Version 1.6. Cette version est entièrement compatible avec les derniers correctifs et mises à jour pour corriger les failles et les risques de sécurité ainsi que les problèmes affectant Anthos clusters on VMware. Reportez-vous aux notes de version pour plus de détails. Il s'agit de la version la plus récente.

Utiliser le chiffrement des secrets basé sur HSM

Chiffrement des secrets basés sur HSM

Anthos clusters on VMware de version 1.6 et ultérieure prend en charge le chiffrement des secrets d'un cluster utilisateur au repos à l'aide du module Luna Network HSM (Hardware Security Module) de Thales. La clé de chiffrement du secret est stockée dans une partition sur votre dispositif HSM. L'authentification au système HSM est effectuée avec le protocole TLS mutuel (mTLS).

Prérequis

Pour utiliser le chiffrement de secret basé sur HSM, vous devez disposer des éléments suivants:

  • Un dispositif Thales Luna Network HSM configuré avec les éléments suivants :
  • Les éléments de configuration suivants sont disponibles :
    • Une image de conteneur contenant le pilote HSM Thales. Contactez votre représentant Thales pour en obtenir une copie. Cette image doit être hébergée par un dépôt de conteneur accessible à partir de votre cluster d'utilisateur.
    • L'adresse de votre dispositif Luna HSM et votre certificat CA.
    • Un client provisionné avec une paire Certificate/Key.

Configurer votre HSM

Pour configurer votre cluster utilisateur afin d'utiliser un module HSM, vous devez créer un fichier d'identifiants, puis ajouter les détails de configuration au fichier de configuration de votre cluster utilisateur.

Créer un fichier d'identifiants

Vous fournissez l'emplacement de vos identifiants PKCS#11 à Anthos clusters on VMware avec un fichier de configuration YAML.

  1. Copiez la configuration YAML suivante dans un fichier.

    apiVersion: v1
    kind: CredentialFile
    # list of credentials
    items:
    - name: "CREDENTIALS_NAME"
      username: "PKCS_USER"
      password: "PKCS_PASSWORD"
    

    Remplacez l'élément suivant :

    • CREDENTIALS_NAME par un nom pour référencer vos identifiants. Exemple :pkcs-credentials
    • PKCS_USER par le nom d'utilisateur d'un utilisateur avec le rôle CO sur la partition en question.
    • PKCS_PASSWORD par le mot de passe de l'utilisateur.
  2. Enregistrez le fichier et copiez le chemin d'accès pour les étapes suivantes.

Configurer vos clusters d'utilisateurs

  1. Avant de créer un cluster utilisateur, générez un fichier de configuration de cluster utilisateur à l'aide de gkectl create-config cluster.

  2. Pour configurer le chiffrement des secrets basé sur HSM dans le fichier de configuration de votre cluster utilisateur, ajoutez l'objet secretsEncryption. Ouvrez le fichier de configuration dans un éditeur de texte et copiez la section suivante dans votre fichier.

    secretsEncryption:
      mode: ThalesLunaHSM
      thaleslunahsm:
        pkcs11DriverImage: "DRIVER_IMAGE_LOCATION"
        server: "APPLIANCE_ADDRESS"
        caCertificate: "CA_CERTIFICATE_PEM_PATH"
        clientCertificate: "CLIENT_CERTIFICATE_PEM_PATH"
            clientKey: "CLIENT_KEY_PEM_PATH"
        pkcs11Label: PARTITION_LABEL
        pkcs11Pin:
          fileRef:
            path: "CREDENTIALS_YAML_PATH"
            entry: "CREDENTIALS_NAME"
    

    Remplacez l'élément suivant :

    • DRIVER_IMAGE_LOCATION par l'emplacement de l'image de conteneur du pilote HSM Thales que vous avez reçue de votre représentant Thales. Exemple : gcr.io/my-project/hsm-driver:latest.
    • APPLIANCE_ADDRESS par l'adresse IP ou le nom DNS du dispositif.
    • CA_CERTIFICATE_PEM_PATH par le chemin d'accès au certificat CA du dispositif au format PEM.
    • CLIENT_CERTIFICATE_PEM_PATH par le chemin d'accès au certificat client du service authentifié de liaison réseau (Network trust link service, NTLS).
    • CLIENT_KEY_PEM_PATH par le chemin d'accès à la clé client NTLS.
    • PARTITION_LABEL avec le libellé de jeton PKCS#11 appliqué à la partition de la clé.
    • CREDENTIALS_YAML_PATH par le chemin d'accès au fichier d'identifiants que vous avez créé à la section précédente.
    • CREDENTIALS_NAME par le nom de l'objet d'identifiants dans votre fichier d'identifiants. Exemple :pkcs-credentials

Étape suivante