Red Hat Summit3장. HSM(Hardware Security Module) 어플라이언스와 OpenStack Key Manager(barbican) 통합
Red Hat OpenStack Platform 배포를 HSM(하드웨어 보안 모듈) 어플라이언스와 통합하여 하드웨어 기반 암호화 처리를 사용하여 보안 상태를 개선합니다. OpenStack Key Manager와 HSM 어플라이언스의 통합을 계획할 때 지원되는 암호화 유형 및 HSM 어플라이언스를 선택하고, 일반 백업을 설정하고, 배포에 영향을 줄 수 있는 기타 정보 또는 제한 사항을 검토해야 합니다.
3.1. OpenStack Key Manager(barbican)와 Atos HSM 통합
PKCS#11 백엔드를 Trustway Proteccio Net HSM 어플라이언스와 통합하려면 매개변수가 포함된 구성 파일을 생성하여 barbican을 HSM에 연결합니다. atos_hsms 매개변수 아래에 두 개 이상의 HSM을 나열하여 HA를 활성화할 수 있습니다.
계획
기본적으로 HSM에는 최대 32개의 동시 연결이 있을 수 있습니다. 이 수를 초과하면 PKCS#11 클라이언트에서 메모리 오류가 발생할 수 있습니다. 다음과 같이 연결 수를 계산할 수 있습니다.
-
각 컨트롤러에는 하나의
barbican-api및 하나의barbican-worker프로세스가 있습니다. -
각 Barbican API 프로세스는
N - 각 작업자는 HSM에 대한 하나의 연결이 있습니다.
각 barbican-worker 프로세스에는 데이터베이스에 대한 하나의 연결이 있습니다. BarbicanWorkers heat 매개변수를 사용하여 각 API 프로세스의 Apache 작업자 수를 정의할 수 있습니다. 기본적으로 Apache 작업자 수는 CPU 수와 일치합니다.
예를 들어 각각 32개의 코어가 있는 컨트롤러 3개가 있는 경우 각 컨트롤러의 Barbican API는 32개의 Apache 작업자를 사용합니다. 결과적으로 하나의 컨트롤러는 사용 가능한 모든 32 HSM 연결을 사용합니다. 이러한 경합을 방지하려면 각 노드에 구성된 Barbican Apache 작업자 수를 제한합니다. 이 예에서는 세 컨트롤러 모두 HSM에 대해 10 개의 동시 연결을 만들 수 있도록 BarbicanWorkers 를 10으로 설정합니다.
사전 요구 사항
- Atos HSM에 대한 공급 업체 소프트웨어를 제공하는 암호로 보호되는 HTTPS 서버
| 파일 | 예제 | 제공자 |
|---|---|---|
| Proteccio 클라이언트 소프트웨어 ISO 이미지 파일 | Proteccio1.09.05.iso | HSM 벤더 |
| SSL 서버 인증서 | proteccio.CRT | HSM 관리자 |
| SSL 클라이언트 인증서 | client.CRT | HSM 관리자 |
| SSL 클라이언트 키 | client.KEY | HSM 관리자 |
절차
Barbican에 대한
configure-barbican.yaml환경 파일을 생성하고 다음 매개변수를 추가합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow 참고atos_hsms매개변수는 더 이상 사용되지 않고 향후 릴리스에서 제거될atos_hsm_ip_address및atos_server_cert_location매개변수를 대체합니다.Expand 표 3.2. heat 매개변수 매개변수 현재의 BarbicanSimpleCryptoGlobalDefault
simplecrypto가 글로벌 기본값인지 여부를 결정하는 부울입니다.BarbicanPkcs11GlobalDefault
PKCS#11이 글로벌 기본값인지 여부를 결정하는 부울입니다.BarbicanPkcs11CryptoSlotId
Barbican에서 사용할 Virtual HSM의 슬롯 ID입니다.
ATOSVars
atos_client_iso_name
Atos 클라이언트 소프트웨어 ISO의 파일 이름입니다. 이 값은
atos_client_iso_location매개변수의 URL의 파일 이름과 일치해야 합니다.atos_client_iso_location
사용자 이름 및 암호를 포함한 URL은 Proteccio 클라이언트 소프트웨어 ISO 이미지의 HTTPS 서버 위치를 지정합니다.
atos_client_cert_location
사용자 이름 및 암호를 포함한 URL은 SSL 클라이언트 인증서의 HTTPS 서버 위치를 지정합니다.
atos_client_key_location
사용자 이름 및 암호를 포함한 URL은 SSL 클라이언트 키의 HTTPS 서버 위치를 지정합니다. 이는 위의 클라이언트 인증서와 일치하는 키여야 합니다.
atos_hsms
HSM의 이름, 인증서 위치 및 IP 주소를 지정하는 하나 이상의 HSM 목록입니다. 이 목록에 두 개 이상의 HSM을 포함하는 경우 Barbican은 부하 분산 및 고가용성을 위해 HSM을 구성합니다.
배포 명령에 사용자 지정
configure-, barbican.yaml 및 ATOS 특정barbican.yamlbarbican-backend-pkcs11-atos.yaml환경 파일을 포함하고 배포와 관련된 기타 환경 파일을 포함합니다.Copy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
테스트 보안을 생성합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 방금 생성한 시크릿의 페이로드를 검색합니다.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}