我们的合作伙伴要求我们为托管的 Web 应用程序获取 HSM。这对我们来说是新鲜事,我们一直在 Web 服务器上安装 SSL 证书,从来不需要硬件设备。我们目前有 2 个 Cisco ASA 5510 防火墙,采用主动/备用配置。两个 ASA 都安装了 ASA-SSM-10 安全模块。
Web 应用程序是标准的 HTTPS 网页,无需身份验证。我想知道我们是否可以使用 Cisco ASA 来满足此要求,或者我们是否必须购买另一台设备。我进行了一些搜索,并阅读了有关 Cisco 的无客户端 webvpn 功能的信息。听起来它可能有效,但我不确定。我们基本上希望 ASA 处理 SSL 并代理与我们 Web 服务器的连接。我们不想提示输入用户名或密码来连接或显示任何门户,只显示网页。
如果 ASA 无法做到这一点,有人对网络连接硬件安全模块有什么建议吗?我们正在使用 VMware vCenter,因此我们宁愿将外部设备连接到网络,而不是为每个 ESXi 主机购买 HSM 卡。
谢谢,
德里克
答案1
据我所知,ASA 不会做你想做的事。通常我会在 Web 服务器上自行安装 SSL 证书。
如果您不能这样做,使用 apache 作为反向代理并让其提供 https 和证书可能是一个更好的选择。
答案2
我们需要更详细地了解客户为何请求 HSM。如果他们只是想减少 Web 服务器上的负载,您可以看看 Cisco Application Control Engine 产品。它可以提供 SSL 代理以及负载平衡,以及许多其他非常强大的功能。
以下是开始使用的链接:
http://www.cisco.com/en/US/products/ps8361/index.html
如果客户希望满足 PCI、银行或更复杂的监管或安全要求,事情就会变得更加复杂和昂贵,恐怕我对此没有太多了解。维基百科对 HSM 的一些用途(简单的 SSL 加速之外)进行了高层次概述,并解释了几种不同的软件和硬件选项。