Safenet Luna SA 4.4 - när bara säkert inte räcker

Du känner säkert till hur spännande det kan vara att packa upp en ny produkt. Kanske har du köpt en ny kamera och sätter dig ned med kartongen framför dig på bordet och knäcker med fingrarna. Men att öppna kartongen till Safenet Luna SA 4.4 är en lätt förbryllande upplevelse. Bortsett från själva maskinen – en 1u-hög enhet som ser ganska normal ut – finns däri en himla massa prylar, bland annat en koddosa, ett par pcmcia-kort, en handfull uppsättningar usb-pinnar med tillhörande färgglada etiketter samt sladdar av typer man sällan ser.

Allt det här för att du ska kunna sätta ihop ett system för hårdvarucertifikat, krypteringsnycklar och hårdvaruaccelererad kryptering som är så säkert att det nästan börjar kännas löjligt om du inte tillhör NSA. Att bara starta maskinen, plugga i en nätverkskabel, mata in en ip-adress i webbläsaren och börja konfigurera produkten kan du glömma om du inte är djupt insatt i dylika system. Fram med instruktionsboken alltså. Som tur är finns en mycket utförlig, logisk och pedagogisk sådan.

Ett komplett kit – koddosa, pcmcia-kort och usb-minnen ingår alla i det mycket seriösa säkerhets-sytemet.

Litar inte på nätet

Att det inte finns någon webbadministration känns fullständigt naturligt. Det verkar vara skillnad på säkra produkter med webbadministration, och förbaskat säkra produkter, där allt vad webb heter är förbjudet. Webbläsare och webbservrar är kanske inte mest kända för sin stabilitet och hackmotstånd. Det är däremot ssh, vilket är det verktyg vi har att hålla oss till för fjärradministration.

"Att det inte finns någon
webbadministration känns på något sätt
fullständigt naturligt."

Men innan vi kommer så långt måste vi förstås koppla in oss i terminalporten för att öppna för ssh och konfigurera upp en säker fjärradministration – fattas bara annat.

Safenet Luna SA kan partitioneras i upp till 20 totalt separata säkerhetssystem – i princip skulle Säpo, CIA och FSB kunna använda samma låda utan att känna oro för sammanblandning eller läckor mellan partitionerna. I varje partition skapas ett administrationskonto som grund för resten av konfigurationen och vi använder de tillhörande hårdvarukomponenterna för att skapa nycklar, certifikat och annat som hör systemet till. Vi använder koddosan och laddar usb-pinnarna med nycklar.

Allt det här tar ansenlig tid, men är inte svårt tack vare de goda instruktionerna.

Besparingsrisker

Är du ett proffs? Jobbar du på ett professionellt sätt i din roll? Alla gör inte det. Istället är många tvungna att kompro-missa med sitt yrkes vedertagna principer och kvalitetskrav. En orsak är att vi har slimmat våra organisationer så mycket att en arbetsuppgift helst ska utföras med minsta möjliga acceptabla kvalitet. Men, som ansvarig för en IT-funktion måste du vara uppmärksam på riskerna med rationalisering. Det är lätt hänt att varje medarbetare bara har tid att utföra sina snävt avgränsade arbets-uppgifter och att viktiga uppgifter hamnar mellan stolarna. Detta skapar risker! Ett parad-exempel är då över 1 miljon svenska kunder vid nyår 2009 blev utan e-post just på grund av att en viktig arbetsuppgift hade glömts bort och inte ägdes av någon.

Viktiga varningssignalerna är:

• ökande kundklagomål

• leveransförseningar och kvalitets-brister

• att incidenter och olyckor uppstår

• ökande personalomsättning

Använd riskerna
Steg ett är att inse vikten av långsiktighet och helhetssyn. Nästa steg blir att skapa ett "riskråd", där personer i organisationen med olika riskinsikter kan diskutera och samverka. Ett sådant råd kan också utgöra basen för ett mer formellt ERM – Enterprise Risk Management.

En mer praktisk åtgärd kan vara att införa ett incidentrapporteringssystem, där det inte handlar om att hitta syndabockar, utan företagets processer och säkerhetsrisker står i fokus. Men, det tar ofta tid att skapa en kultur där medarbetarna självmant bidrar till ett sådant system.

Det är effektivt att outsourca enskilda funktioner till standardiserade eller Cloudbaserade system. Då kan organisationen fokusera på att bygga expertis kring de egna processerna och säkerheten och en kompetensbank utanför företaget utnyttjas för teknik och system.

Genom att vara uppmärksam på an-svarsglapp och brister i organisationens helhetssyn går det att spara utan att göra avkall på kvaliteten, vilket gynnar företag i längden!

Martin Bergling
Expert inom risk och säkerhet på IBM

Bra plattformsstöd

Vad det hela ska utmynna i är ett system som kontrollerar äktheten i inloggningar av människor, signering av dokument, nyckelgenerering och autenticiteten hos applikationer som inte får eller kan utföra sina transaktioner, till exempel i en databas, utan att Safenet Luna SA tillåter det. Speciellt fallet med applikationerna är riktigt intressant.

5500 krypteringar per sekund

Plattformsstödet är bra – från Windows Server över Solaris, RHEL, AIX, HP-UX till Vmware. Listan med stödet för olika kryptografiska algoritmer, funktioner, API:er och regulatoriska standarder är så lång att man blir trött bara av att se den. Om du absolut måste använda SSL3-SHA-1-MAC Eliptical Curve Cryptography Korean Algorithms är Luna SA produkten för dig.

Allt huseras i en låda som enligt Safenet ska klara 5500 kryperingstransaktioner per sekund. Och försöker du öppna lådan förintas hela klabbet i ett digitalt stoftmoln rakt ut i /dev/null. James Bonds sprängda Aston Martins känns inte längre lika sexigt.

Safenet Luna SA har väldigt många funktioner. Speciellt intressant är autentiseringen av applikationstransaktioner (till exempel databaser) och de hårda certifikaten i form av usb-pinnar och koddosa för användarinloggning som ingår i paketet.

TechWorlds slutsats

Vi kanske skojar till det en aning, men det beror mest på att vi är glada för att produkter som Safenet Luna SA finns. Det här är en extremt seriös produkt, och när dammet lagt sig är vi mäkta imponerade av det rigorösa säkerhetstänket.

"När dammet lagt sig är vi
mäkta imponerade av det rigorösa
säkerhets-tänket."

Du får dock räkna med att det tar ett bra tag att sätta sig in i produkten, och att du är insatt i säkerhetssystem av det här slaget är en förutsättning.

Bild: Andreas Eklund