Production Image

Tuotantokuva on tarkoitettu tuotantoympäristöihin, joissa on korkeat turvallisuusvaatimukset. Se vaatii ulkoisen etcd-avainarvosäilön, joka on liitetty salatun yhteyden kautta. NetHSM-prosessi voidaan suorittaa laitteistopohjaisella erottelulla (KVM) ja laitekohtaisella salauksella. Kuva jaetaan OCI-kuvana, ja sitä voidaan ajaa paikallisesti yhteensopivalla toteuttajalla, kuten Dockerilla ja Podmanilla.

The image is subject to some feature restrictions in comparison to the NetHSM hardware. Please refer to chapter Image Feature Restrictions to learn more.

The NetHSM production container is a product for paying customers only and can be purchased here. The image can be obtained from Nitrokey NetHSM registry https://registry.git.nitrokey.com/distribution/nethsm> using the credentials provided after purchase.

Varoitus

NetHSM-ohjelmistosäiliön turvallisuus riippuu vahvasti alustan turvallisuudesta. Vaarantunut alusta voi helposti vaarantaa sen suorittaman NetHSM-ohjelmistosäiliön. Lisäksi TRNG:tä ei ole olemassa, joten NetHSM:n käyttämä ja tarjoama entropia riippuu alustan entropiasta.

Merkintäkäytäntö

Arkistossa olevat kuvat on merkitty Git-tiedonsiirron hashilla ja julkaisun versiolla. Uusin kuva on merkitty tunnisteella latest.

Modes of Operation

Kuvaa voidaan käyttää kahdessa toimintatilassa, eli Unix-prosessina tai unikernelinä.

  • Unix-prosessitilassa NetHSM toimii prosessina käyttöjärjestelmän päällä.

  • The unikernel mode runs NetHSM as a guest in a KVM based virtual machine and provides strong separation from the host operating system. This mode is only available on Linux and requires access to the /dev/tun and /dev/kvm device nodes and the NET_ADMIN capability. For security reasons we recommend the unikernel mode.

The mode can be set with the environment variable MODE (see next chapter Configuration).

Konfigurointi

The container can be configured with the following environment variables.

Ympäristömuuttuja

Kuvaus

Ipsec (vain Linux)

Ottaa käyttöön NetHSM:n laajennetun kirjauksen.

UNLOCKPW

Asetettu avaussalasana avaa kontin lukituksen automaattisesti käynnistyksen aikana.

MODE

Mode hyväksyy arvot unix tai unikernel, oletusarvo on unix.

ETCD_HOST

etcd-palvelua käyttävän isäntäkoneen URL/IP-osoite.

ETCD_PORT

Portti, jossa etcd-palvelu toimii, oletusarvo on 2379.

ETCD_CA_CERT

The path to the certificate of the CA (Certificate Authority) which signed the client certificate.

ETCD_CLIENT_CERT

The path to the certificate for the client authentication.

ETCD_CLIENT_KEY

The path to the secret key for the client authentication.

Säiliön ajonaikaiset salaisuudet, kuten varmenteet ja yksityiset avaimet, on asetettava Dockerin tai Podmanin salaisuusominaisuudella.

Salainen muuttuja

Kuvaus

ca_cert

CA-varmenne, joka on allekirjoittanut asiakasvarmenteen ja palvelinvarmenteen.

etcd_client_cert

Asiakasvarmenne, jolla NetHSM-prosessi todennetaan avainarvosäilön kanssa.

etcd_client_key

Asiakasavain, jolla NetHSM-prosessi todennetaan avainarvosäilön kanssa.

etcd_server_cert

Avainarvosäilön API:n palvelinvarmenne.

etcd_server_key

Avainarvosäilön API:n palvelinavain.

Avainarvosäilön API:n palvelinavain.

NetHSM-prosessin laiteavain. Lisätietoja laiteavaimesta on luvussa Terminologia ja konventiot järjestelmäsuunnittelussa.

Käyttö

The production container supports two modes of operation. The following chapters describe how to run the container with the provided compose files or with the run command.

Unix Mode

Voit saada toimitetun koostetiedoston täältä. Varmista, että sinulla on saatavilla tarvittavat tiedostot salaisuuksia varten, jotka mainitaan compose-tiedostossa.

To run the container without the compose file you need to provide an external etcd yourself. Here you find the recommended container image for etcd. Make sure to pass the configuration options, as described in chapter Configuration.

Säiliö voidaan suorittaa seuraavasti.

$ docker run -ti --rm -p 8443:8443 registry.git.nitrokey.com/distribution/nethsm:latest

Tämä ajaa NetHSM:ää Unix-prosessina kontin sisällä ja paljastaa REST API:n portissa 8443 HTTPS-protokollan kautta.

Tärkeä

Säiliö käyttää itse allekirjoitettua TLS-varmentetta. Varmista, että käytät oikeita yhteysasetuksia yhteyden muodostamiseksi. Lisätietoja on luvussa NetHSM:n käyttöönotto.

Unikernel-tila

Voit saada toimitetun koostetiedoston täältä. Varmista, että sinulla on saatavilla tarvittavat tiedostot salaisuuksia varten, jotka mainitaan compose-tiedostossa.

To run the container without the compose file you need to provide an external etcd yourself. Here you find the recommended container image for etcd. Make sure to pass the configuration options, as described in chapter Configuration.

Säiliö voidaan suorittaa seuraavasti.

$ docker run -ti --rm -p 8443:8443 --device /dev/net/tun --device /dev/kvm --cap-add=NET_ADMIN -e "MODE=unikernel" registry.git.nitrokey.com/distribution/nethsm:latest

Tämä ajaa NetHSM:ää yhtenä ytimenä KVM-virtuaalikoneen sisällä. Kontti avaa REST API:n HTTPS-protokollan kautta rajapinnalla tap200, jonka IP-osoite on 192.168.1.100 ja portti 8443.

Tärkeä

Säiliö käyttää itse allekirjoitettua TLS-varmentetta. Varmista, että käytät oikeita yhteysasetuksia yhteyden muodostamiseksi. Lisätietoja on luvussa NetHSM:n käyttöönotto.