Хранилище ключей ЭЦП что выбрать
Обновлено: 21.11.2024
ИЭУ
- Состояние образованияДайджест статистики образованияПрогнозы статистики образованияТематические исследования
- Национальная программа оценки образовательного прогресса (NAEP) для международной оценки компетенций взрослых (PIAAC)
- Программа международной деятельности (IAP)
- Продольное исследование раннего детства (ECLS)Национальное обследование образования домохозяйств (NHES)
- Common Core of Data (CCD)Secondary Longitudinal Studies ProgramEducation Demographic and Geographic Estimates (EDGE)National Teacher and Principal Survey (NTPS)подробнее.
- Программа библиотечной статистики
- Бакалавриат и выше (B&B)Статистика профессионального/технического образования (CTES)Интегрированная система данных о высшем образовании (IPEDS)Национальное исследование помощи учащимся послесреднего образования (NPSAS)подробнее.
- Общие стандарты данных в сфере образования (CEDS)Национальный форум по статистике образованияГосударственная программа грантов для систем продольных данных — (SLDS)подробнее.
- Программа статистических стандартов Национального кооператива послесреднего образования (NPEC) для дистанционного обучения.
- EDATDelta Cost ProjectIPEDS Data CenterКак подать заявку на лицензию с ограниченным использованием
- Таблицы ASC-EDЛаборатория данныхЭлементарная вторичная информационная системаInternational Data ExplorerIPEDS Data CenterNAEP Data Explorer
- Панель управления ACSCollege NavigatorЧастные школыГосударственные школьные округаГосударственные школыПоиск школ и колледжей
- Профили штатов NAEP (nationsreportcard.gov)Поиск коллег по финансам округа государственных школЦентр статистики финансов образованияЦентр данных IPEDS
- Инструмент вопросов NAEPИнструмент вопросов NAAL
- Панель управления ACS-EDКарты ACS-EDКарта колледжаПоиск по регионуMapEdSAFEMapSchool and District Navigator
- Инвентаризация библиографических данных
- ОценкиРаннее детствоНачальное и среднее образованиеБиблиотекаПослешкольное образование и дополнительные ресурсы
- Блог NCESЧто нового в NCESКонференции/обучениеНовостиFlashВозможности финансированияПресс-релизыStatChat
- Поиск по публикациям и продуктамГодовые отчетыЛицензии на данные с ограниченным использованием
Последние публикацииПо предметному указателю A-ZПо областям исследований и программДанные Продукты за последние 6 месяцев - О NCESCommissionerСвязаться с NCESStaffHelp
- Природные явления (например, удары молнии, старение и загрязнение среды)
- Преднамеренные действия по уничтожению (например, взлом и вирусы)
- Непреднамеренные деструктивные действия (например, случайная загрузка компьютерных вирусов, программные ошибки и неразумное использование магнитных материалов в офисе)
- Оптимизация производительности. Увеличьте пропускную способность за счет выделения пропускной способности сети и сведения к минимуму сетевых конфликтов между вашими экземплярами и EBS.
- Производительность с низкой задержкой. Использование томов SSD EBS обеспечивает надежную производительность операций ввода-вывода в соответствии с потребностями вашей рабочей нагрузки. Если вашему приложению требуется высокая производительность, но не большой объем хранилища, вы можете обеспечить производительность отдельно от емкости хранилища.
- Высокодоступное и безопасное хранилище: тома EBS обеспечивают избыточность в своих зонах доступности, а контроль доступа и шифрование повышают безопасность.
- Географическая взаимозаменяемость. С помощью EBS вы можете дублировать моментальные снимки во всех регионах AWS и размещать ресурсы и данные в нескольких местах. Это упрощает аварийное восстановление, миграцию центра обработки данных и географическое расширение.
- Простое резервное копирование и восстановление данных: моментальные снимки томов на определенный момент времени защищают данные.
- Быстрое увеличение или уменьшение масштаба. EBS может быстро масштабировать тома, гарантируя, что вы получите необходимую производительность и емкость для меняющихся вычислительных потребностей.
- Потенциальная экономия средств. Несмотря на то, что вы должны предварительно выделить весь диск заранее, если вы знаете, сколько места вам нужно, и получаете доступ к своему хранилищу только из одного инстанса EC2 за раз, EBS стоит примерно в три раза меньше, чем EFS за ГБ. .
-
- Тестирование и разработка. Вы можете масштабировать, архивировать, дублировать или предоставлять свои среды тестирования, разработки или производства.
