Production Image¶
Tuotantokuva on tarkoitettu tuotantoympäristöihin, joissa on korkeat turvallisuusvaatimukset. Se vaatii ulkoisen etcd-avainarvosäilön, joka on liitetty salatun yhteyden kautta. NetHSM-prosessi voidaan suorittaa laitteistopohjaisella erottelulla (KVM) ja laitekohtaisella salauksella. Kuva jaetaan OCI-kuvana, ja sitä voidaan ajaa paikallisesti yhteensopivalla toteuttajalla, kuten Dockerilla ja Podmanilla.
Compared to the NetHSM hardware the following functions are not implemented at the software container’s REST API:
Network configuration
Factory reset
Reboot
Software update
NetHSM-tuotantokontti on vain maksaville asiakkaille tarkoitettu tuote, ja sen voi ostaa täältä. Kuvan voi saada Nitrokey NetHSM -rekisteristä käyttämällä oston jälkeen annettuja tunnuksia.
Varoitus
NetHSM-ohjelmistosäiliön turvallisuus riippuu vahvasti alustan turvallisuudesta. Vaarantunut alusta voi helposti vaarantaa sen suorittaman NetHSM-ohjelmistosäiliön. Lisäksi TRNG:tä ei ole olemassa, joten NetHSM:n käyttämä ja tarjoama entropia riippuu alustan entropiasta.
Merkintäkäytäntö¶
Arkistossa olevat kuvat on merkitty Git-tiedonsiirron hashilla ja julkaisun versiolla. Uusin kuva on merkitty tunnisteella latest.
Modes of Operation¶
Kuvaa voidaan käyttää kahdessa toimintatilassa, eli Unix-prosessina tai unikernelinä.
Unix-prosessitilassa NetHSM toimii prosessina käyttöjärjestelmän päällä.
The unikernel mode runs NetHSM as a guest in a KVM based virtual machine and provides strong separation from the host operating system. This mode is only available on Linux and requires access to the
/dev/tunand/dev/kvmdevice nodes and theNET_ADMINcapability. For security reasons we recommend the unikernel mode.
Tila voidaan asettaa ympäristömuuttujalla MODE (katso seuraava luku Konfigurointi).
Konfigurointi¶
The container can be configured with the following environment variables.
Ympäristömuuttuja |
Kuvaus |
|---|---|
Ipsec (vain Linux) |
Ottaa käyttöön NetHSM:n laajennetun kirjauksen. |
|
Asetettu avaussalasana avaa kontin lukituksen automaattisesti käynnistyksen aikana. |
|
Mode hyväksyy arvot unix tai unikernel, oletusarvo on unix. |
|
etcd-palvelua käyttävän isäntäkoneen URL/IP-osoite. |
|
Portti, jossa etcd-palvelu toimii, oletusarvo on 2379. |
|
The path to the certificate of the CA (Certificate Authority) which signed the client certificate. |
|
The path to the certificate for the client authentication. |
|
The path to the secret key for the client authentication. |
Säiliön ajonaikaiset salaisuudet, kuten varmenteet ja yksityiset avaimet, on asetettava Dockerin tai Podmanin salaisuusominaisuudella.
Salainen muuttuja |
Kuvaus |
|---|---|
|
CA-varmenne, joka on allekirjoittanut asiakasvarmenteen ja palvelinvarmenteen. |
|
Asiakasvarmenne, jolla NetHSM-prosessi todennetaan avainarvosäilön kanssa. |
|
Asiakasavain, jolla NetHSM-prosessi todennetaan avainarvosäilön kanssa. |
|
Avainarvosäilön API:n palvelinvarmenne. |
|
Avainarvosäilön API:n palvelinavain. |
Avainarvosäilön API:n palvelinavain. |
NetHSM-prosessin laiteavain. Lisätietoja laiteavaimesta on luvussa Terminologia ja konventiot järjestelmäsuunnittelussa. |
Käyttö¶
The production container supports two modes of operation. The following chapters describe how to run the container with the provided compose files or with the run command.
Unix Mode¶
Voit saada toimitetun koostetiedoston täältä. Varmista, että sinulla on saatavilla tarvittavat tiedostot salaisuuksia varten, jotka mainitaan compose-tiedostossa.
Jos haluat käyttää konttia ilman compose-tiedostoa, sinun on annettava ulkoinen etcd itse. Täältä löydät suositellun säiliökuvan etcd:lle. Varmista, että annat konfiguraatioasetukset, kuten luvussa Konfiguraatio on kuvattu.
Säiliö voidaan suorittaa seuraavasti.
$ docker run -ti --rm -p 8443:8443 registry.git.nitrokey.com/distribution/nethsm:latest
$ podman run -ti --rm -p 8443:8443 registry.git.nitrokey.com/distribution/nethsm:latest
Tämä ajaa NetHSM:ää Unix-prosessina kontin sisällä ja paljastaa REST API:n portissa 8443 HTTPS-protokollan kautta.
Tärkeä
Säiliö käyttää itse allekirjoitettua TLS-varmentetta. Varmista, että käytät oikeita yhteysasetuksia yhteyden muodostamiseksi. Lisätietoja on luvussa NetHSM:n käyttöönotto.
Unikernel-tila¶
Voit saada toimitetun koostetiedoston täältä. Varmista, että sinulla on saatavilla tarvittavat tiedostot salaisuuksia varten, jotka mainitaan compose-tiedostossa.
Jos haluat käyttää konttia ilman compose-tiedostoa, sinun on annettava ulkoinen etcd itse. Täältä löydät suositellun säiliökuvan etcd:lle. Varmista, että annat konfiguraatioasetukset, kuten luvussa Konfiguraatio on kuvattu.
Säiliö voidaan suorittaa seuraavasti.
$ docker run -ti --rm -p 8443:8443 --device /dev/net/tun --device /dev/kvm --cap-add=NET_ADMIN -e "MODE=unikernel" registry.git.nitrokey.com/distribution/nethsm:latest
$ podman run -ti --rm -p 8443:8443 --device /dev/net/tun --device /dev/kvm --cap-add=NET_ADMIN -e "MODE=unikernel" registry.git.nitrokey.com/distribution/nethsm:latest
Tämä ajaa NetHSM:ää yhtenä ytimenä KVM-virtuaalikoneen sisällä. Kontti avaa REST API:n HTTPS-protokollan kautta rajapinnalla tap200, jonka IP-osoite on 192.168.1.100 ja portti 8443.
Tärkeä
Säiliö käyttää itse allekirjoitettua TLS-varmentetta. Varmista, että käytät oikeita yhteysasetuksia yhteyden muodostamiseksi. Lisätietoja on luvussa NetHSM:n käyttöönotto.