16.2. Considérations relatives à l'installation du serveur Tang
16.2.1. Scénarios d'installation
Tenez compte des recommandations suivantes lorsque vous planifiez l'installation d'un serveur Tang :
Les petits environnements peuvent utiliser un seul jeu de clés, même s'ils utilisent plusieurs serveurs Tang :
- Les rotations de clés sont plus faciles.
- Les serveurs Tang peuvent évoluer facilement pour permettre une haute disponibilité.
Les grands environnements peuvent bénéficier de plusieurs séries de documents clés :
- Les installations physiquement différentes ne nécessitent pas la copie et la synchronisation des documents clés entre les régions géographiques.
- La rotation des clés est plus complexe dans les grands environnements.
- L'installation des nœuds et le changement de clé nécessitent une connectivité réseau à tous les serveurs Tang.
- Une légère augmentation du trafic réseau peut se produire en raison de l'interrogation de tous les serveurs Tang par un nœud d'amorçage pendant le décryptage. Notez que si une seule requête du client Clevis doit aboutir, Clevis interroge tous les serveurs Tang.
Plus de complexité :
-
Une reconfiguration manuelle supplémentaire peut permettre le partage du secret de Shamir (sss) de
any N of M servers online
afin de décrypter la partition du disque. Le décryptage des disques dans ce scénario nécessite plusieurs jeux de clés et une gestion manuelle des serveurs Tang et des nœuds avec des clients Clevis après l'installation initiale.
-
Une reconfiguration manuelle supplémentaire peut permettre le partage du secret de Shamir (sss) de
Recommandations de haut niveau :
- Pour un déploiement RAN unique, un ensemble limité de serveurs Tang peut fonctionner dans le contrôleur de domaine (DC) correspondant.
- Pour les déploiements RAN multiples, vous devez décider si vous voulez exécuter des serveurs Tang dans chaque DC correspondant ou si un environnement Tang global répond mieux aux autres besoins et exigences du système.
16.2.2. Installation d'un serveur Tang
Procédure
Vous pouvez installer un serveur Tang sur une machine Red Hat Enterprise Linux (RHEL) à l'aide de l'une des commandes suivantes :
Installez le serveur Tang à l'aide de la commande
yum
:$ sudo yum install tang
Installez le serveur Tang à l'aide de la commande
dnf
:$ sudo dnf install tang
L'installation peut également être conteneurisée et est très légère.
16.2.2.1. Exigences en matière de calcul
Les exigences en matière de calcul pour le serveur Tang sont très faibles. Toute configuration typique de serveur que vous utiliseriez pour déployer un serveur en production peut fournir une capacité de calcul suffisante.
Les considérations relatives à la haute disponibilité concernent uniquement la disponibilité et non une puissance de calcul supplémentaire pour satisfaire les demandes des clients.
16.2.2.2. Démarrage automatique au démarrage
En raison de la nature sensible des clés utilisées par le serveur Tang, vous devez garder à l'esprit que l'intervention manuelle pendant la séquence de démarrage du serveur Tang peut être bénéfique.
Par défaut, si un serveur Tang démarre et ne dispose pas de matériel de clé dans le volume local prévu, il créera du matériel neuf et le servira. Vous pouvez éviter ce comportement par défaut en démarrant avec des clés préexistantes ou en interrompant le démarrage et en attendant une intervention manuelle.
16.2.2.3. HTTP contre HTTPS
Le trafic vers le serveur Tang peut être crypté (HTTPS) ou en clair (HTTP). Le chiffrement de ce trafic ne présente pas d'avantages significatifs en termes de sécurité, et le fait de le laisser déchiffré supprime toute complexité ou condition d'échec liée à la vérification des certificats TLS (Transport Layer Security) dans le nœud exécutant un client Clevis.
Bien qu'il soit possible d'effectuer une surveillance passive du trafic non crypté entre le client Clevis du nœud et le serveur Tang, la capacité d'utiliser ce trafic pour déterminer le matériel de la clé est au mieux une préoccupation théorique future. Une telle analyse du trafic nécessiterait de grandes quantités de données capturées. La rotation des clés l'invaliderait immédiatement. Enfin, tout acteur de la menace capable d'effectuer une surveillance passive a déjà obtenu l'accès au réseau nécessaire pour effectuer des connexions manuelles au serveur Tang et peut effectuer le décryptage manuel plus simple des en-têtes Clevis capturés.
Cependant, étant donné que d'autres politiques de réseau en place sur le site d'installation peuvent exiger le chiffrement du trafic indépendamment de l'application, il est préférable de laisser cette décision à l'administrateur de la grappe.
16.2.3. Considérations relatives à l'installation du chiffrement des disques liés au réseau
Le chiffrement des disques liés au réseau (NBDE) doit être activé lors de l'installation d'un nœud de cluster. Cependant, vous pouvez modifier la politique de chiffrement des disques à tout moment après son initialisation lors de l'installation.