- Базы данных NoSQL. EBS предлагает базам данных NoSQL производительность с малой задержкой и надежность, необходимые для максимальной производительности.
- Реляционные базы данных. EBS масштабируется в соответствии с меняющимися потребностями в хранении. Это делает его отличным выбором для развертывания баз данных, включая PostgreSQL, MySQL, Oracle или Microsoft SQL Server.
- Бизнес-согласованность: копирование моментальных снимков EBS и образов машин Amazon (AMI) для запуска приложений в разных регионах AWS. Это сокращает потери данных и ускоряет время восстановления благодаря регулярному резервному копированию файлов журналов и данных в разных регионах.
- Приложения для всего предприятия. Он может удовлетворить различные потребности предприятия в вычислительных ресурсах благодаря мощному блочному хранилищу, поддерживающему самые важные приложения, такие как Microsoft Exchange, Oracle или Microsoft SharePoint.
- Производительность, масштабируемая для поддержки любой рабочей нагрузки: EFS обеспечивает пропускную способность, необходимую для меняющихся рабочих нагрузок. Он может обеспечить более высокую пропускную способность, которая соответствует резкому росту файловой системы, даже при рабочих нагрузках до 500 000 операций ввода-вывода в секунду или 10 ГБ в секунду.
- Энергетическая эластичность: автоматическое масштабирование хранилища файловой системы в сторону увеличения или уменьшения. Удаляйте или добавляйте файлы и никогда не беспокойте приложения. Создав файловую систему EFS, вы сможете добавлять файлы, не беспокоясь о выделении хранилища.
- Доступное хранилище файлов. Локальные серверы и экземпляры EC2 могут одновременно обращаться к общим файловым системам. Инстансы EC2 также могут получать доступ к файловым системам EFS, расположенным в других регионах AWS, через пиринг VPC.
- Поддержка бессерверной архитектуры. В отличие от EBS, EFS работает с бессерверными функциями AWS Lambda, что упрощает обмен данными между функциями. Функции Lambda могут считывать большие файлы из EFS, например библиотеки кода, и записывать выходные данные в EFS для хранения и совместного использования.< /li>
- Комплексная управляемая служба. EFS — это полностью управляемая служба, а это означает, что вашей фирме никогда не придется исправлять, развертывать или обслуживать вашу файловую систему.
- Экономия средств. Вы будете платить только за то хранилище, которое используете, поскольку не требуется предварительное выделение ресурсов, авансовые платежи или обязательства. Кроме того, вы можете использовать управление жизненным циклом для переноса файлов, которые не использовались в течение месяца, в хранилище более экономичного класса, что позволяет сократить расходы до 85 процентов. Однако имейте в виду, что EFS стоит примерно в три раза больше за гигабайт, чем EBS.
- Более высокий уровень безопасности и соответствия требованиям. Вы можете получить безопасный доступ к файловой системе с помощью текущего решения для обеспечения безопасности или контролировать доступ к файловым системам EFS с помощью AWS Identity and Access Management (IAM), Amazon Virtual Private Cloud (Amazon VPC) или разрешений POSIX. . Кроме того, EFS может шифровать ваши данные, независимо от того, находятся ли они в пути или в состоянии покоя. Это обеспечивает надежную защиту и упрощает соблюдение нормативных требований.
- Поддержка приложений с переносом и переносом: EFS является гибкой, доступной и масштабируемой. Он позволяет легко и быстро перемещать корпоративные приложения без необходимости их перепроектирования.
- Аналитика больших данных. Он может запускать приложения для работы с большими данными, которые требуют значительной пропускной способности узла, доступа к файлам с малой задержкой и операций чтения-после-записи.
- Система управления контентом и поддержка веб-сервера. EFS — это надежная файловая система с высокой пропускной способностью, способная поддерживать системы управления контентом и веб-приложения, такие как архивы, веб-сайты или блоги.
- Разработка и тестирование приложений. Только EFS предоставляет общую файловую систему, необходимую для обмена кодом и файлами между несколькими вычислительными ресурсами для упрощения автоматического масштабирования рабочих нагрузок.
- Надежная производительность, масштабируемость и доступность. Amazon S3 масштабирует ресурсы хранения без циклов закупки ресурсов или предварительных инвестиций.Он защищает ваши данные от ошибок, сбоев и угроз. Это делает его доступным, когда вам это нужно.
