Configuration de BYOHSM
Vous pouvez activer la fonction BYOHSM (Bring Your Own HSM) dans Hyper Protect Crypto Services pour utiliser vos propres modules de sécurité matérielle (HSM) sur site. Pour ce faire, vous devez d'abord configurer et déployer les modules HSM pour qu'ils fonctionnent avec votre instance de service.
La fonction BYOHSM (Bring Your Own HSM) est disponible uniquement dans les instances de service du plan Standard dans les régions basées sur VPC. Pour la liste des régions VPC, voir Régions et emplacements.
Avant de commencer
Avant de pouvoir configurer et déployer vos modules HSM sur site, veillez à effectuer l'achat HSM et la configuration initiale en fonction des instructions de vos fournisseurs. Actuellement, Hyper Protect Crypto Services ne prend en charge que les modèles Thales HSM A7xx. Pour plus d'informations, voir Types de HSM pris en charge.
Création de partitions
Pour utiliser vos propres modules HSM pour Hyper Protect Crypto Services, vous devez créer et initialiser une partition d'application dans chaque module HSM. La partition d'application est utilisée pour stocker des objets cryptographiques et effectuer des opérations. Veillez à définir le même libellé de partition et le même mot de passe de responsable du chiffrement de partition pour les partitions d'application dans tous les modules HSM. Le mot de passe est utilisé par Hyper Protect Crypto Services dans le cadre du processus de connexion de l'API de session PKCS #11 .
Le HSM Thales SafeNet Luna Network utilise deux types de partitions :
-
Partition d'administration
Chaque module HSM réseau Luna ne possède qu'une seule partition d'administration. Il est créé lorsque vous initialisez le module HSM. La partition d'administration permet de définir et de modifier des règles à l'échelle du module HSM, de créer ou de détruire des partitions d'application, de mettre à jour le microprogramme et les fonctions du module HSM, etc.
-
Partition d'application
Chaque module HSM réseau Luna possède au moins une partition d'application. La partition d'application permet d'effectuer des opérations de chiffrement et de stocker des objets cryptographiques pour vos applications. Pour les cas d'utilisation multilocation, vous pouvez créer plusieurs partitions d'application, chacune disposant de ses propres contrôles de sécurité et d'accès. Pour le modèle A750, vous pouvez créer jusqu'à cinq partitions d'application. Si vous avez besoin de davantage de partitions d'application, vous devez acheter des licences de partition supplémentaires.
Pour plus d'informations sur les partitions, voir le Guide d'administration des partitions.
Création de clés
Pour utiliser vos propres modules HSM pour Hyper Protect Crypto Services, vous devez créer les clés suivantes sur vos modules HSM et les stocker en tant qu'objets de jeton persistant dans la mémoire de la partition. Veillez à définir un libellé pour chaque clé. Vous devez fournir les libellés à IBM lorsque vous mettez à disposition une instance par la suite.
| Type de clé | Description |
|---|---|
| Clé de chiffrement de clé principale (MKEK) | (Clé AES 256 bits) Clé de chiffrement de niveau racine pour l'encapsulage et le désencapsulage des clés d'instance dans Hyper Protect Crypto Services. |
| Clé de signature (SKEY) | (Clé AES 256 bits) utilisée pour la signature et la vérification des clés d'instance et des clés d'utilisateur dans Hyper Protect Crypto Services. |
| Clé d'importation (IKEY) | (clé DES3 192 bits) Permet de chiffrer et de déchiffrer les éléments de clé à importer dans Hyper Protect Crypto Services. |
| Clés de chiffrement de clé de transit (TKEK) | (10 paires de clés asymétriques RSA) Permet d'importer en toute sécurité vos propres clés dans Hyper Protect Crypto Services. |
Vous devez définir des paramètres spécifiques lorsque vous créez ces clés. Pour plus de détails, contactez IBM en créant un cas de support.
Vous pouvez utiliser certains outils pour créer ces clés. Consultez le support technique de Thales pour trouver un moyen sûr de créer ces clés en fonction de la politique de sécurité et des exigences de conformité de votre organisation.
Meilleures pratiques en matière de connectivité du réseau
Pour obtenir de meilleures performances réseau lorsque vous connectez des modules HSM sur site à Hyper Protect Crypto Services, vous pouvez vous reporter aux meilleures pratiques suivantes:
-
Utilisez IBM Cloud Direct Link Connect pour établir et fournir rapidement une connectivité privée à l'infrastructure IBM Cloud. Pour plus d'informations, voir Commande de IBM Cloud Direct Link Connect.
-
Utilisez IBM Cloud Transit Gateway pour connecter votre réseau sur site qui utilise Direct Link à vos réseaux IBM Cloud. Pour plus d'informations, voir Initiation à IBM Cloud Transit Gateway.
-
Utilisez des liens de 10 Go pour le trafic cryptographique entre Hyper Protect Crypto Services et vos modules HSM.
-
Utilisez une liaison de 2 Go pour le trafic de gestion et d'administration. Notez que la liaison fournit une fiabilité de tolérance aux pannes de secours, mais ne fournit pas d'équilibrage de charge.
Hyper Protect Crypto Services requiert une connectivité TCP à HSM sur le port 1792 pour le protocole NTLS. Pour vérifier la connectivité, exécutez la commande
netcatsuivante:nc -vz <HSM-ip-addr> 1792Où
HSM-ip-addrest l'adresse IP de votre HSM.
Préparation des informations pour la connexion HSM
Avant de mettre à disposition une instance Hyper Protect Crypto Services, vous devez préparer les informations suivantes:
Pour mettre à disposition une instance avec BYOHSM, vous devez contacter IBM afin d'ajouter votre compte à la liste autorisée et fournir ces informations pour tous les modules HSM que vous souhaitez utiliser pour Hyper Protect Crypto Services.
| Attribut | Description |
|---|---|
| Adresse IP HSM | Adresse IP de votre HSM. |
| Certificat du serveur HSM | Les communications NTLS utilisées par Thales HSM nécessitent des échanges de certificats entre HSM et Hyper Protect Crypto Services. Vous devez créer un certificat TLS sur votre module HSM et fournir le certificat pour Hyper Protect Crypto Services afin de vérifier les communications à partir du module HSM. |
| Libellé de partition | Nom de la partition d'application que vous créez pour Hyper Protect Crypto Services à utiliser. |
| Mot de passe du responsable du chiffrement de la partition | Données d'identification de Hyper Protect Crypto Services permettant de se connecter à la partition d'application correspondante pour effectuer des opérations de clé. |
| Libellé de la clé principale | Libellé ou nom de la clé de chiffrement de la clé principale (MKEK). Le libellé est utilisé par Hyper Protect Crypto Services pour faire référence à la clé principale dans les appels d'API PKCS #11 . |
| Libellé de la clé de signature | Libellé ou nom de la clé de signature (SKEY). Il est utilisé pour l'authentification des données, telles que la signature et la vérification des données. |
| Libellé de la clé d'importation | Libellé ou nom de la clé d'importation (IKEY). Hyper Protect Crypto Services utilise cette clé pour chiffrer ou déchiffrer les éléments de clé à importer. |
| Préfixe du libellé de la clé de chiffrement de la clé de transit | Préfixe de libellé de la clé de chiffrement de clé de transit utilisée pour l'importation sécurisée de vos propres clés. |
Etapes suivantes
Après avoir collecté toutes les informations nécessaires et configuré la connectivité du réseau, vous pouvez contacter IBM et mettre à disposition une instance Hyper Protect Crypto Services avec Bring Your Own HSM.