5.3. ハードウェアセキュリティーモジュール (HSM) のサポート
PKCS#11 暗号化プラグインを使用して、サードパーティーのベンダーが生成した物理的なラックマウントアプライアンスである Hardware Security Module (HSM) にシークレットを保存できます。これらのシークレットは pKEK を使用して暗号化され、Barbican データベースにも保存されます。pKEK は暗号化され、HMAC 操作は HSM にも保管される MKEK キーおよび HMAC 鍵を使用して適用されます。
このガイドでは、Barbican を Atos および nCipher の特定の HSM アプライアンスと統合する方法を説明します。
以下の方法を使用して HSM と対話できます。
- PKCS#11 暗号プラグイン - PKCS#11 暗号化プラグインは、Barbican データベースに保存されているプロジェクト固有の鍵暗号鍵(KEK)でシークレットを暗号化します。これらのプロジェクト固有の KEK は、マスター KEK によって暗号化されます。PKEK を含む暗号化されたブロブは、HMAC キーによる HMAC 処理を受けます。これは HSM にも保存されます。すべての暗号化および復号化操作は、in-process メモリーではなく、HSM に置かれます。PKCS#11 プラグインは、PKCS#11 プロトコルを使用して HSM と通信します。暗号化はセキュアなハードウェアで実行され、プロジェクトごとに別の KEK が使用されるため、このオプションは単純な crypto プラグインよりも安全です。
-
KMIP プラグイン: Red Hat では、このアプローチに対応していないことに注意してください。Key Management Interoperability Protocol(KMIP)プラグインは、HSM などの KMIP が有効になっているデバイスと連携します。シークレットは、Barbican データベースの代わりにデバイスに直接保存されます。プラグインは、ユーザー名とパスワードを使用するか、
barbican.conf
ファイルに保存されているクライアント証明書を使用してデバイスに対して認証することができます。 - Red Hat Certificate System(dogtag) - Red Hat Certificate System は、一般的な基準と、公開鍵インフラストラクチャー(PKI)の様々な側面を管理するための FIPS 認定セキュリティーフレームワークです。Key Recovery Authority(KRA)サブシステムは、シークレットをデータベースに暗号化された Blob として保存します。マスター暗号化キーは、ソフトウェアベースの Network Security Services(NSS)データベースまたは HSM のいずれかに保存されます。Red Hat Certificate System の詳細は、Red Hat Certificate System の製品ドキュメント を参照してください。
高可用性 (HA) オプション: Barbican サービスは Apache 内で実行され、高可用性に HAProxy を使用するように director により設定されます。バックエンド層の HA オプションは、使用するバックエンドによって異なります。たとえば、簡単な暗号化を使用する場合、すべての Barbican インスタンスには設定ファイル内に同じ暗号化キーがあり、単純な HA 設定が作成されます。