検索

5.3. ハードウェアセキュリティーモジュール (HSM) のサポート

download PDF

PKCS#11 暗号化プラグインを使用して、サードパーティーのベンダーが生成した物理的なラックマウントアプライアンスである Hardware Security Module (HSM) にシークレットを保存できます。これらのシークレットは pKEK を使用して暗号化され、Barbican データベースにも保存されます。pKEK は暗号化され、HMAC 操作は HSM にも保管される MKEK キーおよび HMAC 鍵を使用して適用されます。

このガイドでは、Barbican を Atos および nCipher の特定の HSM アプライアンスと統合する方法を説明します。

以下の方法を使用して HSM と対話できます。

  • PKCS#11 暗号プラグイン - PKCS#11 暗号化プラグインは、Barbican データベースに保存されているプロジェクト固有の鍵暗号鍵(KEK)でシークレットを暗号化します。これらのプロジェクト固有の KEK は、マスター KEK によって暗号化されます。PKEK を含む暗号化されたブロブは、HMAC キーによる HMAC 処理を受けます。これは HSM にも保存されます。すべての暗号化および復号化操作は、in-process メモリーではなく、HSM に置かれます。PKCS#11 プラグインは、PKCS#11 プロトコルを使用して HSM と通信します。暗号化はセキュアなハードウェアで実行され、プロジェクトごとに別の KEK が使用されるため、このオプションは単純な crypto プラグインよりも安全です。
  • KMIP プラグイン: Red Hat では、このアプローチに対応していないことに注意してください。Key Management Interoperability Protocol(KMIP)プラグインは、HSM などの KMIP が有効になっているデバイスと連携します。シークレットは、Barbican データベースの代わりにデバイスに直接保存されます。プラグインは、ユーザー名とパスワードを使用するか、barbican.conf ファイルに保存されているクライアント証明書を使用してデバイスに対して認証することができます。
  • Red Hat Certificate System(dogtag) - Red Hat Certificate System は、一般的な基準と、公開鍵インフラストラクチャー(PKI)の様々な側面を管理するための FIPS 認定セキュリティーフレームワークです。Key Recovery Authority(KRA)サブシステムは、シークレットをデータベースに暗号化された Blob として保存します。マスター暗号化キーは、ソフトウェアベースの Network Security Services(NSS)データベースまたは HSM のいずれかに保存されます。Red Hat Certificate System の詳細は、Red Hat Certificate System の製品ドキュメント を参照してください。
注記

高可用性 (HA) オプション: Barbican サービスは Apache 内で実行され、高可用性に HAProxy を使用するように director により設定されます。バックエンド層の HA オプションは、使用するバックエンドによって異なります。たとえば、簡単な暗号化を使用する場合、すべての Barbican インスタンスには設定ファイル内に同じ暗号化キーがあり、単純な HA 設定が作成されます。

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.