- Экономичные классы хранилищ. Хранение данных в классах хранилищ S3 снижает затраты и поддерживает высокий уровень производительности. Анализ класса хранения позволяет находить данные, которые могут быть перемещены в более дешевый класс хранения. Затем вы можете выполнить перенос с помощью политики жизненного цикла S3. Наконец, S3 Intelligent-Tiering позволяет хранить данные с изменяющимися или неизвестными схемами доступа, распределяя объекты по уровням, что снижает затраты на хранение.
- Упрощенные функции безопасности, соответствия и аудита. S3 может хранить данные и защищать их от несанкционированного доступа с помощью мощных инструментов управления доступом и шифрования. В S3 есть функции, упрощающие соблюдение нормативных требований, а Amazon Macie может отклонять неправомерные запросы на доступ к вашим конфиденциальным данным. Кроме того, S3 хорошо работает со многими функциями аудита AWS.
- Точный контроль данных. Набор инструментов управления позволяет классифицировать данные и составлять отчеты. В S3 есть анализ класса хранилища, который отслеживает шаблоны доступа, а S3 Lifecycle анализирует передачу объектов в более дешевое хранилище. S3 Object Lock присваивает объектам даты хранения, чтобы предотвратить их удаление, а S3 Inventory обеспечивает видимость хранимых объектов, их шифрование и метаданные. Наконец, S3 Batch Operations может выполнять обслуживание управления хранилищем для миллиардов объектов, а AWS Lambda можно использовать для автоматизации рабочих процессов, определения предупреждений и регистрации действий без дополнительного управления инфраструктурой.
- Озеро данных и аналитика больших данных. S3 может создать озеро данных для хранения необработанных данных в исходном формате, а затем использовать инструменты машинного обучения, запросы на месте и аналитику для извлечения ценной информации. S3 работает с AWS Lake Formation для создания озер данных, а затем определяет политики управления, безопасности и аудита. Вместе их можно масштабировать в соответствии с вашими растущими хранилищами данных, и вам никогда не придется делать авансовые инвестиции.
- Резервное копирование и восстановление. Безопасные и надежные решения для резервного копирования и восстановления легко создать, если объединить S3 с другими предложениями AWS, включая EBS, EFS или S3 Glacier. Эти предложения расширяют ваши локальные возможности, в то время как другие предложения могут помочь вам обеспечить соблюдение требований, время восстановления и целевые точки восстановления.
- Надежное аварийное восстановление: хранилище S3, межрегиональная репликация S3 и дополнительные сетевые, вычислительные и базовые сервисы AWS упрощают защиту критически важных приложений, данных и ИТ-систем. Он обеспечивает быстрое восстановление после сбоев, независимо от того, вызваны ли они системными сбоями, стихийными бедствиями или человеческим фактором.
- Методическое архивирование. S3 эффективно работает с другими предложениями AWS, предоставляя возможности методического архивирования. S3 Glacier и S3 Glacier Deep Archive позволяют архивировать данные и выводить из эксплуатации физическую инфраструктуру. Существует три класса хранилищ S3, которые можно использовать для хранения объектов в течение длительного периода времени с минимальной скоростью. Политики жизненного цикла S3 можно создавать для архивирования объектов в любой момент их жизненного цикла, или вы можете напрямую загружать объекты в классы архивного хранилища. S3 Object Lock соответствует нормативным требованиям, применяя объекты дат хранения, чтобы избежать их удаления. В отличие от ленточной библиотеки, S3 Glacier может восстановить любой заархивированный объект за считанные минуты.
- Прием деловой доставки: эта специальная услуга (и другие) доступна, в том числе:
- Доступ к воротам безопасности, управляемым компьютером
- Круглосуточный видеомониторинг
- Охранное освещение
- Местные менеджеры-резиденты
- Приятная и безопасная обстановка
- Ставьте их высоко! Наши потолки высотой 9–10 футов обеспечат вам достаточно вертикального пространства для штабелирования.
- Увеличьте собственное пространство для хранения, упаковав небольшие и легкие предметы в комоды, книжные шкафы и крупную бытовую технику.
- Храните длинные предметы, такие как столы или диваны, на концах со снятыми ножками (не рекомендуется для диванов-кроватей).
- Снимите или сложите ручки на газонокосилках и другом садовом оборудовании. ВАЖНО: полностью слейте бензин или другие горючие материалы перед хранением.
