Entrust nShield Connect または Connect XC HSM アプライアンス
このコンテンツでは、1 つの nShield アプライアンスを 1 つの (ハードウェア アプライアンスまたは VMware OVA インスタンス)と統合する方法について説明します。
3-4
HID_ConfigEntrustHSM
このコンテンツでは、1 つの nShield アプライアンスを 1 つの
Privileged Access Manager
(ハードウェア アプライアンスまたは VMware OVA インスタンス)と統合する方法について説明します。このトピックには、以下の内容が含まれます:
2
前提条件
Entrust HSM と連携するように
Privileged Access Manager
を設定するには、以下のアイテムが必要です。- nShield Connect または nShield Connect XC ハードウェア アプライアンス
展開のガイドライン
Privileged Access Manager
は、以下のガイドラインに従って、Entrust nShield HSM と連携できます。- 以下の項目と連携
- クライアント ソフトウェア Security World Software バージョン 11.62.00 を実行している Entrust nShield Connect 1500 このクライアントは、nShield Connect のバージョン、500、6000、および 6000+ で使用できます。
- クライアント ソフトウェア Security World Software バージョン 12.40.2 を実行している Entrust nShield Connect XC このクライアントは、以下の nShield Connect XC のバージョンで使用できます: XC Base、XC Mid、および XC High
Entrust nShield Connect または nShield Connect XC の設定
nShield HSM と通信するように設定するには、事前に HSM を準備して
Privileged Access Manager
を認識させます。以下の手順では、Broadcom の制御の外にある、サードパーティ環境(Entrust nShield Connect 7.1)について説明します。この手順は、インターフェースの典型的な例です。インストール手順については、ご使用の nShield 製品の製造元のマニュアルを参照してください。
Entrust Security World Software 11.62.00 については、Entrust 製品に同梱されている以下のドキュメントを参照してください。
- nShield_Connect_Quick_Start_Guide.pdf (以下の手順ではインストール ガイドと呼びます)
- nShield_Connect_and_netHSM_User_Guide.pdf (以下の手順ではユーザ ガイドと呼びます)
Entrust Security World Software 12.40.2 については、Entrust 製品に同梱されている以下のドキュメントを参照してください。
- nShield_Connect_Installation_Guide.pdf (以下の手順ではインストール ガイドと呼びます)
- nShield_Connect_User_Guide_Unix.pdf (以下の手順ではユーザ ガイドと呼びます)
- nShield_Connect_User_Guide_Windows.pdf (以下の手順ではユーザ ガイドと呼びます)
以下の手順に従います。
- nShield アプライアンスをインストールおよび設定します。ネットワーク上に HSM をインストールして設定するには、インストール ガイドに従う必要があります。
- nShield アプライアンスのイーサネット インターフェースの IP アドレスをメモします。PAMを設定している場合、このアドレスは後で入力されます。FQDN またはその他の DNS 名を使用することはできません。
- Security World の作成: ユーザ ガイドの第 7 章で説明されているように、Security World を作成する必要があります。
- Operator Card Set を作成します。Operator Card Set (OCS)には、nShield Security World によって使用される 1 つまたは複数のスマート カードが含まれます。これらのカードは、PAMが作成できる、暗号化されたすべてのシークレットを保護します。ユーザ ガイドの第 8 章で説明されているように、Operator Card Set を作成する必要があります。
