Apsaugos branduolys iš esmės yra kompiuterio ar tinklo saugumo įgyvendinimo branduolys. Tai yra saugios skaičiavimo aplinkos šerdis, kuri gali būti įgyvendinta kaip aparatinės įrangos komponentas, įdiegtas kompiuterio ar tinklo topologijoje, programinės įrangos diegimas arba programinės įrangos sistema, įdiegta kompiuterio mikroschemoje. Bet kokiomis priemonėmis branduolys tampa centrine vieta kompiuterio ar tinklo išteklių prieigos leidimams nustatyti.
Vienas iš ankstyvųjų saugumo branduolio įdiegimų buvo virtualios mašinos monitorius, sukurtas aštuntajame dešimtmetyje Digital Equipment Corporation® (DEC®) virtualiojo adreso plėtinio (VAX) kompiuterių sistemoms. Kompiuteris gali būti sukonfigūruotas į kelias virtualias mašinas, kurių kiekviena galėtų paleisti skirtingą operacinę sistemą su prieiga prie skirtingų išteklių ir su skirtingais saugos protokolais. Šiuo atveju branduolys buvo tikroje mašinoje, kurioje buvo sukurtos virtualios mašinos, ir tvarkė skirtingų virtualių mašinų, kurios gali turėti skirtingą saugumo lygį, prieigos kontrolę.
Dažniausiai saugos branduolys įdiegiamas naudojant programinės įrangos sluoksnį kompiuterio operacinėje sistemoje. Sistemos dizainą galima žiūrėti kaip žiedų seriją, panašią į svogūną, kur kiekvienas sluoksnis pasiekia apačioje esančius. Absoliučiame centre yra aparatinė įranga. Pirmasis aparatinės įrangos sluoksnis būtų saugos branduolys, kuriame yra visos prieigos kontrolės ir autentifikavimo instrukcijos, leidžiančios pasiekti kompiuterio aparatinę įrangą. Virš šios yra likusi operacinės sistemos dalis, o aukščiau – programos, o vėliau – vartotojo lygio operacijos.
Tai sudaro esminę operacinės sistemos, kuriai taikoma patikimos skaičiavimo bazės (TCB) metodika, sudėtį. Diegiant TCB, saugos branduolys operacinėje sistemoje taip pat vadinamas etaloniniu monitoriumi. Jis visą laiką užtikrina visišką valdymą ir jokiu būdu negali būti sugadintas. Tada ji įgyvendina saugos politiką programoms ir vartotojams sistemoje, kad jie galėtų skaityti ir rašyti sistemoje esančius failus, taip pat įvairius tinklo protokolų ir kitų tarpprocesinių ryšių prieigos taškus. Teikiant šias funkcijas, ji taip pat turi būti analizuojama ir stebima, siekiant užtikrinti, kad ji atitinka šiuos reikalavimus.
Atsižvelgiant į tai, kad saugos branduolio sąvoka turi tokį platų apibrėžimą, ji neapsiriboja programinės įrangos diegimu. Pagrindinės saugos strategijos taip pat gali būti aparatinės įrangos, pvz., intelektualiųjų kortelių sistemos ar kitos techninės įrangos priedo, forma. Tokiu būdu negalima atrakinti prieigos prie sistemos išteklių, nenaudojant konkrečios į kompiuterį įdėtos kortelės.
Kitas saugos branduolio diegimo būdas gali būti paskirstyta sistema. Viename iš jų, žinomų kaip patikima savalaikė skaičiavimo bazė (TTCB), tinklas laikomas sistema, kuri dažnai yra jautri tam tikram saugumo pažeidimui. Užuot užkirtusi kelią atakoms, TTCB sistema toleruoja įsibrovimus ir suteikia galimybę su jais kovoti. Naudojant šį diegimo tipą, kiekvienas tinklo mazgas turi paskirstytą saugos branduolį, kuris suteikia savo saugų ryšio ir valdymo kanalą.