وحدة أمان الأجهزة (HSM)

وحدة أمان الأجهزة (HSM) هي جهاز مادي يوفر أمانًا إضافيًا للبيانات الحساسة. يستخدم هذا النوع من الأجهزة لتوفير مفاتيح التشفير للوظائف الهامة مثل التشفير وفك التشفير والمصادقة لاستخدام التطبيقات والهويات وقواعد البيانات.
يمكن أن تكون هذه الأجهزة عبارة عن بطاقات إضافية أو تكون مضمنة في أجهزة أخرى ، بما في ذلك البطاقات الذكية والأجهزة والأجهزة الخارجية الأخرى. يمكن توصيلها بخادم الشبكة أو استخدامها كجهاز مستقل في وضع عدم الاتصال. يتم تقديمها أيضًا كخدمات سحابية.

تستخدم الشركات HSMs للحفاظ على وظائف التشفير المتعلقة بالمعاملات والهويات والتطبيقات منفصلة عن العمليات العادية وللتحكم في الوصول إلى تلك الوظائف. على سبيل المثال ، قد تستخدم شركة HSM لتأمين الأسرار التجارية أو الملكية الفكرية من خلال ضمان أن الأفراد المصرح لهم فقط يمكنهم الوصول إلى HSM لإكمال نقل مفتاح التشفير.

كيف تعمل HSMs؟

يعد تأمين المفاتيح في نظام تشفير أمرًا بالغ الأهمية للحفاظ على نظام آمن. ومع ذلك ، فإن إدارة دورة حياة تلك المفاتيح تمثل تحديًا. وهنا يأتي دور HSM. فهم يديرون جميع جوانب دورة حياة مفتاح التشفير ، بما في ذلك الخطوات الست التالية:

 التزويد. يتم إنشاء المفاتيح بواسطة HSM ، أو نوع آخر من أنظمة إدارة المفاتيح أو مؤسسة تابعة لجهة خارجية تقوم بذلك. يجب استخدام مولد رقم عشوائي حقيقي لإنشاء مفاتيح.
 النسخ الاحتياطي والتخزين. يجب عمل نسخة من المفاتيح وتخزينها بشكل آمن ، في حالة تعرض المفتاح للاختراق أو الضياع. يمكن تخزينها في HSM أو على وسائط خارجية. يجب تشفير المفاتيح الخاصة قبل تخزينها.
 تعيين. يتضمن ذلك تثبيت المفتاح في جهاز تشفير مثل HSM.
 إدارة. يتم التحكم في المفاتيح ومراقبتها بناءً على معايير الصناعة والسياسات الداخلية الخاصة بالمؤسسة. يتعامل نظام إدارة مفتاح التشفير مع تدوير المفاتيح حيث يتم نشر المفاتيح الجديدة حيث تنتهي صلاحية المفاتيح الحالية.
 أرشفة. يتم وضع المفاتيح التي تم إخراجها من الخدمة في وضع عدم الاتصال ، وتخزين طويل المدى عندما تكون هناك حاجة إليها للوصول إلى البيانات الحالية التي تم تشفيرها باستخدام هذا المفتاح.
 تصرف. يجب إتلاف المفاتيح بشكل آمن ودائم فقط بعد التأكد من عدم الحاجة إليها.

تحمي وحدة أمان الأجهزة مفاتيح التشفير وتعالج عمليات التشفير وفك التشفير.

يمكن لـ HSM أيضًا إنشاء التوقيعات الرقمية والتحقق منها. يتم تسجيل جميع معاملات الوصول التي تتضمن HSM لإنشاء مسار تدقيق. تمكن الأجهزة الشركات من نقل المعلومات والعمليات الحساسة من التوثيق الورقي إلى التنسيق الرقمي. يمكن استخدام العديد من وحدات HSM معًا لتقديم إدارة المفتاح العام وتقليل التأثير على سرعة التطبيق.

ميزات HSM الهامة

فيما يلي ميزات وحدة أمان الأجهزة التي تساهم في أمانها:

 تصميم آمن. تستخدم HSMs أجهزة مصممة خصيصًا تلتزم بالمعايير الحكومية مثل توحيد معالجة المعلومات الفيدرالية (FIPS) 140-2 والمعايير المشتركة ومتطلبات HSM لصناعة بطاقات الدفع (PCI).
 مقاومة العبث. تخضع أجهزة HSM لعملية تصلب لجعلها مقاومة للعبث غير المشروع والضرر غير المقصود.
 نظام تشغيل آمن. لديهم نظام تشغيل يركز على الأمان.
 معزول. تقع في منطقة مادية آمنة في مركز البيانات لمنع الوصول غير المصرح به. تختار بعض المؤسسات تخزين HSMs الخاصة بها في مركز بيانات تابع لجهة خارجية ، بدلاً من الاحتفاظ بها في الموقع.
 ضوابط الوصول. تتحكم أجهزة HSM في الوصول إلى الأجهزة والبيانات التي تحميها. وهي مصممة لإظهار علامات العبث ؛ تصبح بعض HSMs غير قابلة للتشغيل أو تحذف مفاتيح التشفير إذا تم اكتشاف التلاعب.
 واجهات برمجة التطبيقات. تدعم HSMs مجموعة من واجهات برمجة التطبيقات (APIs) التي تتيح تكامل التطبيقات وتطوير التطبيقات المخصصة ، بما في ذلك معيار تشفير المفتاح العام والجيل القادم من واجهة برمجة تطبيقات التشفير.

