У нас есть партнер, который требует от нас получить HSM для веб-приложения, которое мы размещаем для него. Это что-то новое для нас, мы всегда устанавливали наши сертификаты SSL на наши веб-серверы и никогда не нуждались в аппаратном устройстве. В настоящее время у нас есть 2 межсетевых экрана Cisco ASA 5510 в конфигурации активный / резервный. В обоих ASA установлен модуль безопасности ASA-SSM-10.
Веб-приложение представляет собой стандартную веб-страницу HTTPS без необходимости проверки подлинности. Мне было интересно, можем ли мы использовать наши Cisco ASA для удовлетворения этого требования или нам придется покупать другое устройство. Я немного искал и читал о функции Cisco без клиента webvpn. Похоже, это может сработать, но я не уверен. В основном мы хотим, чтобы ASA обрабатывал SSL и прокси для подключения к нашим веб-серверам. Мы не хотим запрашивать имя пользователя или пароль для подключения или отображения каких-либо порталов, просто отображайте веб-страницу.
Если ASA не может этого сделать, есть ли у кого-нибудь рекомендации для сетевых аппаратных модулей безопасности? Мы используем VMware vCenter, поэтому мы предпочли бы иметь внешнее устройство, подключенное к сети, а не покупать карты HSM для каждого хоста ESXi.
Спасибо,
Дерек
Насколько я знаю, ASA не будет делать то, что вам нужно. Обычно я сам устанавливаю сертификат SSL на веб-сервер.
Если вы не можете этого сделать, возможно, лучшим вариантом будет использовать apache в качестве обратного прокси-сервера и предоставить ему https и сертификат.
Нам нужно немного подробнее о том, почему клиент запрашивает HSM. Если они просто хотят снизить нагрузку на веб-сервер, вы можете взглянуть на продукт Cisco Application Control Engine. Он может обеспечивать SSL-проксирование, балансировку нагрузки и множество других очень мощных функций.
Вот ссылка, с которой можно начать:
http://www.cisco.com/en/US/products/ps8361/index.html
Если клиент хочет соответствовать требованиям PCI, банка или более сложным нормативным требованиям или требованиям безопасности, все становится намного сложнее и дороже, и, боюсь, я не очень разбираюсь в этом вопросе. В Википедии есть общий обзор некоторых целей HSM (помимо простого ускорения SSL) и объясняется несколько различных программных и аппаратных опций.