IBM Cloud Blog

Hyper Protect Crypto Services を使って Red Hat OpenShift on IBM Cloud の秘密鍵を安全に保つ

記事をシェアする:

この投稿は、2020年12月14日に、米国 IBM Cloud Blog に掲載されたブログ(英語)の抄訳です。

 

IBM Cloud Hyper Protect Crypto Services が 、IBM Cloud HPCS Router Operator を使用して、 Red Hat OpenShift on IBM Cloud の Route を保護できるようになりました。これにより、Red Hat OpenShift on IBM Cloud の秘密鍵を安全に保つことができるようになります。

デフォルトでは、Red Hat OpenShift on IBM Cloud は、クラスター内で実行されているサービスを公開するための OpenShift Ingress controller (英語)とOpenShift Route (英語)を提供します。OpenShift Routeを TLS で保護するには、サーバー証明書と対応する秘密鍵をルート・データに設定する必要があります。使いかたによっては、このような秘密鍵の公開は望ましくなく、機密データを安全に保管できないとみなされる場合があります。

Route のより安全な TLS 構成を実現するために、Red Hat OpenShift on IBM Cloud は、代替のソリューションである IBM Cloud HPCS Router と、それに対応するRouter 管理機能である IBM Cloud HPCS Router Operator を提供します(参照: 公開文書(英語))。

IBM Cloud Hyper Protect Crypto Servicesとは?

IBM Cloud Hyper Protect Crypto Services は、FIPS 140-2レベル4認定のハードウェア上に構築されたハードウェア・セキュリティーモジュール(HSM)に裏打ちされた鍵管理サービスです。IBM Cloud Hyper Protect Crypto Servicesは、Enterprise PKCS #11 over gRPC (GREP11) APIを提供し、すべての暗号機能はHyper Protect Crypto ServicesのクラウドHSMで実行されます

IBM Cloud Hyper Protect Crypto Services の顕著なユースケースの 1 つ(参照:公開文書)は、TLS セッション確立時に Web サーバーによって実行される暗号化処理をオフロードし、TLS/SSL 秘密鍵を専用 HSM に安全に保存しておくことです。IBM Cloud HPCS ルーターは、IBM Cloud Hyper Protect Crypto Services インスタンスに保存されている秘密鍵にアクセスして、この機能を使用するように構成されています。

そのしくみはどのようになっているのでしょうか?

IBMは、Red Hat OpenShift on IBM Cloud 用のHyper Protect Crypto TLSオフロードを提供するIBM Cloud HPCS Routerを発表しました。

IBM Cloud HPCS Router はデフォルトのOpenShift Routerをベースにし、IBM Cloud固有のOpenSSLエンジンで強化されています。OpenSSL エンジンは、TLS セッション確立時に IBM Cloud Hyper Protect Services GREP11 API を使用します。TLSセッション確立の操作でサーバー側の秘密鍵が必要な場合はいつでも、OpenSSLエンジンはGREP11 APIを使用してIBM Cloud Hyper Protect Crypto Servicesインスタンスでその操作を実行します:

IBM is pleased to announce a new Router — the IBM Cloud HPCS Router — that provides Hyper Protect Crypto TLS Offload for Red Hat OpenShift on IBM Cloud.

Routeの構成に実際の秘密鍵を追加する必要はありません。その代わりに、Routeの構成時に秘密鍵へのリファレンスを追加するだけで、秘密鍵は IBM Cloud Hyper Protect Crypto Services インスタンスに安全に保存されるようになります。

一致する証明書と秘密鍵のペアを取得するには、IBM Cloud Hyper Protect Crypto Services インスタンスの秘密鍵を使用して、証明書署名要求(CSR)に署名する必要があります。CSRは、ルート上で構成可能な証明書を取得するために、認証局に送信されます。

IBM Cloud HPCS Routerは、構成した証明書パラメータに基づいて CSR を生成し、IBM Cloud Hyper Protect Crypto Services 内の秘密鍵を使用して CSR に署名することができます。

ご利用方法

ご利用を開始するには、 Red Hat OpenShift  on IBM Cloud のクラスターで IBM Cloud HPCS Router Operator クラスターアドオンを有効にします。なお、OpenShift バージョンは 4.5 以降が必要となります。