كيف يتم استخدام HSMs؟

يجب على أي عمل يتعامل مع معلومات قيمة أو حساسة التفكير في استخدام وحدة أمان للأجهزة. يتضمن هذا النوع من المعلومات بيانات بطاقة الائتمان أو الخصم والملكية الفكرية وبيانات العملاء ومعلومات الموظفين.

تقوم HSMs بتأمين البيانات التي تم إنشاؤها بواسطة مجموعة من التطبيقات ، بما في ذلك ما يلي:

 المواقع
 الخدمات المصرفية
 مدفوعات المحمول
 العملات الرقمية
 العدادات الذكية
 أجهزة طبية
 بطاقات الهوية وأرقام التعريف الشخصية (PIN)

 المستندات الرقمية

تُستخدم هذه الأجهزة أيضًا لعدة أغراض ، بما في ذلك التوقيع الرقمي وإنشاء المفاتيح وإدارتها ، وضمان الامتثال وتبسيط عمليات التدقيق وتأمين البيانات والهويات الرقمية.
يستخدم PCIs HSMs المتخصصة التي توفر ميزات الأمان الإضافية المطلوبة للمعاملات المالية. تتضمن التطبيقات التي تدعمها هذه الأجهزة إدارة PIN ؛ توفير بطاقة الدفع وبيانات اعتماد تطبيقات الهاتف المحمول ؛ وقدرات التحقق من أرقام التعريف الشخصية وبطاقات الدفع والوظائف الأخرى.

الحوسبة السحابية و HSMs

أدى ظهور الحوسبة السحابية إلى تعقيد عملية تأمين البيانات الحساسة ، حيث انتقل الكثير منها إلى السحابة. لا يمكن دائمًا استخدام أجهزة HSM المحلية في البيئات السحابية. يمكن لمقدمي الخدمات السحابية مطالبة العملاء باستخدام HSMs المستضافة في مراكز البيانات الخاصة بهم. إذا سمح الموفر باستخدام جهاز محلي ، يمكن أن تؤدي مشكلات الاتصال إلى زمن انتقال غير مرغوب فيه إلى النظام.

قدم بائعو السحابة في البداية خدمات إدارة المفاتيح الخاصة بهم. ومع ذلك ، لم تكن هذه قابلة للاستخدام دائمًا عبر البيئات السحابية المختلطة والبيئات السحابية المتعددة. تُرك العملاء مضطرين للتعامل مع تعقيدات أدوات إدارة المفاتيح المتعددة لاستيعاب استراتيجياتهم المختلطة والمتعددة السحابية.

ظهرت إدارة المفاتيح كخدمة (KMaaS) كطريقة لتأمين مفاتيح التشفير عبر البيئات السحابية المختلفة. تقدم هذه الخدمات أدوات مركزية على مستوى HSM عند الطلب دون الحاجة إلى توفير الأجهزة. مع توسع الأعمال وتنويع الخدمات السحابية التي تستخدمها ، يمكن أن تتحول إلى نفس KMaaS لنشر وإدارة مفاتيح التشفير التي تحتاجها عبر خدمات موردي السحابة المختلفة.

تلتزم منتجات KMaaS بنفس معايير أنظمة HSM المحلية وتدعم مجموعة متنوعة من واجهات برمجة التطبيقات. مع هذه الأنظمة ، تتم وظائف إدارة مفاتيح التشفير في عقدة حافة رقمية ، مما يقلل من زمن الوصول ويحسن أداء التطبيق.

تقدم كل من AWS و Google و IBM و Microsoft منتجات KMaaS السحابية ، جنبًا إلى جنب مع الشركات الأصغر مثل Entrust و Thales.

أمن البيانات وامتثال الخصوصية

تعتبر وحدات أمان الأجهزة في قلب قضايا أمان البيانات والخصوصية. وبسبب هذا ، فإنهم يخضعون لمزيد من التدقيق ، حيث تواجه الشركات والمؤسسات الأخرى تهديدات متزايدة في هذه المجالات. يجب أن تمتثل HSMs الأكثر تخصصًا لمجموعة من المعايير واللوائح ، بما في ذلك ما يلي:

 لائحة حماية البيانات العامة للاتحاد الأوروبي
 معيار أمان بيانات PCI
 امتدادات أمان نظام اسم المجال
 FIPS 140-2
 معايير مشتركة

تعد وحدات أمان الأجهزة جزءًا أساسيًا من أمان البيانات في المؤسسة. إنها توفر إنشاء المفاتيح المركزية التي تحتاجها الأعمال والإدارة والتخزين ، فضلاً عن إمكانات المصادقة والتوقيع الرقمي. أثبتت تقنية HSM أنها تتمتع بالمرونة اللازمة لمواكبة الانتقال إلى السحابة وتزايد التهديد الذي تواجهه مؤسسات البيئة اليوم.