Configurer deux boîtiers Thales CipherTrust Cloud Key Manager dans OCI, créer une grappe entre eux et en configurer un en tant qu'autorité de certification

Présentation

Les entreprises recherchent de plus en plus un meilleur contrôle sur leurs clés cryptographiques dans le contexte actuel du nuage, afin de répondre aux exigences en matière de sécurité, de conformité et de souveraineté des données. Thales CipherTrust Cloud Key Manager (CCKM) offre une solution centralisée pour la gestion des clés de chiffrement et des clés secrètes dans des environnements multinuages et hybrides, notamment Oracle Cloud Infrastructure (OCI). Une caractéristique clé de cette architecture est la prise en charge de Bloquer sa propre clé (HYOK), ce qui vous permet de conserver un contrôle complet sur vos clés de chiffrement, même lors de l'utilisation de services en nuage de tierce partie.

Ce tutoriel explique la configuration complète de deux dispositifs Thales CCKM dans OCI, notamment :

À la fin de ce tutoriel, vous disposerez d'un environnement CCKM robuste et évolutif qui prend en charge des cas d'utilisation clés tels que Utiliser sa propre clé (BYOK), HYOK et la gestion centralisée du cycle de vie des clés. Cette configuration est idéale pour les entreprises qui cherchent à étendre leur contrôle clé dans le nuage tout en respectant les normes de sécurité des données les plus élevées.

Note : Dans ce tutoriel, les termes Thales CipherTrust Cloud Key Manager (CCKM) et Thales CipherTrust Manager sont utilisés de manière interchangeable. Les deux font référence au même produit.

Image

Objectifs

Tâche 1 : Vérifier l'infrastructure des réseaux en nuage virtuels (VCN) OCI

Avant de déployer les dispositifs Thales CCKM, il est essentiel de comprendre l'architecture réseau OCI sous-jacente qui les prendra en charge.

Dans cette configuration, nous utilisons deux réseaux en nuage virtuels distincts :

Ces deux régions sont connectées au moyen d'une connexion d'appairage distant, ce qui permet une communication sécurisée et à faible latence entre les appareils CCKM entre les régions. Cette connectivité inter-région est essentielle pour la haute disponibilité, la redondance et la mise en grappe des modules CCKM.

Les boîtiers CCKM seront déployés dans des sous-réseaux publics dans chaque VCN pour ce tutoriel. Cette approche simplifie l'accès et la gestion initiaux sur Internet, par exemple via SSH ou l'interface Web. Toutefois, il est important de noter que les meilleures pratiques dans les environnements de production consistent à déployer ces boîtiers dans des sous-réseaux privés et à gérer l'accès au moyen d'un hôte bastion ou d'un serveur de saut de ligne. Cela réduit l'exposition des appareils à l'Internet public et s'aligne sur une posture réseau plus sécurisée.

Nous déploierons les modules CCKM dans cette configuration de VCN révisée dans la tâche suivante.

Image

Tâche 2 : Déployer le premier boîtier Thales CCKM

Avant de déployer le premier boîtier Thales CCKM, nous devons nous assurer que l'image requise est disponible dans OCI.

Bien que la documentation officielle de Thales recommande généralement d'ouvrir un cas de soutien pour obtenir une URL de stockage d'objets OCI pour importer directement l'image CCKM dans OCI, nous utiliserons une autre méthode.

Nous avons reçu un fichier 610-000612-025_SW_VMware_CipherTrust_Manager_v2.19.0_RevA.ova local de Thales. Au lieu d'utiliser l'URL fournie, nous allons :

  1. Extrayez le fichier .vmdk de l'archive .ova.
  2. Chargez le fichier .vmdk dans un seau de stockage d'objets OCI.
  3. Créez une image personnalisée dans OCI à partir du fichier .vmdk.
  4. Déployez l'instance CCKM à l'aide de cette image personnalisée.

Cette méthode nous donne un contrôle complet sur le processus d'importation d'images et est particulièrement utile dans les scénarios de déploiement à air ou personnalisés.

Avec l'infrastructure de réseau OCI, nous sommes prêts à déployer le premier boîtier Thales CCKM dans la région Amsterdam (AMS). Connectez-vous à la console OCI.

