AWS CloudHSMとの統合

KeeperオンプレミスSSOコネクトは、オプションでクラウドベースのAmazon HSM (CloudHsmV2) デバイスとのオプション統合による鍵の保護と保管

AWS Cavium CloudHsmV2との統合

Keeper SSOコネクトHSMの概要

SSOコネクトの data フォルダ内には、ファイルがいくつかあります。このうちの2つのファイルには、サーバーで生成された、保護する必要のある秘密鍵が含まれ、エンドユーザーの自動生成されたマスターパスワードの暗号化と復号化に利用されます。また、暗号化されたデータのローカルキャッシュを含む .sql ファイルもあります。重要なのは、このデータフォルダへのアクセスを制限することです。

Windows以外のマシンの場合、 data フォルダはSSOコネクトのインストールフォルダ (通常は、$HOME/sso_connect/data) の下にあります。

Windowsマシンの場合、バージョン14.1以降、 data フォルダは、C:\ProgramData\Keeper SSO Connect\data\ にあります。バージョン14.1より前は、C:\Program Files\Keeper Security\SSO Connect\data\ にありました。

以下に説明するように、HSM (ハードウェアセキュリティモジュール) を利用することで、セキュリティをもう1層追加できます。HSMが使用可能な場合、SSOコネクトのインスタンスごとに暗号鍵が生成され、HSMに安全に保存されます。暗号鍵は、data/ フォルダ内の重要なプロパティファイルの暗号化に使用されます。

AWS Cavium CloudHsmV2の手順

HSMの要件

Amazonは現在、HSMの新規導入にはCloudHsmV2のみを許可しており、Keeperはこのバージョンに対応しています。従来のCloud HSM v1ハードウェアには対応していません。
Amazon HSMソフトウェアは、LinuxまたはWindowsにインストールできます。

ネットワーク要件

TCP/443ポートの開放、Keeper SSOコネクトからwww.keepersecurity.comへのステートフルな発信
TCP/2223ポートの開放、SSOコネクトマシンからHSMハードウェアへの双方向通信
TCP/2225ポートの開放、SSOコネクトマシンからHSMハードウェアへの双方向通信
TCP/8080ポートの開放、管理者GUIにアクセスするためのKeeper管理者ワークステーションからKeeper SSOコネクトへの着信 (オプション)

ネットワークアクセスをテスト

$ telnet www.keepersecurity.com 443
Trying 52.204.60.27
Connected to www.keepersecurity.com.
Escape character is '^]'.

CloudHsmV2ソフトウェアのインストール

以下で説明されているように、Amazon HSMクラスターをプロビジョニングして、SSOコネクトマシンにHSMソフトウェアをインストールします。

https://docs.aws.amazon.com/cloudhsm/latest/userguide/install-and-configure-client-linux.html

または

https://docs.aws.amazon.com/cloudhsm/latest/userguide/install-and-configure-client-win.html

Java ライブラリが必要になります。Linuxの場合は、/opt/cloudhsm にインストールします。

cloudhsm_client サービスがバックグラウンドで動作していることを確認します。

$ ps aux | grep cloud
 If cloudhsm_client is not running:
 $ sudo service cloudhsm-client start
 $ ps aux | grep cloud
 ... /opt/cloudhsm/bin/cloudhsm_client ...

ソフトウェアのインストールをテスト

$ sudo /opt/cloudhsm/bin/cloudhsm_mgmt_util /opt/cloudhsm/etc/cloudhsm_mgmt_util.cfg
aws-cloudhsm>listUsers
aws-cloudhsm>loginHSM CU <hsm_user> <hsm_password>
aws-cloudhsm>listUsers
aws-cloudhsm>getHSMInfo
aws-cloudhsm>quit

通常どおりSSOコネクトをインストールします。

Amazon HSM Javaソフトウェアは、Javaクラスパスで HsmCredentials.properties という名前のファイルを認識するはずです。ただし、これは何らかの理由でうまくいかない場合があります。代わりに、HSM_USER、 HSM_PASSWORD、 HSM_PARTITION 環境変数の設定が必要になる場合があります。テストのために、シェル変数の設定も必要になるでしょう。

HSM接続をテストします。

$ java -Djava.library.path=/opt/cloudhsm/lib/ -classpath ~/sso_connect/SSOConnect.jar com.keepersecurity.util.AmazonKeyStoreExampleRunner

HSMの鍵が出力されるはずです。

SSOコネクトの設定は、通常通り、コマンドラインまたは http://localhost:8080/config の管理者インターフェースを使用して行います。

アドバタイズされたホスト名を設定します。
SSL証明書を追加します。
SAML XMLメタデータファイルを追加します。

管理者インターフェースでは、HSM設定セクションは [Configuration] ページの下部にあります。

タイプとして Amazon CloudHsmV2を選択します。
下のボックスにプロパティがいくつか表示されます。通常は変更不要です。HSMとの通信に使用する証明書が、SSOコネクトのSSLに使用する証明書と異なる場合のみ変更してください。証明書ファイルのパスワード (通常、SSL証明書ファイルと同じ) の入力が必要になる場合があります。
有効/無効のボックスをクリックします。
[Save] をクリックします。

