Hyper Protect Crypto Services を使って Red Hat OpenShift on IBM Cloud の秘密鍵を安全に保つ

IBM Cloud Hyper Protect Crypto Services が 、IBM Cloud HPCS Router Operator を使用して、 Red Hat OpenShift on IBM Cloud の Route を保護できるようになりました。これにより、Red Hat OpenShift on IBM Cloud の秘密鍵を安全に保つことができるようになります。

デフォルトでは、Red Hat OpenShift on IBM Cloud は、クラスター内で実行されているサービスを公開するための OpenShift Ingress controller (英語)とOpenShift Route (英語)を提供します。OpenShift Routeを TLS で保護するには、サーバー証明書と対応する秘密鍵をルート・データに設定する必要があります。使いかたによっては、このような秘密鍵の公開は望ましくなく、機密データを安全に保管できないとみなされる場合があります。

Route のより安全な TLS 構成を実現するために、Red Hat OpenShift on IBM Cloud は、代替のソリューションである IBM Cloud HPCS Router と、それに対応するRouter 管理機能である IBM Cloud HPCS Router Operator を提供します(参照: 公開文書(英語))。

IBM Cloud Hyper Protect Crypto Servicesとは?

IBM Cloud Hyper Protect Crypto Services は、FIPS 140-2レベル4認定のハードウェア上に構築されたハードウェア・セキュリティーモジュール（HSM）に裏打ちされた鍵管理サービスです。IBM Cloud Hyper Protect Crypto Servicesは、Enterprise PKCS #11 over gRPC (GREP11) APIを提供し、すべての暗号機能はHyper Protect Crypto ServicesのクラウドHSMで実行されます

IBM Cloud Hyper Protect Crypto Services の顕著なユースケースの 1 つ(参照:公開文書)は、TLS セッション確立時に Web サーバーによって実行される暗号化処理をオフロードし、TLS/SSL 秘密鍵を専用 HSM に安全に保存しておくことです。IBM Cloud HPCS ルーターは、IBM Cloud Hyper Protect Crypto Services インスタンスに保存されている秘密鍵にアクセスして、この機能を使用するように構成されています。

そのしくみはどのようになっているのでしょうか?

IBMは、Red Hat OpenShift on IBM Cloud 用のHyper Protect Crypto TLSオフロードを提供するIBM Cloud HPCS Routerを発表しました。

IBM Cloud HPCS Router はデフォルトのOpenShift Routerをベースにし、IBM Cloud固有のOpenSSLエンジンで強化されています。OpenSSL エンジンは、TLS セッション確立時に IBM Cloud Hyper Protect Services GREP11 API を使用します。TLSセッション確立の操作でサーバー側の秘密鍵が必要な場合はいつでも、OpenSSLエンジンはGREP11 APIを使用してIBM Cloud Hyper Protect Crypto Servicesインスタンスでその操作を実行します:

Routeの構成に実際の秘密鍵を追加する必要はありません。その代わりに、Routeの構成時に秘密鍵へのリファレンスを追加するだけで、秘密鍵は IBM Cloud Hyper Protect Crypto Services インスタンスに安全に保存されるようになります。

一致する証明書と秘密鍵のペアを取得するには、IBM Cloud Hyper Protect Crypto Services インスタンスの秘密鍵を使用して、証明書署名要求（CSR）に署名する必要があります。CSRは、ルート上で構成可能な証明書を取得するために、認証局に送信されます。

IBM Cloud HPCS Routerは、構成した証明書パラメータに基づいて CSR を生成し、IBM Cloud Hyper Protect Crypto Services 内の秘密鍵を使用して CSR に署名することができます。

ご利用方法

ご利用を開始するには、 Red Hat OpenShift  on IBM Cloud のクラスターで IBM Cloud HPCS Router Operator クラスターアドオンを有効にします。なお、OpenShift バージョンは 4.5 以降が必要となります。

コンソールまたは CLI でこのアドオンを有効にすることができます。

IBM Cloud OpenShift Service コンソールから有効にする場合は、使用しているクラスターをクリックし、アドオンタブをクリックします。IBM Cloud HPCS Router Operator のところで、インストールをクリックします:

IBM Cloud CLIから実施する場合は、次のコマンドを実行します:

新しいOpenShift OperatorHubカタログソースが作成され、OperatorHubに新しいプロバイダタイプが表示されます。:

OperatorHub から IBM Cloud HPCS Router Operator を選択し、インストールします。

次に、IBM Cloud HPCS Router Operator を使用して新しい IBM Cloud HPCS Router を作成するために、HPCSIngressController カスタム リソース定義のカスタム・リソース ・インスタンスを作成します。

新しい IBM Cloud HPCS Routerが作成された後、IBM Cloud HPCS Routerで一部のRouteを処理し、クラスターのデフォルトのRouterで他のRouteを処理したい場合があるでしょう。その際は標準の OpenShift Ingress Controller sharding(英語)を使用して、どのRouteをどのRouterで処理するかを定義することができます。Routeのラベルは、デフォルトのIngressControllerカスタムリソースだけでなく、HPCSIngressControllerカスタム・リソースでも定義できます。

新しい IBM Cloud HPCS Routerの安全なRouteを構成する(参照：公開文書(英文))には、証明書と、Route定義に追加できる対応する秘密鍵リファレンスが必要です。証明書を取得するには、公開鍵を含み、IBM Cloud Hyper Protect Crypto Services インスタンスに保存されている秘密鍵で署名された証明書署名要求 (CSR) を作成します。このプロセスには、次のことができるツールが必要です:

• 関連するGREP11 APIを使用して公開鍵と秘密鍵のペアを生成し、秘密鍵リファレンスを取得できる
• 新しい公開鍵を含むCSRを生成できる
• IBM Cloud Hyper Protect Crypto Services インスタンスに保存されている秘密鍵で CSR に署名できる

IBM Cloud HPCS Router Operator ソリューションは、Certificate API (英語)を介してこのツールを提供します。新しい証明書リソースを作成すると、IBM Cloud HPCS Router Operator ソリューションは上記のタスクを完了します。その結果、Kubernetes Secret に以下が作成されます:

• 証明書局に送信してルート証明書を取得するために使用する CSR
• IBM Cloud Hyper Protect Crypto Service インスタンスの新しい秘密鍵を指す秘密鍵リファレンス
• 公開鍵

認証局から取得した証明書と秘密鍵リファレンスを使用することで、IBM Cloud HPCS Router インスタンスのセキュアなRouteを構成することができます。

さらに詳しくは

この機能のご利用にあたってさらに詳しいことは、 IBM Cloud Docs(英語)をご参照ください。