IBM представила новое решение для холодного хранения цифровых активов под названием Hyper Protect Offline Signing Orchestrator (OSO). Оно предлагает дополнительные уровни безопасности, включая операции в автономной сети и одобрение электронных транзакций несколькими заинтересованными сторонами.
Hyper Protect OSO представляет собой механизм политики, который обеспечивает связь между двумя различными приложениями, которые не предназначены для прямого взаимодействия друг с другом.
IBM сотрудничала с Metaco Harmonize, поставщиком услуг по хранению цифровых активов, а также с ведущими банками, чтобы гарантировать, что OSO отвечает требованиям клиентов. Metaco Harmonize предлагает безопасную систему оркестрации для приложений цифровых активов. OSO выступает в качестве посредника между двумя компонентами Metaco, работающими в отдельных экземплярах виртуального сервера Hyper Protect: Harmonize Core, доступным извне для получения запросов на подпись, и изолированным Harmonize Cold Vault.
В IBM отмечают, что наиболее распространённым вектором атаки на традиционные холодные хранилища внутри организации считаются инсайдерские атаки. Администраторы IT-систем также могут использовать свои привилегии для манипулирования политиками. Наконец, существуют риски операционных ошибок из-за неправильного выполнения задач, а при росте транзакций их число будет только увеличиваться.
Hyper Protect OSO устраняет необходимость выполнения ручных процедур для транзакций холодного хранения. Это снижает затраты на администрирование и риски, поскольку никто, даже администраторы центров обработки данных или приложений, не имеют доступа к данным.
Клиенты могут назначать аудиторов из отдельных направлений бизнеса для проверки и одобрения или отклонения транзакций, добавляя функцию человеческого контроля. Они также могут установить два таймера: один для того, как часто должна подписываться или проверяться транзакция, а второй для публикации в блокчейне. Например, клиент может решить разрешить выполнение подписи и проверки в холодном хранилище каждые 5–10 минут, каждый час или один раз в день, тогда как фактическая публикация в блокчейне может выполняться через 1–2 дня. В случае атаки с вымогательством злоумышленнику придётся ждать публикации, а это позволит вмешаться правоохранительным органам.
Все необходимые задачи можно объединить в одной системе, работающей в конфиденциальной вычислительной среде в изолированных анклавах или логических разделах (LPAR) на IBM Z или IBM LinuxONE. Каждый LPAR имеет собственную операционную систему, память и гипервизор, а также оценку по общим критериям на уровне EAL 5+. Решение предотвращает доступ приложения, работающего в одном LPAR, к данным приложения, работающего в другом LPAR в той же системе. OSO использует зашифрованную однонаправленную связь в памяти, основанную на IBM HiperSockets.
Систему развернули в IBM Hyper Protect Virtual Servers, которое обеспечивает сквозную защиту — от развёртывания данных до их использования. OSO безопасно передает данные между «горячей» (онлайн) и «холодной» (офлайн) системами.
Чтобы начать работу с Hyper Protect Offline Signing Orchestrator, клиенту потребуются IBM LinuxONE III или IBM z15 или более поздней версии, которые могут размещаться в собственном центре обработки данных или у поставщика. Также необходимы виртуальные серверы IBM Hyper Protect, которые необходимо настроить перед развёртыванием OSO.
Hyper Protect Offline Signing Orchestrator стала общедоступной 8 декабря.
