Entrust HSM
Entrust HSMを使用してSecrets Manager接続に関する詳細情報をローカルに保護
Keeper Secrets ManagerはEntrust HSMと連携して、Keeper Secrets Managerの設定ファイルを保護します。 この連携により、マシン上の接続に関する詳細情報を保護しながら、すべてのシークレットのクレデンシャルに対して、Keeperのゼロ知識暗号化を利用できます。
機能
Entrust HSMを使用して、KSM設定ファイルを暗号化および復号化します
Secrets Manager接続に対する不正アクセスから保護します
必要なのはコードにわずかな変更を加えるだけで、即座に保護できます。 KSM Python SDKのすべての機能を使用できます
前提条件
Pythonモジュールは、nShieldネイティブアプリケーションとしてビルドする必要があります
Entrust nShieldソフトウェア (Security World 12.80以降) のSDK ISOイメージのPython (v3.8.5) モジュールとnfpythonモジュールを使用
Virtualenvを推奨
設定
1. Virtualenvを作成して設定
この手順はオプションですが、開発では推奨されます
virtualenv作業環境を作成します
/opt/nfast/python3/bin/python3 -m venv --copies venv
開発を始める前にvirtualenv環境を有効化します
. venv/bin/activate
2. KSMストレージとnfpythonモジュールのインストール
Secrets Manager HSMモジュールは、Keeper Secrets Managerストレージモジュールに格納されており、pipを使用してインストールできます
Entrust HSMを利用するには、nfpythonパッケージもインストールする必要があります。 このパッケージは、EntrustインストールでnShieldパッケージの一部としてインストールされます。
Linuxの場合:
Windowsの場合:
3. Entrust HSMストレージをコードに追加
SecretsManager
コンストラクタで、HsmNfastKeyValueStorage
をSecrets Managerストレージとして使用します。
HsmNfastKeyValueStorage
には、メソッドとID (この例ではそれぞれ「simple」と「ksmkey」) が必要です。
これで、Secrets ManagerとEntrust NShield HSMを連携する準備が整いました。
Secrets ManagerとEntrust HSMの連携
設定が完了すると、Secrets ManagerとEntrustの連携により、Secrets Manager SDKのすべての機能が利用できます。 実行時に設定ファイルの復号化を管理するには、コードがnShield HSMにアクセスできる必要があります。
その他の例と機能については、KSM SDKのドキュメントをご参照ください。
テスト用の暗号化キーの作成
Entrust nShield HSMによる暗号化をテストするには、以下のコマンドを使用します。
これらの例の「ksmkey」は、HSM内のIDに置き換えてください。
Linuxの場合:
Windowsの場合:
最終更新