Entrust HSM

Keeper Secrets ManagerはEntrust HSMと連携して、Keeper Secrets Managerの設定ファイルを保護します。 この連携により、マシン上の接続に関する詳細情報を保護しながら、すべてのシークレットのクレデンシャルに対して、Keeperのゼロ知識暗号化を利用できます。

機能

• Entrust HSMを使用して、KSM設定ファイルを暗号化および復号化します

• Secrets Manager接続に対する不正アクセスから保護します

• 必要なのはコードにわずかな変更を加えるだけで、即座に保護できます。 KSM Python SDKのすべての機能を使用できます

前提条件

• Python Secrets Manager SDKのサポート

• Pythonモジュールは、nShieldネイティブアプリケーションとしてビルドする必要があります

  • Entrust nShieldソフトウェア (Security World 12.80以降) のSDK ISOイメージのPython (v3.8.5) モジュールとnfpythonモジュールを使用

• Virtualenvを推奨

設定

1. Virtualenvを作成して設定

この手順はオプションですが、開発では推奨されます

2. KSMストレージとnfpythonモジュールのインストール

Secrets Manager HSMモジュールは、Keeper Secrets Managerストレージモジュールに格納されており、pipを使用してインストールできます

pip3 install keeper-secrets-manager-storage

Entrust HSMを利用するには、nfpythonパッケージもインストールする必要があります。 このパッケージは、EntrustインストールでnShieldパッケージの一部としてインストールされます。

Linuxの場合:

pip install /opt/nfast/python3/additional-packages/nfpython*.whl 

Windowsの場合:

pip install c:\Program Files\nCipher\nfast\python3\additional-packages\nfpython*.whl

3. Entrust HSMストレージをコードに追加

SecretsManagerコンストラクタで、HsmNfastKeyValueStorageをSecrets Managerストレージとして使用します。

HsmNfastKeyValueStorageには、メソッドとID (この例ではそれぞれ「simple」と「ksmkey」) が必要です。

from keeper_secrets_manager_core import SecretsManager
from keeper_secrets_manager_hsm.storage_hsm_nfast import HsmNfastKeyValueStorage

config=HsmNfastKeyValueStorage('simple', 'ksmkey', 'client-config.json')

secrets_manager = SecretsManager(config=config, verify_ssl_certs=True)

all_records = secrets_manager.get_secrets()

Secrets ManagerとEntrust HSMの連携

設定が完了すると、Secrets ManagerとEntrustの連携により、Secrets Manager SDKのすべての機能が利用できます。 実行時に設定ファイルの復号化を管理するには、コードがnShield HSMにアクセスできる必要があります。

テスト用の暗号化キーの作成

Entrust nShield HSMによる暗号化をテストするには、以下のコマンドを使用します。

これらの例の「ksmkey」は、HSM内のIDに置き換えてください。

Linuxの場合:

opt/nfast/bin/generatekey -b simple protect=module type=AES size=256 ident=ksmkey

Windowsの場合:

c:\Program Files\nShield\nfast\bin\generatekey -b simple protect=module type=AES size=256 ident=ksmkey