Après avoir chargé le fichier .vmdk dans votre seau de stockage d'objets OCI, procédez comme suit pour l'importer en tant qu'image personnalisée.

L'image suivante illustre l'état actuel de notre déploiement jusqu'à présent.

Image

Tâche 3 : Effectuer la configuration initiale sur le premier boîtier Thales CCKM

Maintenant que la première appliance CCKM est déployée et accessible, il est temps d'effectuer la configuration initiale. Cela inclut la configuration de l'horloge système à l'aide d'un serveur NTP et l'activation de la licence d'évaluation ou de la licence réelle fournie par Thales.

Ces étapes garantissent que l'appliance fonctionne avec un temps critique précis pour la gestion, la journalisation et la synchronisation des certificats et qu'elle est entièrement fonctionnelle pendant la phase d'évaluation ou de configuration.

Tâche 4 : Déployer le deuxième boîtier Thales CCKM et effectuer la configuration initiale

Suivez les étapes de la tâche 2 et des tâches 3 pour déployer le deuxième module CCKM dans la région ASH.

L'image suivante illustre l'état actuel de notre déploiement jusqu'à présent.

Image

Tâche 5 : Examiner la connexion entre le RPC Thales CCKM Appliances

Pour préparer la haute disponibilité et le regroupement entre les deux appliances Thales CCKM, il est essentiel d'assurer une connectivité appropriée entre les régions dans lesquelles elles sont déployées.

Dans notre configuration, une connexion d'appairage distant a été établie entre les régions OCI Amsterdam (AMS) et Ashburn (ASH). Cette connexion d'appairage distant permet une communication sécurisée et à faible latence entre les deux réseaux en nuage virtuels où réside chaque boîtier CCKM.

Ce qui a été configuré :

Note :

Cette configuration de réseau inter-régions garantit que les modules CCKM peuvent communiquer de façon transparente lors du processus de création de grappes, que nous aborderons dans l'une des sections suivantes.

Image

Tâche 6 : Configurer le DNS

Une résolution DNS appropriée est nécessaire pour permettre une communication transparente entre les deux appliances. Cela est particulièrement important pour la mise en grappe sécurisée, le traitement des certificats et la stabilité globale du service.

Note : À partir de maintenant, nous ferons référence aux boîtiers Thales CCKM en tant que Thales CipherTrust Manager, abrégé pour CyberTrust Manager.

Lors de l'utilisation d'un serveur DNS interne personnalisé, nous exploitons les services DNS OCI avec une zone DNS privée dans ce déploiement. Cela nous permet d'affecter des noms de domaine complets et significatifs aux gestionnaires Thales CipherTrust et de s'assurer qu'ils peuvent communiquer entre les régions sans avoir recours à des adresses IP statiques.

Nous avons créé deux enregistrements A dans la zone oci-thales.lab, pointant vers les adresses IP privées de chaque boîtier de gestionnaire Thales CipherTrust :

Nom d'hôte Nom de domaine complet Pointe vers
ctm1 ctm1.oci-thales.lab Adresse IP privée du gestionnaire Thales CipherTrust dans AMS
ctm2 ctm2.oci-thales.lab Adresse IP privée du gestionnaire Thales CipherTrust dans ASH

L'utilisation de noms de domaine complets facilite la gestion des certificats et des configurations de grappe et évite de coupler la configuration à des adresses IP fixes.

Image

Pour valider que le DNS fonctionne comme prévu, utilisez SSH dans l'une des instances du gestionnaire Thales CipherTrust et exécutez ping ctm2.oci-thales.lab à partir du premier gestionnaire Thales CipherTrust (exécution dans AMS).

Le nom de domaine complet sera résolu à l'adresse IP correcte, et lorsque la connexion d'appairage distant, le routage et les listes de sécurité sont correctement configurés, le ping réussit.

Image

Répétez la commande ping à partir de CTM2 (exécution dans ASH) pour confirmer la résolution bidirectionnelle.

Image

Tâche 7 : Configurer le premier boîtier Thales CCKM en tant qu'autorité de certification

La première fois qu'un gestionnaire CipherTrust est démarré, un nouveau CipherTrust Manager Root CA local est généré automatiquement. Cette autorité de certification est utilisée pour émettre des certificats de serveur initiaux pour les interfaces disponibles dans le système. Il n'est donc pas nécessaire d'en créer un nouveau.

