Production Image¶
Tuotantokuva on tarkoitettu tuotantoympäristöihin, joissa on korkeat turvallisuusvaatimukset. Se vaatii ulkoisen etcd-avainarvosäilön, joka on liitetty salatun yhteyden kautta. NetHSM-prosessi voidaan suorittaa laitteistopohjaisella erottelulla (KVM) ja laitekohtaisella salauksella. Kuva jaetaan OCI-kuvana, ja sitä voidaan ajaa paikallisesti yhteensopivalla toteuttajalla, kuten Dockerilla ja Podmanilla.
The image is subject to some feature restrictions in comparison to the NetHSM hardware. Please refer to chapter Image Feature Restrictions to learn more.
The NetHSM production container is a product for paying customers only and can be purchased here.
The image can be obtained from Nitrokey NetHSM registry https://registry.git.nitrokey.com/distribution/nethsm> using the credentials provided after purchase.
Varoitus
NetHSM-ohjelmistosäiliön turvallisuus riippuu vahvasti alustan turvallisuudesta. Vaarantunut alusta voi helposti vaarantaa sen suorittaman NetHSM-ohjelmistosäiliön. Lisäksi TRNG:tä ei ole olemassa, joten NetHSM:n käyttämä ja tarjoama entropia riippuu alustan entropiasta.
Merkintäkäytäntö¶
Arkistossa olevat kuvat on merkitty Git-tiedonsiirron hashilla ja julkaisun versiolla. Uusin kuva on merkitty tunnisteella latest.
Modes of Operation¶
Kuvaa voidaan käyttää kahdessa toimintatilassa, eli Unix-prosessina tai unikernelinä.
Unix-prosessitilassa NetHSM toimii prosessina käyttöjärjestelmän päällä.
The unikernel mode runs NetHSM as a guest in a KVM based virtual machine and provides strong separation from the host operating system. This mode is only available on Linux and requires access to the
/dev/tunand/dev/kvmdevice nodes and theNET_ADMINcapability. For security reasons we recommend the unikernel mode.
The mode can be set with the environment variable MODE (see next chapter Configuration).
Konfigurointi¶
The container can be configured with the following environment variables.
Ympäristömuuttuja |
Kuvaus |
|---|---|
Ipsec (vain Linux) |
Ottaa käyttöön NetHSM:n laajennetun kirjauksen. |
|
Asetettu avaussalasana avaa kontin lukituksen automaattisesti käynnistyksen aikana. |
|
Mode hyväksyy arvot unix tai unikernel, oletusarvo on unix. |
|
etcd-palvelua käyttävän isäntäkoneen URL/IP-osoite. |
|
Portti, jossa etcd-palvelu toimii, oletusarvo on 2379. |
|
The path to the certificate of the CA (Certificate Authority) which signed the client certificate. |
|
The path to the certificate for the client authentication. |
|
The path to the secret key for the client authentication. |
Säiliön ajonaikaiset salaisuudet, kuten varmenteet ja yksityiset avaimet, on asetettava Dockerin tai Podmanin salaisuusominaisuudella.
Salainen muuttuja |
Kuvaus |
|---|---|
|
CA-varmenne, joka on allekirjoittanut asiakasvarmenteen ja palvelinvarmenteen. |
|
Asiakasvarmenne, jolla NetHSM-prosessi todennetaan avainarvosäilön kanssa. |
|
Asiakasavain, jolla NetHSM-prosessi todennetaan avainarvosäilön kanssa. |
|
Avainarvosäilön API:n palvelinvarmenne. |
|
Avainarvosäilön API:n palvelinavain. |
Avainarvosäilön API:n palvelinavain. |
NetHSM-prosessin laiteavain. Lisätietoja laiteavaimesta on luvussa Terminologia ja konventiot järjestelmäsuunnittelussa. |
Käyttö¶
The production container supports two modes of operation. The following chapters describe how to run the container with the provided compose files or with the run command.
Unix Mode¶
Voit saada toimitetun koostetiedoston täältä. Varmista, että sinulla on saatavilla tarvittavat tiedostot salaisuuksia varten, jotka mainitaan compose-tiedostossa.
To run the container without the compose file you need to provide an external etcd yourself. Here you find the recommended container image for etcd. Make sure to pass the configuration options, as described in chapter Configuration.
Säiliö voidaan suorittaa seuraavasti.
$ docker run -ti --rm -p 8443:8443 registry.git.nitrokey.com/distribution/nethsm:latest
$ podman run -ti --rm -p 8443:8443 registry.git.nitrokey.com/distribution/nethsm:latest
Tämä ajaa NetHSM:ää Unix-prosessina kontin sisällä ja paljastaa REST API:n portissa 8443 HTTPS-protokollan kautta.
Tärkeä
Säiliö käyttää itse allekirjoitettua TLS-varmentetta. Varmista, että käytät oikeita yhteysasetuksia yhteyden muodostamiseksi. Lisätietoja on luvussa NetHSM:n käyttöönotto.
Unikernel-tila¶
Voit saada toimitetun koostetiedoston täältä. Varmista, että sinulla on saatavilla tarvittavat tiedostot salaisuuksia varten, jotka mainitaan compose-tiedostossa.
To run the container without the compose file you need to provide an external etcd yourself. Here you find the recommended container image for etcd. Make sure to pass the configuration options, as described in chapter Configuration.
Säiliö voidaan suorittaa seuraavasti.
$ docker run -ti --rm -p 8443:8443 --device /dev/net/tun --device /dev/kvm --cap-add=NET_ADMIN -e "MODE=unikernel" registry.git.nitrokey.com/distribution/nethsm:latest
$ podman run -ti --rm -p 8443:8443 --device /dev/net/tun --device /dev/kvm --cap-add=NET_ADMIN -e "MODE=unikernel" registry.git.nitrokey.com/distribution/nethsm:latest
Tämä ajaa NetHSM:ää yhtenä ytimenä KVM-virtuaalikoneen sisällä. Kontti avaa REST API:n HTTPS-protokollan kautta rajapinnalla tap200, jonka IP-osoite on 192.168.1.100 ja portti 8443.
Tärkeä
Säiliö käyttää itse allekirjoitettua TLS-varmentetta. Varmista, että käytät oikeita yhteysasetuksia yhteyden muodostamiseksi. Lisätietoja on luvussa NetHSM:n käyttöönotto.