Entrust nShield Connect または Connect XC HSM アプライアンス

このコンテンツでは、1 つの nShield アプライアンスを 1 つの  (ハードウェア アプライアンスまたは VMware OVA インスタンス)と統合する方法について説明します。
3-4
HID_ConfigEntrustHSM
このコンテンツでは、1 つの nShield アプライアンスを 1 つの
Privileged Access Manager
(ハードウェア アプライアンスまたは VMware OVA インスタンス)と統合する方法について説明します。
このトピックには、以下の内容が含まれます:
2
前提条件
Entrust HSM と連携するように
Privileged Access Manager
を設定するには、以下のアイテムが必要です。
  • nShield Connect または nShield Connect XC ハードウェア アプライアンス
展開のガイドライン
Privileged Access Manager
は、以下のガイドラインに従って、Entrust nShield HSM と連携できます。
  • 以下の項目と連携
    • クライアント ソフトウェア Security World Software バージョン 11.62.00 を実行している Entrust nShield Connect 1500 このクライアントは、nShield Connect のバージョン、500、6000、および 6000+ で使用できます。
    • クライアント ソフトウェア Security World Software バージョン 12.40.2 を実行している Entrust nShield Connect XC このクライアントは、以下の nShield Connect XC のバージョンで使用できます: XC Base、XC Mid、および XC High
Entrust nShield Connect または nShield Connect XC の設定
nShield HSM と通信するように設定するには、事前に HSM を準備して
Privileged Access Manager
 を認識させます。
以下の手順では、Broadcom の制御の外にある、サードパーティ環境(Entrust nShield Connect 7.1)について説明します。この手順は、インターフェースの典型的な例です。インストール手順については、ご使用の nShield 製品の製造元のマニュアルを参照してください。
Entrust Security World Software 11.62.00 については、Entrust 製品に同梱されている以下のドキュメントを参照してください。
  • nShield_Connect_Quick_Start_Guide.pdf (以下の手順ではインストール ガイドと呼びます)
  • nShield_Connect_and_netHSM_User_Guide.pdf (以下の手順ではユーザ ガイドと呼びます)
Entrust Security World Software 12.40.2 については、Entrust 製品に同梱されている以下のドキュメントを参照してください。
  • nShield_Connect_Installation_Guide.pdf (以下の手順ではインストール ガイドと呼びます)
  • nShield_Connect_User_Guide_Unix.pdf (以下の手順ではユーザ ガイドと呼びます)
  • nShield_Connect_User_Guide_Windows.pdf (以下の手順ではユーザ ガイドと呼びます)
以下の手順に従います。
  1. nShield アプライアンスをインストールおよび設定します。ネットワーク上に HSM をインストールして設定するには、インストール ガイドに従う必要があります。
  2. nShield アプライアンスのイーサネット インターフェースの IP アドレスをメモします。
    PAM
    を設定している場合、このアドレスは後で入力されます。FQDN またはその他の DNS 名を使用することは
    できません
  3. Security World の作成: ユーザ ガイドの第 7 章で説明されているように、Security World を作成する必要があります。
  4. Operator Card Set を作成します。
    Operator Card Set (OCS)には、nShield Security World によって使用される 1 つまたは複数のスマート カードが含まれます。これらのカードは、
    PAM
    が作成できる、暗号化されたすべてのシークレットを保護します。ユーザ ガイドの第 8 章で説明されているように、Operator Card Set を作成する必要があります。
  5. OCS 名
    パスフレーズ
    をメモします。
    PAM
    セットアップでは、これらの値を使用します。
    この OCS は、「N のうち 1」のセットである必要があります。ここで N は少なくとも HSM の数です。N が HSM の数より大きくなることがありますが、OCS は「N のうち 1」である必要があります。
    複数のカードを使用して Operator Card Set を作成する場合は、各カードが同じ OCS 名とパスワードを持つ必要があります。名前とパスワードは、ともにユーザが選択できます。