- OCS 名とパスフレーズをメモします。PAMセットアップでは、これらの値を使用します。この OCS は、「N のうち 1」のセットである必要があります。ここで N は少なくとも HSM の数です。N が HSM の数より大きくなることがありますが、OCS は「N のうち 1」である必要があります。複数のカードを使用して Operator Card Set を作成する場合は、各カードが同じ OCS 名とパスワードを持つ必要があります。名前とパスワードは、ともにユーザが選択できます。同じ名前とパスワードを使用することで、PAM は、フェールオーバ グループとして、複数の nShield HSM を使用できます。また、PAM は名前に基づいてオペレータ カードの nShield デバイスを検索するため、セット内の各カードでは名前が同じである必要があります。標準 OCS は非永続的です。これは、必要なカードが nShield デバイスのスマート カード リーダにロードされている間は、OCS によって保護されているキーのみを使用できることを意味します。カードがスマート カード リーダから取り除かれるとすぐに、このカードによって保護されているキーがハードウェア セキュリティ デバイスのメモリから削除されます。この機能によってセキュリティが強化されましたが、一度に 1 人のユーザしかキーをロードできなくなりました。必要なカードがスマート カード リーダにロードしたままにできない場合は、永続Operator Card Set を作成する必要があります。これについては、ユーザ ガイドの第 8 章の「Persistent Operator Card Sets」を参照してください。
- RFS (Remote File System、リモート ファイル システム)の作成: ユーザ ガイドの第 6 章の説明に従って、「リモート ファイル システム」を作成する必要があります。RFS は、単一の HSM や HSM のグループを共有する、クラスタ化されたクライアント(PAM インスタンス)の設定データおよび共有シークレットを格納します。RFS を設定するクライアント コンピュータの IP アドレスをメモします。PAMを設定するときに、このアドレスが入力されます。FQDN を入力しないでください。
- nShield に PAM IP アドレスを登録します。PAM IP アドレスをクライアントとして nShield デバイスに登録する必要があります。これは、nShield デバイスのフロント パネル上で実行されます。ユーザ ガイドの第 6 章の「Configuring the unit to use the client」または「Configuring the nShield Connect to use the client」で説明されています。このプロセス中に、nToken デバイスを使用「しない権限のない」クライアントとして PAM を設定します。PAM IP アドレスをクライアントとしてリモート ファイル システムにリモートで追加するには(nShield デバイスにアクセスする必要はありません)、ユーザ ガイドの第 6 章の「Remote configuration of additional clients」を参照してください。
- RFS に PAM IP アドレスを登録します。クラスタ内の複数の PAM が nShield デバイスを共有できるように PAM クラスタ化を可能にするには、リモート ファイル システムに PAM IP アドレスを登録する必要があります。これは、RFS として機能するコンピュータ上で実行されます。ユーザ ガイドの第 6 章の「Setting up client cooperation」で説明されています。PAM クラスタリング(複数の PAM インスタンス)を動作させるには、rfs-setup コマンドに「gang-client」引数が必要です。環境に応じて、方法 1 または方法 2 のいずれかを使用できます。方法 1:このリモート ファイル システムのクライアントである必要がある認証されていない(書き込みアクセス権を持っているがKNETI許可がない)すべてのクライアントについて、RFS マシンで以下のコマンドを実行します。rfs-setup --gang-client --write-noauthPAM_IP_address--write-noauthオプションは、ネットワークが安全であると考えられる場合にのみ使用してください。このオプションを使用すると、設定しているクライアントが KNETI 許可なしで RFS にアクセスできます。方法 2:このリモート ファイル システムのクライアントである必要がある認証済み(書き込みアクセス権と KNETI 許可がある)すべてのクライアントについて、RFS マシンで以下のコマンドを実行します。rfs-setup --gang-clientPAM_IP_address EEEE-SSSS-NNNN keyhash
- EEEE-SSSS-NNNNはユニットの ESN です。
- keyhashは、ユニットの KNETI キーのハッシュです。
ユニットのESNおよびKNETIを取得するには、以下のコマンドを実行します。anonknetinShield_device_IP_address
HSM を使用するように
PAM
