Entrust HSM

Keeperシークレットマネージャーは、Entrust HSMと統合することで、Keeperシークレットマネージャーの構成ファイルを暗号化できます。この統合により、マシン上の接続情報を保護しながら、すべてのシークレット認証情報に対してKeeperのゼロ知識暗号化を活用できます。

機能

• Entrust HSMを使用して、KSM構成ファイルを暗号化および復号化します。

• シークレットマネージャーの接続への不正アクセスから保護します。

• コードにわずかな変更を加えるだけで保護できます。 KSM Python SDKのすべての機能を使用できます。

要件

• Python Secrets Manager SDKに対応

• Pythonモジュールは、nShieldネイティブアプリケーションとしてビルドする必要があります。

  • Entrust nShieldソフトウェア (Security World 12.80以降) のSDK ISOイメージのPython (v3.8.5) モジュールとnfpythonモジュールを使用

• Virtualenvを推奨

セットアップ

1. Virtualenvを作成して構成

この手順はオプションですが、開発環境では推奨されます。

2. KSMストレージとnfpythonモジュールのインストール

シークレットマネージャーHSMモジュールは、Keeperシークレットマネージャーストレージモジュールに格納されており、pipを使用してインストールできます。

pip3 install keeper-secrets-manager-storage

Entrust HSMを利用するには、nfpythonパッケージもインストールする必要があります。 このパッケージは、EntrustインストールでnShieldパッケージの一部としてインストールされます。

Linuxの場合

pip install /opt/nfast/python3/additional-packages/nfpython*.whl 

Windowsの場合

pip install c:\Program Files\nCipher\nfast\python3\additional-packages\nfpython*.whl

3. Entrust HSMストレージをコードに追加

SecretsManagerコンストラクタで、HsmNfastKeyValueStorageをシークレットマネージャーストレージとして使用します。

HsmNfastKeyValueStorageには、メソッドとID (この例ではそれぞれ「simple」と「ksmkey」) が必要です。

from keeper_secrets_manager_core import SecretsManager
from keeper_secrets_manager_hsm.storage_hsm_nfast import HsmNfastKeyValueStorage

config=HsmNfastKeyValueStorage('simple', 'ksmkey', 'client-config.json')

secrets_manager = SecretsManager(config=config, verify_ssl_certs=True)

all_records = secrets_manager.get_secrets()

シークレットマネージャーとEntrust HSMの連携

設定が完了すると、シークレットマネージャーとEntrustの連携により、シークレットマネージャーSDKのすべての機能が利用できるようになります。 実行時に設定ファイルの復号化を管理するには、コードがnShield HSMにアクセスできる必要があります。

テスト用の暗号化キーの作成

Entrust nShield HSMによる暗号化をテストするには、以下のコマンドを使用します。

これらの例の「ksmkey」は、HSM内のIDに置き換えてください。

Linuxの場合

opt/nfast/bin/generatekey -b simple protect=module type=AES size=256 ident=ksmkey

Windowsの場合

c:\Program Files\nShield\nfast\bin\generatekey -b simple protect=module type=AES size=256 ident=ksmkey