    同じ名前とパスワードを使用することで、PAM は、フェールオーバ グループとして、複数の nShield HSM を使用できます。また、PAM は名前に基づいてオペレータ カードの nShield デバイスを検索するため、セット内の各カードでは名前が同じである必要があります。
    標準 OCS は非永続的です。これは、必要なカードが nShield デバイスのスマート カード リーダにロードされている間は、OCS によって保護されているキーのみを使用できることを意味します。カードがスマート カード リーダから取り除かれるとすぐに、このカードによって保護されているキーがハードウェア セキュリティ デバイスのメモリから削除されます。この機能によってセキュリティが強化されましたが、一度に 1 人のユーザしかキーをロードできなくなりました。
    必要なカードがスマート カード リーダにロードしたままにできない場合は、
    永続
    Operator Card Set を作成する必要があります。これについては、ユーザ ガイドの第 8 章の「Persistent Operator Card Sets」を参照してください。
  6. RFS (Remote File System、リモート ファイル システム)の作成: ユーザ ガイドの第 6 章の説明に従って、「リモート ファイル システム」を作成する必要があります。RFS は、単一の HSM や HSM のグループを共有する、クラスタ化されたクライアント(PAM インスタンス)の設定データおよび共有シークレットを格納します。
    RFS を設定するクライアント コンピュータの IP アドレスをメモします。
    PAM
    を設定するときに、このアドレスが入力されます。FQDN を入力
    しないでください
  7. nShield に PAM IP アドレスを登録します。
    PAM IP アドレスをクライアントとして nShield デバイスに登録する必要があります。
    これは、nShield デバイスのフロント パネル上で実行されます
    。ユーザ ガイドの第 6 章の「Configuring the unit to use the client」または「Configuring the nShield Connect to use the client」で説明されています。
    このプロセス中に、nToken デバイスを使用
    しない
    権限のない
    」クライアントとして PAM を設定します。
    PAM IP アドレスをクライアントとしてリモート ファイル システムにリモートで追加するには(nShield デバイスにアクセスする必要はありません)、ユーザ ガイドの第 6 章の「Remote configuration of additional clients」を参照してください。
  8. RFS に PAM IP アドレスを登録します。
    クラスタ内の複数の PAM が nShield デバイスを共有できるように PAM クラスタ化を可能にするには、リモート ファイル システムに PAM IP アドレスを登録する必要があります。
    これは、RFS として機能するコンピュータ上で実行されます
    。ユーザ ガイドの第 6 章の「Setting up client cooperation」で説明されています。
    PAM クラスタリング(複数の PAM インスタンス)を動作させるには、rfs-setup コマンドに「gang-client」引数が必要です。
    環境に応じて、方法 1 または方法 2 のいずれかを使用できます。
    方法 1:
    このリモート ファイル システムのクライアントである必要がある認証されていない(書き込みアクセス権を持っているが
    KNETI
    許可がない)すべてのクライアントについて、RFS マシンで以下のコマンドを実行します。
    rfs-setup --gang-client --write-noauth
    PAM_IP_address
    --write-noauth
    オプションは、ネットワークが安全であると考えられる場合にのみ使用してください。このオプションを使用すると、設定しているクライアントが KNETI 許可なしで RFS にアクセスできます。
    方法 2:
    このリモート ファイル システムのクライアントである必要がある認証済み(書き込みアクセス権と KNETI 許可がある)すべてのクライアントについて、RFS マシンで以下のコマンドを実行します。
    rfs-setup --gang-client
    PAM_IP_address EEEE-SSSS-NNNN keyhash
    • EEEE-SSSS-NNNN
      はユニットの ESN です。
    • keyhash
      は、ユニットの KNETI キーのハッシュです。
    ユニットの
    ESN
    および
    KNETI
    を取得するには、以下のコマンドを実行します。
    anonkneti
    nShield_device_IP_address
HSM を使用するように
PAM
を設定する
Entrust nShield Connect HSM をセットアップした後、
PAM
を設定します。この設定は、
PAM
に最大 3 つの同じリリースの nShield HSM との通信を確立させます。
PAM