SSOコネクトが再起動し、HSMに接続するはずです。ステータスページにHSMが有効と表示されれば成功です。起動が非常に遅い場合は、 [Status] を再度クリックしてステータスを更新してください。

うまくいかなかった場合は、SSOコネクトのエラーログをご確認ください。最も一般的なエラーは、HSMのクレデンシャルが見つからないことです。クレデンシャルを環境変数として設定し、アクセスできるようにしてください。

トラブルシューティング

設定のトラブルシューティング

SSOconnectがマシンにインストールされていることを確認します。

通常、sso_connect、 KeeperSSO、またはそれに類似した名前のフォルダがあります。フォルダには多数のjarファイルが含まれます。

HSMデバイスがアクセス可能であることを確認します。

SSOconnectには、Amazonのテストライブラリからコピーされたテストプログラムが組み込まれています。

$ java -Djava.library.path=/opt/cloudhsm/lib/ -classpath ~/sso_connect/SSOConnect.jar com.keepersecurity.util.AmazonKeyStoreExampleRunner

HSMに保存されている鍵が出力されるはずです。

動作のトラブルシューティング

ログファイルにエラーがないか確認します。SSOconnectのセキュアキーストレージサブシステムは、問題が発生すると、ログにERROR行を出力します。

$ more logs/ssoconnect.log

エラーは、[セキュアキーストレージが使用できません] といったパターンになります。これは、以下のいずれかの問題を示しています。

a. Network problem accessing the HSM
- Ensure that ports 2223 and 2225 are open.

b. data/sks.properties is missing
- if data/sks.properties is missing you will need to re-configure SSOConnect.

c. The encrypted property files are missing
- Check for data/instance.encp and data/shared.encp.

d. The encryption key is missing from the HSM
- Did somebody clear the HSM partition? You will need to re-configure SSOConnect.

e. The server may be out of disk space
- clear some disk space.

f. The encryption algorithm used is not supported on the HSM
- The algorithm is AES/GCM/NoPadding. Check with the device provider.

g. The file data/sso-keystore.jks is missing
- The program cannot store a key in the HSM without the certificate chain from the sso_keystore.jks file.
Find the file and ensure that it is in the data folder.

バックアップ

data フォルダにはSSOコネクト設定ファイルが含まれています。少なくとも、最初の設定の後、および設定を変更するたびにバックアップする必要があります。設定ファイル以外にも、data にはデータファイルがありますが、こちらは、Keeperサーバーとの同期が外れると自動的に更新されます。そのため、通常の定期バックアップを利用してもよいですが、必須ではありません。すべてのコンフィグレーション設定がインスタンス間で共有されているわけではないため、各SSOコネクトインスタンスの data フォルダを個別にバックアップする必要があります。

Windows以外のマシンの場合、 data フォルダはSSOコネクトのインストールフォルダ (通常は、$HOME/sso_connect/data) の下にあります。

Windowsマシンの場合、バージョン14.1以降、data フォルダは、C:\ProgramData\Keeper SSO Connect\data\ にあります。バージョン14.1より前は、C:\Program Files\Keeper Security\SSO Connect\data\ にありました。

回復

サーバーの障害

SSOコネクトサーバーが停止した場合は、上記の標準的なインストール手順に従って、代替マシンにAmazon HSMとSSOコネクトを再インストールする必要があります。

上記のとおり、 data フォルダをバックアップした場合は、データフォルダを復元してから、SSOコネクトを起動してください。(SSOコネクトを起動したため) data フォルダがすでに存在する場合は、SSOコネクトを停止し、データフォルダ内のファイルをすべて削除し、バックアップしたデータフォルダからファイルをコピーして、SSOコネクトを再起動します。SSOコネクトが正常に起動するはずです。

data フォルダをバックアップしていなかった場合、またはバックアップが古い場合は、代替インスタンスを新規でインストールするように設定する必要があります。SSOコネクトのインストールガイドに従ってください。

HSMの障害

HSMを使用する場合、HSMは設定ファイルの復号化に使用した暗号鍵を data フォルダに保存します。HSMへのアクセスは、SSOコネクトの起動時に1度、設定が変更されるときにも随時行われます。設定ファイルが暗号化されており、HSMに保存した暗号鍵が失われたか、またはアクセスできない場合は、暗号化されていない設定ファイルを新規作成するために、SSOコネクトインスタンスを再度設定する必要があります。 data フォルダの内容を削除し、SSOコネクトをもう一度最初から設定します。

HSM/SKSの使用を無効にするには、[SKSを有効にしますか?] という設定の質問に [いいえ] を入力するか、または -disableSKS コマンドラインオプションを使用します。

前へ高可用性 (HA) 設定次へGemalto HSMとの統合

最終更新 5 日前