数据库保护
加密密钥的加密和安全存储
数据安全与合规
由于安全事件和数据泄露几乎每天都会发生,因此在创建、使用、传输和静止时保护需要加密的信息至关重要。
解决方案 Kryptus KMS 将加密密钥生命周期编排和自动加密实施与基于高性能硬件的安全性相结合,以实现安全的密钥存储和处理。
集中密钥管理 KRYPTUS KMS
通过管理、分发和联合加密密钥,Kryptus KMS 解决方案协调应用程序、数据库和通信的生命周期活动和密钥的使用。
可扩展性
具有存储数百万个密钥的能力,可提供持续保护。
自动化
一次安排并执行数百万个密钥的加密操作。
相容性
与传统、当前和未来的技术无缝集成。
一致
为合规审计提供全面的报告和支持。
数据库加密
• 本机集成或透明 TDE,适用于各种类型的数据库、KMIP(Mongo、MySQL、DB2)
• 特殊的 Oracle 和 SQL Server 连接器
• 与 KMIP 协议完全兼容,为结构化或非结构化数据提供本机加密支持
• TDE 是许多系统的原生选项
• Kryptus KMS 是一种安全措施,它确保访问 TDE 中使用的密钥的权限充分性,并加密和控制其使用
工作原理 数据加密
TDE——透明数据库加密
步骤 1:创建加密主密钥并在 HSM 之间复制
步骤 2:创建表加密密钥并通过 Kryptus KMS 使用主密钥保护它们
步骤 3:配置数据库以使用 TDE 或特殊连接器
KNET HSM的优势
– 虚拟 HSM
– 性能高达 30.000TPS RSA 2048 – 安全代码执行
– 高可用性
– KMIP 协议
– ICP-Brasil 和 FIPS 认证 – 在 HSM 之间创建和复制加密主密钥;
– 创建表加密密钥并使用主密钥保护它们;
– 配置数据库以使用 TDE。
数据库加密 非结构化
Kryptus KMS 还在多云环境中的 HYOK 和 BYOK 模型中执行密钥编排。
- – 私有云 Vmware:通过 KMIP 集成来控制 VM、VSAN 和 NSX 中的加密权限
- – AWS:Kryptus KMS 提供 AWS 客户主密钥和其他密钥管理要求的管理。
- – Azure:Kryptus KMS 使用业务流程 API 向 Azure 密钥管理注册密钥。
- – 谷歌:Kryptus KMS 与谷歌云集成
- – 存储:通过 Dell、HPE 3PAR、NetApp、Racktop、Cray 等产品中的 KMIP
KRYPTUS KMS 解决方案的主要特点
互操作性
- – 完全兼容的 KMIP 接口:KMIP 1.0–1.4
- – 代理支持各种系统、数据库、文件服务器和应用程序
- – 通过TTLV、HTTPS、JSON和XML提供KMIP服务
- – CEF 注册中心支持快速 SIEM 集成
- – 能够将 KMIP 操作转发给其他 KMIP 兼容密钥管理员
- – PKCS #11 接口用于与 KNET HSM 集成。
- – 通过与 VMware vSphere 和 vSAN 的互操作性来加密和管理虚拟机
可扩展性
- – RESTful 服务将 Kryptus KMS 与现有企业服务相集成
- – 自定义 Kryptus KMS 脚本来自动化复杂的加密和密钥管理操作
- – Kryptus KMS 编程运行自动化脚本
- – Windows 和 Linux 协调器,用于转换基于 Microsoft KMIP 服务、认证机构、NETCONF 和其他协议的协议
- – Kryptus KMS 策略定义外部密钥管理操作的授权规则
可扩展性
- – Kryptus KMS 数据存储旨在容纳数亿个密钥的存储库
- – 使用地理隔离的 KMS 设备进行加密复制,实现高可用性和完整备份,确保您永远不会丢失密钥
- – 与 Kryptus kNET HSM 集成以保护高可用性配置中的密钥存储
安全
– Kryptus KMS 设备以强制模式与 SELinux 一起运行,以保护正在运行的进程并强制执行严格的行为
- – 密钥管理和策略管理的用户角色,允许密钥管理和策略管理之间的控制分离。
- – 策略引擎功能使您能够定义在物联网规模上以加密方式负责双人完整性的端点服务。
- – 用于密钥分发、安全对象、管理、有效策略和编排指令的相互 TLS 连接。
- – 位置安全根据客户端连接在 Kryptus KMS 层次结构中关联的位置强制执行访问控制。
- – 所有 Kryptus KMS 设备都使用自加密驱动器。 FIPS 认证可确保驱动器物理移除时的数据安全。
- – 硬件安全模块可用于保护独立和高可用性配置中的密钥存储。
密钥保护
密钥保护通过 kNET HSM 设备完成,具有以下特点:
- – FIPS 140-2 3 级(EFP/EFT)
- – ICP-巴西 NSH3
- – 分离为虚拟 HSM(多租户)
- – 对称和非对称加密
- – API:KMIP、PKCS#11、Microsoft CSP、Java JCA/JCE
- – 双因素身份验证(TOTP、HOTP)
- – 物理和逻辑保护,防止打开、安全启动、温度和电压传感器(即使设备关闭)