- Доступ контролируется компьютеризированными воротами безопасности
- Круглосуточный видеомониторинг
- Охранное освещение
- Местные менеджеры-резиденты
- Помещения с контролируемым климатом в некоторых местах
- Как сделать снимок экрана на планшете
- Холодная и горячая перезагрузка
- Как играть за Японию в Виктории 2
- Как использовать дисплей телефона
- Как изменить код страницы в Google Chrome
Как указано в этом документе, одним из самых ценных активов организации является ее информация. Местные законы, законы штата и федеральные законы требуют, чтобы определенные типы информации (например, личные записи учащихся) были защищены от несанкционированного раскрытия (см. Приложение B для информационного бюллетеня FERPA). Этот аспект информационной безопасности часто называют защитой конфиденциальности. Хотя конфиденциальность иногда предписывается законом, здравый смысл и передовая практика подсказывают, что даже неконфиденциальная информация в системе должна быть защищена не только от несанкционированного раскрытия, но и от несанкционированного изменения и недопустимого влияния на ее доступность.
В. Разве нет программного обеспечения, которое может защитить мою информацию?
A. Да, различные программные продукты могут помочь вашей организации в ее усилиях по обеспечению безопасности информации и системы, но только тщательные, хорошо продуманные и целенаправленные усилия по разработке и внедрению всеобъемлющего плана обеспечения безопасности окажутся эффективными в долгосрочной перспективе.< /p>
В. Разве не имеет смысла просто зашифровать всю информацию?
A. Не обязательно. Шифрование и дешифрование занимают много времени. Если информация является конфиденциальной, то дополнительное время на шифрование и расшифровку имеет смысл. Но если файлы не являются конфиденциальными, зачем замедлять скорость обработки из-за ненужного шага? И хотя шифрование является хорошей практикой для конфиденциальной информации или информации, которая передается по незащищенным линиям, следует отметить, что само по себе оно не является полной стратегией безопасности. Шифрование информации защищает файлы от нарушения конфиденциальности, но риски несанкционированного или случайного изменения (включая уничтожение) и/или отказа в использовании остаются реальными.
Руководство по разработке политики безопасности можно найти в главе 3.
Возможно, больше, чем любой другой аспект системной безопасности, защита информации требует определенных процедурных и поведенческих действий. Информационная безопасность требует правильного создания, маркировки, хранения и резервного копирования файлов данных. Если принять во внимание количество файлов, которые использует каждый сотрудник, эти задачи явно представляют собой значительную задачу.Разработчики политики могут положительно повлиять на эту работу, проведя точную оценку рисков (включая правильное определение конфиденциальной информации, хранящейся в системе). Они также должны оказывать организационную поддержку менеджеру по безопасности, поскольку он или она внедряет и контролирует правила безопасности. Менеджер по безопасности должен иметь полномочия и бюджет, необходимые для надлежащего обучения персонала и последующего обеспечения соблюдения процедур информационной безопасности на всех уровнях организационной иерархии.
Последний пункт, на который следует обратить внимание лицам, определяющим политику, — хранение и удаление информации. Вся информация имеет конечный жизненный цикл, и лица, определяющие политику, должны обеспечить наличие механизмов, обеспечивающих надлежащее удаление информации, которая больше не используется.
Как более подробно обсуждалось в главе 2, угроза — это любое действие. , действующее лицо или событие, которое увеличивает риск.
Информационные угрозы (примеры)
<УЛ>
Контрмера — это шаг, спланированный и предпринятый в противовес другому действию или потенциальному действию.
Следующие контрмеры направлены на решение проблем информационной безопасности, которые могут повлиять на ваши сайты. Эти стратегии рекомендуются, когда оценка рисков выявляет или подтверждает необходимость противодействия потенциальным нарушениям информационной безопасности вашей системы.
Контрмеры бывают разных размеров, форм и уровней сложности. В этом документе предпринята попытка описать ряд стратегий, потенциально применимых к жизни в образовательных организациях. Чтобы сохранить этот фокус, здесь не включены те контрмеры, которые маловероятно будут применяться в образовательных организациях. Например, если после оценки рисков ваша группа безопасности решит, что вашей организации требуются высококлассные контрмеры, такие как сканеры сетчатки глаза или анализаторы голоса, вам нужно будет обратиться к другим справочным материалам по безопасности и, возможно, нанять надежного технического консультанта.
-
То, что они должны знать: пароль или ключ шифрования; это наименее затратная мера, но и наименее безопасная.