Note : Assurez-vous d'être sur le gestionnaire AMS Thales CipherTrust.

Image

L'image suivante illustre l'état actuel de notre déploiement jusqu'à présent.

Image

Tâche 8 : Créer un CSR pour les appareils Thales CCKM et signer par l'autorité de certification

Avec les boîtiers de gestionnaire CyberTrust déployés et le DNS configuré, il est temps d'activer une communication sécurisée basée sur un certificat entre eux. Comme le gestionnaire AMS Thales CipherTrust et ASH sont configurés en tant qu'autorité de certification, nous utiliserons le gestionnaire AMS Thales CipherTrust pour générer et signer des certificats pour les deux boîtiers.

Cela garantit que toutes les communications de Thales CipherTrust Manager-to-Thales CipherTrust Manager sont fiables et chiffrées, une exigence essentielle pour la formation de grappes et l'accès sécurisé aux API.

Image

Note : Effectuez ces étapes uniquement sur le gestionnaire CipherTrustAMS Thales.

Pour assurer le suivi des demandes de signature de certificat et des clés privées générées, il est recommandé de créer une structure de dossiers épurée sur votre machine locale ou un serveur d'administration sécurisé. Voici un exemple simple de structure :

Image

En plus de signer les certificats de gestionnaire Thales CipherTrust individuels, le certificat racine CA est un élément essentiel de la chaîne de confiance. Ce certificat racine établit la base de confiance pour tous les certificats émis par votre gestionnaire Thales CipherTrust, agissant en tant qu'autorité de certification.

Image

Tâche 9 : Configurer la mise en grappe du boîtier Thales CCKM

La mise en grappe des dispositifs Thales CipherTrust Cloud Key Manager (CCKM) permet une haute disponibilité et un équilibrage de charge pour la gestion des clés cryptographiques. Cela garantit un service continu et une tolérance aux pannes dans votre infrastructure de sécurité.

La mise en grappe est entièrement configurée à partir de la console de gestion d'un seul boîtier (principal) Thales CipherTrust Manager (dans cet exemple, le gestionnaire Thales CipherTrust s'exécutant dans AMS). Utilisez l'interface de ce boîtier pour créer la grappe et ajouter d'autres boîtiers Thales CipherTrust Manager en tant que noeuds de grappe.

Pour vérifier si la configuration de la grappe du gestionnaire Thales CipherTrust est effectuée correctement et qu'elle est saine, vous pouvez vérifier CTM1 et CTM2.

L'image suivante illustre l'état actuel de notre déploiement jusqu'à présent.

Image

Étapes suivantes

Dans ce tutoriel, vous avez configuré deux boîtiers Thales CCKM dans OCI, établi une grappe sécurisée entre eux et configuré un boîtier en tant qu'autorité de certification. Vous avez créé un environnement de gestion des clés hautement disponible et sécurisé en suivant le processus étape par étape, du déploiement des boîtiers à la configuration de l'infrastructure réseau en passant par la création et la signature des CSR et l'activation de la mise en grappe. Cette configuration garantit des opérations cryptographiques robustes avec une gestion centralisée des certificats, optimisant ainsi la sécurité et la résilience opérationnelle dans votre environnement OCI.

Si vous voulez mettre en oeuvre l'option Bloquer votre propre clé (HYOK) à l'aide du gestionnaire Thales CipherTrust sans passerelle d'API OCI, suivez ce tutoriel : Configurer OCI pour bloquer votre propre clé à l'aide du gestionnaire Thales CipherTrust sans passerelle d'API OCI.

Si vous voulez mettre en oeuvre Bloquer votre propre clé (HYOK) à l'aide du gestionnaire Thales CipherTrust avec l'option Passerelle d'API OCI, suivez ce tutoriel : Configurer OCI pour bloquer votre propre clé à l'aide du gestionnaire Thales CipherTrust avec la passerelle d'API OCI.

Remerciements

Ressources d'apprentissage supplémentaires

Explorez d'autres laboratoires sur le site docs.oracle.com/learn ou accédez à plus de contenu d'apprentissage gratuit sur le canal Oracle Learning YouTube. De plus, visitez education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour obtenir la documentation sur le produit, visitez Oracle Help Center.