を設定するEntrust nShield Connect HSM をセットアップした後、
PAM
を設定します。この設定は、PAM
に最大 3 つの同じリリースの nShield HSM との通信を確立させます。PAM
に対する Entrust HSM を特定するには、以下の手順を実施します。- ライセンスをインストールします。
- データベースをバックアップします。
- PAMに対する HSM の特定
ダウンタイム中にのみ nShield HSM を使用するように
PAM
を設定することをお勧めします。実稼働環境の PAM
アプライアンスの場合、メンテナンスの時間枠を計画します。ライセンスのインストール
HSM と通信するように設定するには、HSM に
Privileged Access Manager
ライセンスをインストールします。PAM
データベースのバックアップデータベース内のすべてのパスワードの HSM 設定トリガ再暗号化を追加します。
Privileged Access Manager
を nShield アプライアンスと連携するように設定する前に、データベースをバックアップします。- UI に(たとえば「super」)管理者としてログインします。
- [設定]-[データベース]に移動します。
- [データベース]タブで、[データベースおよび構成を保存]をクリックします。ページが更新され、バックアップ ファイル名が表示されます。データベースのファイル名(gkdatabase20130714124622.gz など)をメモします。
- ファイルの一覧からデータベースのファイル名を選択し、[ダウンロード]をクリックします。データベースは、ローカル ワークステーション(または、他の場所)に保存されます。
必要な場合は、このバックアップ ファイルを使用して、データベースを復旧します。
PAM
での HSM 環境の設定 PAM
またはクラスタを再起動する前に、OCS スマート カードが Entrust nShield HSM に挿入されていることを確認します。PAM が HSM と正常に通信できたら、カードを取り外すことができます。PAM
が HSM とのネットワーク接続を失った場合、接続を再確立するのにカードも必要になる可能性があります。 以下の手順では、1 つの nShield HSM アプライアンスに対する設定を想定しています。
- UI に(たとえば「super」)管理者としてログインします。
- [構成]-[サードパーティ] - [Entrust HSM]に移動します。
- [Entrust HSM 設定]タブで、nShield HSM の設定に使用した nShield の認証情報を入力します。
- [トークン ラベル]フィールドで、OCS の名前を入力します。
- リモート ファイル システムを設定するクライアント コンピュータの IP アドレス(DNS 名ではありません)を入力します。2 つの nShield アドレス パラメータのデフォルト ポートは 9004 です。デフォルト ポートを使用していない場合は、完全ソケット宣言内で別のポート番号を指定します。例: 192.168.0.2:9999
- [トークン パスワード]フィールドに OCS のパスワードを入力します。
- [アドレス]フィールドに、nShield アプライアンスに割り当てられた IP アドレス(DNS 名ではありません)を入力します。
- [追加]をクリックして、設定を開始します。
- 最初のHSM を設定している場合は、データベース内のすべてのパスワードが再暗号化されます。この影響について警告し、キャンセルが許可されることを説明するダイアログ ボックスが表示されます。
- 2 番目または 3 番目の HSM を設定している場合は、再暗号化は発生せず、ダイアログ ボックスも表示されません。
Privileged Access Managerから nShield 暗号化に変更するプロセス中に、認証情報マネージャ データベースが nShield アプライアンスにコピーされます。データベースがコピーされている間、既存の認証情報マネージャ データベースを他の目的で使用できます。nShield アプライアンスへのアカウント アクセスが成功したら、ページが更新され、確認メッセージが表示されます。更新済みの[ネットワーク接続されている HSM]タブに、アプライアンスのアドレスとステータスが表示されます。 - Privileged Access Managerを再起動します。
- Privileged Access Managerに再度ログインして、[サードパーティ]ページに戻ります。
- パスワードの必要な再暗号化を確認します。この再暗号化も、早い段階で発生する場合、A2A クライアントからのパスワード リクエストのすぐ後に発生します。
Entrust nShield がアクティブになると、このステータスは「システム情報の表示」ページに表示されます。
HSM の追加または削除
HSM の
Privileged Access Manager