-
Создавайте резервные копии не только информации, но и программ, которые вы используете для доступа к информации: Создавайте резервные копии утилит операционной системы, чтобы вы сохранили к ним доступ, даже если ваш жесткий диск выйдет из строя. Также храните текущие копии важного прикладного программного обеспечения и документации так же надежно, как если бы они были конфиденциальными данными. Предостережение. Некоторые поставщики проприетарного программного обеспечения могут ограничивать законное право организации на создание копий программ, но большинство из них допускают ответственные процедуры резервного копирования. Обратитесь к поставщику программного обеспечения.
-
Применяйте рекомендуемые принципы хранения, приведенные в этом документе, как к исходным, так и к резервным файлам: Резервные файлы требуют того же уровня безопасности, что и основные файлы (например, если исходный файл является конфиденциальным, то и его резервная копия).
Это действительно происходит!
У Марши, как у секретаря директора Брауна, не было времени на все трудности, с которыми она сталкивалась при работе с компьютером. На самом деле проблемы были не с компьютером, а с ее самыми важными файлами (и это было еще хуже). ). Устав от необходимости перепечатывать столько потерянных файлов, она наконец позвонила продавцу, который продал школе все оборудование. Продавец сразу же появился в ее офисе и попросил описать проблему.
"Ну, — объяснила Марша, — я храню копии всех своих важных файлов на 3 1/2-дюймовом диске, но когда я иду использовать их, кажется, что файлы исчезают. Я знаю, что я Я копирую их правильно, поэтому просто не могу понять. Я не знаю, то ли это программное обеспечение для обработки текстов, то ли что-то еще, но я устал терять все свои важные файлы."
Продавец спросил, возможно ли, что Marsha использует некачественный диск. «Я думала об этом, — ответила она, как бы готовясь к вопросу, — но это случилось с тремя разными дисками. Просто должно быть что-то другое». Маша потянулась за диском, который был прикреплен к металлическому шкафу рядом с ее столом цветным магнитом. "Ты попробуй."
«Это очень привлекательный магнит», — сказал продавец, когда Марша вручила диск. "Вы всегда используете его, чтобы поддерживать свои диски?"
"Да, это был сувенир с последней конференции доктора Брауна. Я просто думаю, что это красиво. Спасибо, что заметили."
Удалять информацию своевременно и тщательно:
Это действительно происходит!
Трент не мог поверить своим глазам.Перед ним на мониторе в компьютерном классе средней школы отображались оценки каждого ученика на второкурсниках г-на Руссо по английскому языку:
Все, что Трент сделал, это нажал кнопку "Восстановить" в текстовом редакторе, чтобы исправить допущенную им ошибку при сохранении, и вдруг жесткий диск, полный файлов мистера Руссо, оказался готов к изъятию. К счастью для мистера Руссо, его второкурсников и школы, Трент понял, что что-то не так. Он спросил начальника лаборатории, мисс Джексон, откуда взялись компьютеры.
"Большинство из них были переработаны", — призналась она. "Учителя и администраторы получили в этом году обновления, поэтому их старые машины нашли хорошее применение в лабораториях. Они по-прежнему должны быть достаточно мощными, чтобы справляться с вашим текстовым процессором. Почему?"
Выбранная вами стратегия хранения данных играет важную роль в производительности, которую вы получаете, а также в затратах, которые вы потратите. Для достижения максимальной эффективности необходимо согласовать свои потребности в вычислениях, приложениях и обработке с соответствующей технологией хранения. Но какой вариант подходит именно вам?
Чтобы ответить на этот вопрос, мы рассмотрим различия между Amazon Elastic Block Store (Amazon EBS), Amazon Elastic File System (Amazon EFS) и Amazon Simple Storage Service (Amazon S3). Мы рассмотрим уникальные преимущества и области применения каждого решения. Это упростит выбор лучшего решения для поддержки ваших бизнес-целей и потребностей в хранении.
В чем разница между Amazon EBS, EFS и S3?
Amazon EFS, Amazon EBS и Amazon S3 — это три различных типа хранилищ AWS, которые можно использовать для различных типов рабочих нагрузок. Давайте подробнее рассмотрим ключевые особенности каждого варианта, а также сходства и различия.