に対する Entrust HSM を特定するには、以下の手順を実施します。
  1. ライセンスをインストールします。
  2. データベースをバックアップします。
  3. PAM
    に対する HSM の特定
ダウンタイム中にのみ nShield HSM を使用するように
PAM
を設定することをお勧めします。実稼働環境の
PAM
アプライアンスの場合、メンテナンスの時間枠を計画します。
ライセンスのインストール
HSM と通信するように設定するには、HSM に
Privileged Access Manager
ライセンスをインストールします。
PAM
データベースのバックアップ
データベース内のすべてのパスワードの HSM 設定トリガ再暗号化を追加します。
Privileged Access Manager
 を nShield アプライアンスと連携するように設定する前に、データベースをバックアップします。
  1. UI に(たとえば「super」)管理者としてログインします。
  2. 設定
    ]-[
    データベース
    ]に移動します。
  3. [データベース]
    タブで、
    [データベースおよび構成を保存]
    をクリックします。
    ページが更新され、バックアップ ファイル名が表示されます。データベースのファイル名(gkdatabase20130714124622.gz など)をメモします。
  4. ファイルの一覧からデータベースのファイル名を選択し、
    [ダウンロード]
    をクリックします。
    データベースは、ローカル ワークステーション(または、他の場所)に保存されます。
必要な場合は、このバックアップ ファイルを使用して、データベースを復旧します。
PAM
での HSM 環境の設定
PAM
またはクラスタを再起動する前に、OCS スマート カードが Entrust nShield HSM に挿入されていることを確認します。PAM が HSM と正常に通信できたら、カードを取り外すことができます。
PAM
が HSM とのネットワーク接続を失った場合、接続を再確立するのにカードも必要になる可能性があります。
以下の手順では、1 つの nShield HSM アプライアンスに対する設定を想定しています。
  1. UI に(たとえば「super」)管理者としてログインします。
  2. [構成]
    -
    [サードパーティ] - [Entrust HSM]
    に移動します。
  3. [Entrust HSM 設定]
    タブで、nShield HSM の設定に使用した nShield の認証情報を入力します。
    1. [トークン ラベル]
      フィールドで、OCS の名前を入力します。
    2. リモート ファイル システムを設定するクライアント コンピュータの IP アドレス(DNS 名ではありません)を入力します。
      2 つの nShield アドレス パラメータのデフォルト ポートは 9004 です。デフォルト ポートを使用していない場合は、完全ソケット宣言内で別のポート番号を指定します。例: 192.168.0.2:9999
    3. [トークン パスワード]
      フィールドに OCS のパスワードを入力します。
    4. [アドレス]
      フィールドに、nShield アプライアンスに割り当てられた IP アドレス(DNS 名ではありません)を入力します。
  4. 追加
    ]をクリックして、設定を開始します。
    • 最初の
      HSM を設定している場合は、データベース内のすべてのパスワードが再暗号化されます。この影響について警告し、キャンセルが許可されることを説明するダイアログ ボックスが表示されます。
    • 2 番目または 3 番目の HSM を設定している場合は、再暗号化は発生せず、ダイアログ ボックスも表示されません。
    ネイティブ
    Privileged Access Manager
     から nShield 暗号化に変更するプロセス中に、認証情報マネージャ データベースが nShield アプライアンスにコピーされます。データベースがコピーされている間、既存の認証情報マネージャ データベースを他の目的で使用できます。
    nShield アプライアンスへのアカウント アクセスが成功したら、ページが更新され、確認メッセージが表示されます。更新済みの[ネットワーク接続されている HSM]タブに、アプライアンスのアドレスとステータスが表示されます。
  5. Privileged Access Manager
     を再起動します。
  6. Privileged Access Manager
    に再度ログインして、
    [サードパーティ]
    ページに戻ります。
  7. パスワードの必要な再暗号化を確認します。
    この再暗号化も、早い段階で発生する場合、A2A クライアントからのパスワード リクエストのすぐ後に発生します。
Entrust nShield がアクティブになると、このステータスは「システム情報の表示」ページに表示されます。
HSM の追加または削除
HSM の
Privileged Access Manager
 設定を変更して、1 つまたは複数の HSM を追加または削除できます。また、保存された OCS パスワードを更新することもできます。
Privileged Access Manager