設定を変更して、1 つまたは複数の HSM を追加または削除できます。また、保存された OCS パスワードを更新することもできます。Privileged Access Manager
での nShield アプライアンスの設定は、ダウンタイム中にのみ行うことを強くお勧めします。ご使用の Privileged Access Manager
が実稼働環境のアプライアンスの場合は、メンテナンスの時間枠を計画してください。PAM
またはクラスタを再起動する前に、OCS スマート カードが Entrust nShield HSM に挿入されていることを確認します。PAM が HSM と正常に通信できたら、カードを取り外すことができます。PAM
が HSM とのネットワーク接続を失った場合、接続を再確立するのにカードも必要になる可能性があります。HSM の追加
Privileged Access Manager
に 1 つまたは 2 つ以上の HSM を追加することができます。最大 3 つの HSM が許可されています。以下の手順に従います。
- UI に(たとえば「super」)管理者としてログインします。
- [設定]-[サードパーティ]に移動して、展開します。
- [Entrust HSM 設定]タブで、nShield HSM の設定に使用した nShield の認証情報を入力します。
- [トークン ラベル]フィールドで、OCS の名前を入力します。
- リモート ファイル システムを設定するクライアント コンピュータの IP アドレス(DNS 名ではありません)を入力します。2 つの nShield アドレス パラメータのデフォルト ポートは 9004 です。デフォルト ポートを使用していない場合は、完全ソケット宣言内で別のポート番号を指定します。例: 192.168.0.2:9999
- [トークン パスワード]フィールドに OCS のパスワードを入力します。
- [アドレス]フィールドに、nShield アプライアンスに割り当てられた IP アドレス(DNS 名ではありません)を入力します。
- [追加]をクリックして、設定を開始します。nShield アプライアンスへのアカウント アクセスが成功したら、ページが更新され、確認メッセージが表示されます。[ネットワーク接続されているHSM]タブが更新されます。
- Privileged Access Managerを再起動します。
- Privileged Access Managerに再度ログインして、[サードパーティ]ページに移動します。
- パスワードの必要な再暗号化が開始されます。この再暗号化も、早い段階で発生する場合、A2A クライアントからのパスワード リクエストのすぐ後に発生します。
トークン パスワードの値は、最初の HSM で使用されているものと同じである必要があります。そうでない場合、他の HSM OCS を再設定する必要があります。
HSM を削除して暗号化を元に戻す
暗号化メカニズムを認証情報マネージャに戻すには、HSM を削除します。
以下の手順に従います。
- UI に(たとえば「super」)管理者としてログインします。
- [設定]-[サードパーティ]に移動します。[ネットワーク接続されている HSM]タブに、1 つまたは複数の HSM が表示されます。
- 1 つまたは複数の HSM がオンラインであることを確認します。
- 削除したい HSM の隣にある[削除]をクリックします。HSM が 1 つだけ設定されている場合、メッセージは、削除によってデータベース内のすべてのパスワードの再暗号化がトリガされることを示します。パスワードは、認証情報マネージャに再度割り当てられます。再暗号化処理の後、「成功」または「エラー」メッセージが表示されます。
- Privileged Access Managerを再起動します。
- UI に再度ログインして、[サードパーティ]ページに戻ります。削除された HSM は今後使用されなくなります。
- パスワードの必要な再暗号化を確認します。この再暗号化も、早い段階で発生する場合、A2A クライアントからのパスワード リクエストのすぐ後に発生します。
nShield グループと連携するようにクラスタを設定する
nShield HSM または HSM グループを、同期された既存の
Privileged Access Manager
クラスタで使用するように設定できます。以下の手順では、以下のセットアップが想定されています。
- 既存のnメンバ クラスタが設定されている。
- (同じリリース レベルの)最大 3 つの nShield HSM アプライアンスがネットワークにインストールされている。
以下の手順に従います。
- プライマリPAMクラスタ メンバ:
- 必要に応じて、すべての準備手順(ライセンスのインストール、データベースのバックアップ)を実施します。
- ネットワーク内のすべての HSM について、PAMで HSM 環境を設定します。
- 追加のクラスタ メンバごとに、PAMで HSM 環境を設定します。
クラスタのすべてのメンバが、Entrust HSM を使用できるようになりました。