AmazonEBS предоставляет высокодоступные тома хранения на уровне блоков для инстансов Amazon Elastic Compute Cloud (EC2). Он хранит данные в файловой системе, которая сохраняется после закрытия экземпляра EC2. Amazon EFS предлагает масштабируемое файловое хранилище, также оптимизированное для EC2. Его можно использовать в качестве общего источника данных для любого приложения или рабочей нагрузки, выполняемой на множестве экземпляров. Используя файловую систему EFS, вы можете настроить экземпляры для монтирования файловой системы.
Наконец, Amazon S3 — это объектное хранилище, в котором можно хранить огромное количество резервных копий или пользовательских файлов. В отличие от EBS или EFS, S3 не ограничивается EC2. Доступ к файлам, хранящимся в корзине S3, можно получить программно или напрямую из таких сервисов, как AWS CloudFront. Вот почему многие веб-сайты используют его для хранения своего контента и медиафайлов, которые могут эффективно обслуживаться из AWS CloudFront.
Как же выбрать между Amazon EBS, EFS и S3? Это зависит от того, какие преимущества вы ищете, и вашего варианта использования для вашей рабочей нагрузки. Давайте подробно рассмотрим каждый из них, чтобы понять их преимущества и варианты использования.
Магазин эластичных блоков Amazon (Amazon EBS)
Используйте Amazon EBS для хранения дисков вашей виртуальной машины. Он хранит данные в блоках одинакового размера и организует их в иерархию, аналогичную традиционной файловой системе. Объемы предоставляются по размеру и присоединяются к экземплярам EC2 таким же образом, как и локальный диск на физическом компьютере. Вот преимущества и примеры использования EBS:
Преимущества Amazon EBS
Примеры использования Amazon EBS
Эластичная файловая система Amazon (Amazon EFS)
EFS — лучший выбор для запуска любого приложения с высокой рабочей нагрузкой, требующего масштабируемого хранилища и быстрого вывода данных. Он автоматически масштабируется даже при самых резких скачках рабочей нагрузки. После того, как период потребности в больших объемах хранилища пройдет, EFS автоматически уменьшит масштаб. EFS можно подключить к различным сервисам AWS и получить доступ со всех ваших виртуальных машин. Используйте его для запуска общих томов или для анализа больших данных. Вы всегда будете платить за пространство, которое фактически используете, а не выделять заранее пространство, которое может быть потрачено впустую.
Преимущества Amazon EFS
Примеры использования Amazon EFS
Амазон S3
Amazon S3 обеспечивает хранение объектов. Каждый объект имеет свой уникальный идентификатор или ключ для доступа через веб-запросы из любого места. S3 также поддерживает размещение статического веб-контента, доступ к которому можно получить из корзины S3 или из AWS CloudFront. И S3 особенно безопасен, предоставляя. «одиннадцать девяток» — надежность данных 99,999999999.
Преимущества Amazon S3
Случаи использования Amazon S3
Начало работы
При оценке преимуществ Amazon EBS, EFS и S3 возникает множество нюансов. Если вам нужна помощь в принятии решения о том, какая технология лучше всего подходит для ваших уникальных бизнес-задач и целей, позвольте Mission помочь. Наша команда сертифицированных инженеров AWS и других экспертов может посоветовать вам, какое решение для хранения лучше всего подходит для вашей организации. Фактически, Mission может адаптировать необходимый вам уровень поддержки, даже полностью взяв на себя внедрение и управление вашим решением для хранения данных. А обратившись к нашей опытной команде, вы сможете максимально эффективно использовать любое решение, которое вы выберете.
Миссия позволяет вашей фирме сосредоточиться на своих основных бизнес-целях, позволяя вам достичь своей истинной цели. Наша миссия — помочь вам в полной мере использовать ваше решение для хранения данных AWS. Позвольте нам помочь вам добиться своего.
Архитектура будущего
Долгое время лица, принимающие технические решения, избегали переноса рабочих нагрузок Windows на AWS, опасаясь, что облако не подходит для этих приложений. Однако данные показывают, что времена меняются: больше компаний, чем когда-либо прежде, переносят свои рабочие нагрузки Microsoft на AWS, сокращая расходы и повышая гибкость процесса.
Будьте в курсе новостей AWS
Будьте в курсе последних сервисов AWS, новейшей архитектуры, облачных решений и многого другого.
Вот пример создания ключей безопасной загрузки (PK и других) с помощью аппаратного модуля безопасности (HSM).
Вам необходимо знать инфраструктуру открытых ключей безопасной загрузки (PKI). Дополнительные сведения см. в разделе Windows 8.1 Руководство по созданию ключей безопасной загрузки и управлению ими.