コンソールまたは CLI でこのアドオンを有効にすることができます。

IBM Cloud OpenShift Service コンソールから有効にする場合は、使用しているクラスターをクリックし、アドオンタブをクリックします。IBM Cloud HPCS Router Operator のところで、インストールをクリックします:

On the IBM Cloud HPCS Router Operator card, click Install:

IBM Cloud CLIから実施する場合は、次のコマンドを実行します:

ibmcloud ks cluster addon enable hpcs-router --cluster <cluster_name_or_ID>

新しいOpenShift OperatorHubカタログソースが作成され、OperatorHubに新しいプロバイダタイプが表示されます。:

The add-on creates a new OpenShift OperatorHub Catalog Source, and as a result a new Provider Type appears in the OperatorHub:

OperatorHub から IBM Cloud HPCS Router Operator を選択し、インストールします。

次に、IBM Cloud HPCS Router Operator を使用して新しい IBM Cloud HPCS Router を作成するために、HPCSIngressController カスタム リソース定義のカスタム・リソース ・インスタンスを作成します。

新しい IBM Cloud HPCS Routerが作成された後、IBM Cloud HPCS Routerで一部のRouteを処理し、クラスターのデフォルトのRouterで他のRouteを処理したい場合があるでしょう。その際は標準の OpenShift Ingress Controller sharding(英語)を使用して、どのRouteをどのRouterで処理するかを定義することができます。Routeのラベルは、デフォルトのIngressControllerカスタムリソースだけでなく、HPCSIngressControllerカスタム・リソースでも定義できます。

新しい IBM Cloud HPCS Routerの安全なRouteを構成する(参照:公開文書(英文))には、証明書と、Route定義に追加できる対応する秘密鍵リファレンスが必要です。証明書を取得するには、公開鍵を含み、IBM Cloud Hyper Protect Crypto Services インスタンスに保存されている秘密鍵で署名された証明書署名要求 (CSR) を作成します。このプロセスには、次のことができるツールが必要です:

  • 関連するGREP11 APIを使用して公開鍵と秘密鍵のペアを生成し、秘密鍵リファレンスを取得できる
  • 新しい公開鍵を含むCSRを生成できる
  • IBM Cloud Hyper Protect Crypto Services インスタンスに保存されている秘密鍵で CSR に署名できる

IBM Cloud HPCS Router Operator ソリューションは、Certificate API (英語)を介してこのツールを提供します。新しい証明書リソースを作成すると、IBM Cloud HPCS Router Operator ソリューションは上記のタスクを完了します。その結果、Kubernetes Secret に以下が作成されます:

  • 証明書局に送信してルート証明書を取得するために使用する CSR
  • IBM Cloud Hyper Protect Crypto Service インスタンスの新しい秘密鍵を指す秘密鍵リファレンス
  • 公開鍵

認証局から取得した証明書と秘密鍵リファレンスを使用することで、IBM Cloud HPCS Router インスタンスのセキュアなRouteを構成することができます。

さらに詳しくは

この機能のご利用にあたってさらに詳しいことは、 IBM Cloud Docs(英語)をご参照ください。


翻訳:IBM Cloud Blog Japan 編集部

*このブログは、2020/12/14に発行された“ Keep Your Private Keys Safe on Red Hat OpenShift on IBM Cloud with Hyper Protect Crypto Services ”(英語)の抄訳です。

More IBM Cloud Blog stories

セキュリティー・ロードマップ

IBM Cloud Blog

統合脅威管理、耐量子暗号化、半導体イノベーションにより、分散されているマルチクラウド環境が保護されます。 2023 安全な基盤モデルを活用した統合脅威管理により、価値の高い資産を保護 2023年には、統合された脅威管理と ...続きを読む


量子ロードマップ

IBM Cloud Blog

コンピューティングの未来はクォンタム・セントリックです。 2023 量子コンピューティングの並列化を導入 2023年は、Qiskit Runtimeに並列化を導入し、量子ワークフローの速度が向上する年になります。 お客様 ...続きを読む


ハイブリッドクラウド・ロードマップ

IBM Cloud Blog

コンポーザブルなアプリケーション、サービス、インフラストラクチャーにより、企業は複数のクラウドにまたがるダイナミックで信頼性の高い仮想コンピューティング環境の作成が可能になり、開発と運用をシンプルに行えるようになります。 ...続きを読む