での nShield アプライアンスの設定は、ダウンタイム中にのみ行うことを強くお勧めします。ご使用の
Privileged Access Manager
 が実稼働環境のアプライアンスの場合は、メンテナンスの時間枠を計画してください。
PAM
またはクラスタを再起動する前に、OCS スマート カードが Entrust nShield HSM に挿入されていることを確認します。PAM が HSM と正常に通信できたら、カードを取り外すことができます。
PAM
が HSM とのネットワーク接続を失った場合、接続を再確立するのにカードも必要になる可能性があります。
HSM の追加
Privileged Access Manager
に 1 つまたは 2 つ以上の HSM を追加することができます。最大 3 つの HSM が許可されています。
以下の手順に従います。
  1. UI に(たとえば「super」)管理者としてログインします。
  2. [設定]
    -
    [サードパーティ]
    に移動して、展開します。
  3. [Entrust HSM 設定]
    タブで、nShield HSM の設定に使用した nShield の認証情報を入力します。
    1. [トークン ラベル]
      フィールドで、OCS の名前を入力します。
    2. リモート ファイル システムを設定するクライアント コンピュータの IP アドレス(DNS 名ではありません)を入力します。
      2 つの nShield アドレス パラメータのデフォルト ポートは 9004 です。デフォルト ポートを使用していない場合は、完全ソケット宣言内で別のポート番号を指定します。例: 192.168.0.2:9999
    3. [トークン パスワード]
      フィールドに OCS のパスワードを入力します。
    4. [アドレス]
      フィールドに、nShield アプライアンスに割り当てられた IP アドレス(DNS 名ではありません)を入力します。
  4. 追加
    ]をクリックして、設定を開始します。
    nShield アプライアンスへのアカウント アクセスが成功したら、ページが更新され、確認メッセージが表示されます。
    [ネットワーク接続されている
    HSM]
    タブが更新されます。
  5. Privileged Access Manager
     を再起動します。
  6. Privileged Access Manager
    に再度ログインして、
    [サードパーティ]
    ページに移動します。
  7. パスワードの必要な再暗号化が開始されます。
    この再暗号化も、早い段階で発生する場合、A2A クライアントからのパスワード リクエストのすぐ後に発生します。
トークン パスワードの値は、最初の HSM で使用されているものと同じである必要があります。そうでない場合、他の HSM OCS を再設定する必要があります。
HSM を削除して暗号化を元に戻す
暗号化メカニズムを認証情報マネージャに戻すには、HSM を削除します。
以下の手順に従います。
  1. UI に(たとえば「super」)管理者としてログインします。
  2. [設定]
    -
    [サードパーティ]
    に移動します。
    ネットワーク接続されている HSM
    ]タブに、1 つまたは複数の HSM が表示されます。
  3. 1 つまたは複数の HSM がオンラインであることを確認します。
  4. 削除したい HSM の隣にある[
    削除
    ]をクリックします。
    HSM が 1 つだけ設定されている場合、メッセージは、削除によってデータベース内のすべてのパスワードの再暗号化がトリガされることを示します。パスワードは、認証情報マネージャに再度割り当てられます。再暗号化処理の後、「成功」または「エラー」メッセージが表示されます。
  5. Privileged Access Manager
     を再起動します。
  6. UI に再度ログインして、[
    サードパーティ
    ]ページに戻ります。
    削除された HSM は今後使用されなくなります。
  7. パスワードの必要な再暗号化を確認します。
    この再暗号化も、早い段階で発生する場合、A2A クライアントからのパスワード リクエストのすぐ後に発生します。
nShield グループと連携するようにクラスタを設定する
nShield HSM または HSM グループを、同期された既存の
Privileged Access Manager
 クラスタで使用するように設定できます。
以下の手順では、以下のセットアップが想定されています。
  • 既存の
    n
    メンバ クラスタが設定されている。
  • (同じリリース レベルの)最大 3 つの nShield HSM アプライアンスがネットワークにインストールされている。
以下の手順に従います。
  1. プライマリ
    PAM
    クラスタ メンバ:
    1. 必要に応じて、すべての準備手順(ライセンスのインストール、データベースのバックアップ)を実施します。
    2. ネットワーク内のすべての HSM について、
      PAM
      で HSM 環境を設定
      します。
  2. 追加のクラスタ メンバごとに、
    PAM
    で HSM 環境を設定
    します。
クラスタのすべてのメンバが、Entrust HSM を使用できるようになりました。