Требования
Необходимые инструменты
certreq.exe – доступный почтовый ящик
certutil.exe – доступный почтовый ящик
Signtool.exe — доступен в последней версии Windows SDK
Аппаратный модуль безопасности (HSM)
В технической документации показано генерирование ключа на примерах модели PCI HSM nCipher (теперь Thales) nC1003P/nC3023P/nC3033P и HSM SafeNet Luna. Большинство концепций применимы и к другим поставщикам HSM.
Что касается других модулей HSM, обратитесь к производителю за дополнительными инструкциями о том, как адаптировать свой подход к поставщику криптографических услуг HSM (CSP).
Подход
Мы используем инструмент создания сертификата Microsoft: certreq.exe для создания ключа платформы безопасной загрузки (PK) и других ключей, необходимых для безопасной загрузки.
Инструмент certreq можно адаптировать для использования HSM, предоставив поставщика криптографических услуг (CSP) в качестве HSM.
Найти поставщика криптографических услуг (CSP)
Вы можете использовать средство certutil.exe или средство, используемое HSM, для составления списка CSP.
В этом примере используется инструмент certutil для отображения CSP на Thales/nCipher HSM:
Для алгоритма обработки SHA-256 используйте поставщика CNG: "nCipher Security World Key Storage Provider" . Устаревшие поставщики не поддерживают SHA-256 и не подходят для использования с безопасной загрузкой.
В этом примере используется встроенный инструмент Thales/nCipher для составления списка CSP:
Для алгоритма обработки SHA-256 используйте поставщика CNG: "nCipher Security World Key Storage Provider" . Устаревшие поставщики не поддерживают SHA-256 и не подходят для использования с безопасной загрузкой.
В этом примере используется инструмент SafeNet Luna HSM для получения списка CSP:
Для алгоритма дайджеста SHA-256 вам потребуется использовать поставщика CNG — «Поставщик хранилища ключей SafeNet». Устаревшие поставщики не поддерживают SHA-256 и не подходят для использования с безопасной загрузкой.
Чтобы сгенерировать ключ:
Пример файла request.inf:
Обновите следующие значения:
Subject: Замените TODO реальными данными "CN=Corporation TODO Platform Key,O=TODO Corporation,L=TODO_City,S=TODO_State,C=TODO_Country".
ValidityPeriod, ValidityPeriodUnits: используйте период действия 6 лет. Хотя PK может быть действителен только в течение 2 лет, 6-летний период позволяет потенциальное обслуживание в будущем.
KeyContainer: введите идентификатор контейнера, который вы использовали для создания ключа с помощью HSM. Вас могут попросить предоставить токены, которые вы использовали для создания Security World для Thales HSM.
Проверка сертификата (самоподписанного)
Убедитесь, что сертификат создан правильно:
Например: certutil -store -v my "7569d364a2e77b814274c81ae6360ffe"
Резервное копирование сертификата
Создайте резервную копию сертификатов. Таким образом, если хранилище сертификатов или сервер выйдет из строя, вы сможете добавить сертификат обратно в хранилище. Дополнительные сведения о certreq.exe см. в разделе Расширенная регистрация сертификатов и управление ими: Приложение 3: Синтаксис Certreq.exe
Обратите внимание, что PK — это самозаверяющий сертификат, который также используется для подписи KEK.
Подписание/первоначальная подготовка PK состоит из двух частей. Чтобы получить эти сценарии, обратитесь к своему контактному лицу в Microsoft:
subcreate_set_PK_example_initial_provisioning_example.ps1 . Используется средством подписи для подписания PK позже в случае обслуживания.
subcreate_set_PK_service_example.ps1 . Поскольку мы имеем дело с HSM, в сценарии применяется следующая строка.
Подписание сертификатом PK (сценарий обслуживания)
Этот раздел относится к подписанию сертификатом PK и может быть неприменим для первоначальной подготовки системы. Однако вы можете использовать описанный здесь метод для тестирования своего сценария обслуживания.
Определить хэш сертификата (sha1)
Определить хэш SHA1 сертификата. Вы можете получить хэш SHA1 одним из следующих способов:
В Windows откройте файл сертификата, перейдите на вкладку "Сведения" и проверьте значение параметра "Отпечаток".
Или используйте следующую команду:
Подписать с помощью инструмента подписи, используя хранилище сертификатов, указанное в качестве ссылки
Используйте хэш SHA1 для подписи сертификата KEK:
Где KEK.bin — это имя файла двоичного сертификата, который вы хотите подписать.
