、Python等開放程式語言撰寫,其所介接的HSM技術並不適用支付型專屬方案,只有通用型HSM才可因應,可發揮在線上支付、物聯網等應用場域。
「前面提到的支付型HSM是依照Visa、Master制定的規範設計相關機制,專注在提供信用卡業務領域,至於其他領域,則全數可採通用型HSM建立安全防護。預計2022年Visa、Master將推動新標準,近兩年所有銀行的支付型HSM應該都已經更換,或者是升級韌體版本。」凃敬智說。銀行業走向開放之路後,可預見的未來通用型HSM市場將遠大於支付型HSM,這也是歐盟出手保護通用型HSM市場不被壟斷的因素之一。
保障高權限金鑰免遭竊取
當營運業務開始進行數位化之後,依據顧客喜好開始提出全新商業模式,由部署在雲端平台上的應用程式來提供服務,這類有別於以往自建部署的應用系統,即為Entrust可使上力之處。
凃敬智強調,HSM安全模組為硬體式設計,具有防竄改的特性,可提供獨立於主機環境之外的安全強化,用來取代安全性較低的軟體加密機制,為關鍵系統的加密金鑰提供保護,同時確保金鑰的使用符合政策規範要求。HSM之所以安全,主要是硬體設計如同黑盒子,必須透過符合安全規範的API才允許連接,甚至設備本身具備安全等級更高的自我毀滅功能,內嵌電源偵測感知器,一旦發現中斷則觸發損毀硬碟。只是多數IT環境可能會出現停電或搬移,因而少見被啟用,除非是安全等級極端嚴謹的應用場域。
PKI技術過去主要是以軟體來實作,把金鑰存放在主機系統環境或暫存在記憶體,即便是加密演算法技術持續提升讓攻擊者難以破解,仍舊得搭配金鑰管理機制,否則就算演算法再強大,攻擊者亦可轉向盜取金鑰,以合法手段解密竊取機密資產。從近年實際資安事件可發現,多數攻擊者並未採用高超技術破解加密即可達到目的,假設Oracle或SQL Server的加密功能,金鑰就存放在DBA管理權限下的資料夾,意味著攻擊者只要成功竊取DBA權限,即可掌握金鑰。因此高權限帳戶更有必要嚴加保護,此時即為HSM硬體設備可協助。
提供HSM即服務擴展應用場域
Entrust旗下的nShield HSM家族產品線,包含nShield Solo PCI介面卡開發套件、nShield Connect獨立硬體設備、nShield Edge透過USB介面傳輸,功能皆相同,其中本土企業採用較多的是nShield Connect,例如醫療院所建立電子病歷必要的時戳,避免惡意人士欲篡改電子病歷而先竊取金鑰,令其無法得逞,即可確保不可否認性。
「HSM獨立硬體設備提供方式較特別,少有客戶為單獨採購,大多需求來自整體應用場域中須建立防護機制,因此Entrust在全球推動策略性技術夥伴計畫,例如Palo Alto Networks方案中SSL加解密即是採用Entrust的技術執行處理。針對台灣市場,將著眼於雲端安全、數位憑證、支付安全,協同代理商精誠資訊共同推廣。」凃敬智說。
對發展已相當成熟的加密技術,Entrust希望提供的是一台設備即可應用在多種應用場域,讓加密機制的金鑰與演算法皆可採用HSM來保護。過去應用系統通常採用不同程式語言撰寫而成,再各自搭配專屬的HSM,如今藉由開放介面整合建構創新應用模式儼然成為趨勢,HSM機制亦有機會實現以資源池的概念來運用。
凃敬智進一步說明,現代應用開發習慣以RESTful API整合而成,讓HSM得以有機會介接不同功能性的系統,以國際間成功案例的渣打銀行來看,並非每個分支單位都自行採購HSM,而是由集中部署再提供服務,如此一來即可降低控管複雜度。「展望未來,雲端服務絕對是主流,雖然目前發展速度不快,但是我們發現,如果應用場景是以更有效率、成本更低為核心考量,採用雲端服務將會成為最終選擇。」
Entrust除了提供既有的自建部署產品,亦有提供HSM as a Service,現階段已經在英國與美國的雲端資料中心中建置HSM,讓客戶以訂閱模式採用,抑或是各地區的業者自行建置HSM解決方案協助更多中小型企業,在雲端服務應用場景中增強防護能力。