ПРИМЕЧАНИЕ. Для совместимости со спецификацией UEFI и максимальной совместимости между реализациями UEFI должны присутствовать параметры /p7co и /p7ce, значение, передаваемое в /p7co, должно быть 1.2.840.113549.1.7.1, а значение, передаваемое в / p7ce должен быть DetachedSignedData. Кроме того, для улучшения совместимости с производственными средами подписания командная строка signtool.exe, которая полностью определяет контейнер аппаратного ключа, выглядит следующим образом:
Приложение A – Использование Thales KeySafe для просмотра ключей
Thales KeySafe основан на графическом интерфейсе.
Для использования KeySafe у вас должна быть установлена JRE/JDK 1.4.2, 1.5 или 1.6. Установите Java перед установкой программного обеспечения nCipher.
Настройте файл конфигурации жесткого сервера в папке %NFAST_KMDATA%\config\:
Изменить настройки в разделе server_startup:
неприватный_порт. В этом поле указывается порт, на котором жесткий сервер прослушивает локальные непривилегированные соединения TCP.
По умолчанию подключение к порту 9000.
Если установлена переменная среды NFAST_SERVER_PORT, она переопределяет любое значение, установленное для nonpriv_port
личный_порт. В этом поле указывается порт, на котором жесткий сервер прослушивает локальные привилегированные соединения TCP.
По умолчанию подключение к порту 9001.
Если установлена переменная среды NFAST_SERVER_PRIVPORT, она переопределяет любое значение, заданное для priv_port
Ниже приведены снимки экрана с графическим интерфейсом Thales KeySafe:
Следующее изображение создается путем запуска утилиты KeySafe и перехода в меню KeyList.
Мы предоставляем безопасное, удобное и чистое хранилище по разумной цене специально для вас. Мы прилагаем все усилия, чтобы построить прочные отношения с нашими клиентами, заботясь о ваших потребностях и предоставляя компетентное, дружелюбное и полезное обслуживание. Мы держим наши помещения в чистоте, хорошем состоянии, хорошо освещаем и охраняем для вашего спокойствия.
Мы знаем, что ваши личные вещи важны для вас, и хотим заверить вас в нашей преданности делу, предлагая следующее:
Являясь национальным лидером и новатором в области самостоятельного хранения данных, компания Key Storage выросла до более чем 39 складских помещений в 7 штатах. Будучи трехкратным лауреатом престижной премии Mini-Storage Messenger «ОБЪЕКТ ГОДА», мы доказали, что знаем, что ищут наши клиенты, когда им требуется автономное хранение.
Если вам нужно навести порядок в гараже, перевезти члена семьи, сохранить деловые документы или оборудование, мы можем помочь. Присоединяйтесь к тысячам клиентов, которые ощутили душевное спокойствие, связанное с хранением своих товаров с помощью Key Storage. Мы приглашаем вас посетить любой из наших офисов, чтобы лично осмотреть объект и обсудить ваши потребности в хранении.
Мы хотим сделать хранение максимально удобным для вас, поэтому вот несколько советов, которые помогут вам максимально эффективно использовать каждый квадратный метр вашего устройства. И помните, мы предлагаем полный набор недорогих товаров для переезда и упаковки, которые можно приобрести на месте.
Если у вас есть вопросы или проблемы, просто спросите нас! Мы много знаем о хранении и рады поделиться советами по оптимальным методам хранения.
Наше второе имя — KEY, но когда вы устанавливаете замок на место для хранения, вы становитесь единственным человеком, у которого есть ключ. Вы можете использовать этот ключ семь дней в неделю с 6 утра до 9 вечера. — время работы наших ворот — одно из самых продолжительных в бизнесе. Все для вашего удобства. Выбор места для хранения важных вещей – «ключевое» решение. Наше удобство, безопасность и высочайшее качество обслуживания делают нас лучшим выбором для вас.
Полагайтесь на наши меры безопасности, чтобы быть уверенными в выборе Key Storage для хранения ваших ценных вещей:
Brundage Management Company, Inc. (BMC) предоставляет услуги по управлению хранилищем ключей. Поскольку мы управляем собственностью, которой владеем, между вами и нами нет «разъединения». Наш бизнес основан на предоставлении нашим клиентам превосходного обслуживания, функций и управления.
Читайте также: