Configuration de deux appliances Cloud Key Manager CipherTrust Thales dans OCI, création d'un cluster entre elles et configuration d'une instance en tant qu'autorité de certification

Introduction

Les entreprises recherchent de plus en plus de contrôle sur leurs clés cryptographiques dans le paysage actuel axé sur le cloud pour répondre aux exigences de sécurité, de conformité et de souveraineté des données. Thales CipherTrust Cloud Key Manager (CCKM) offre une solution centralisée pour la gestion des clés de cryptage et des clés secrètes dans les environnements multicloud et hybrides, y compris Oracle Cloud Infrastructure (OCI). L'une des principales fonctionnalités de cette architecture est la prise en charge de HYOK (Hold Your Own Key), ce qui vous permet de conserver un contrôle total sur vos clés de cryptage, même lorsque vous utilisez des services cloud tiers.

Ce tutoriel vous guide tout au long de la configuration complète de deux appliances CCKM Thales dans OCI, notamment :

A la fin de ce tutoriel, vous disposerez d'un environnement CCKM robuste et évolutif qui prend en charge des cas d'utilisation clés tels que Utilisation de votre propre clé (BYOK), HYOK et la gestion centralisée du cycle de vie des clés. Cette configuration est idéale pour les entreprises qui cherchent à étendre leur contrôle clé dans le cloud tout en respectant les normes de sécurité des données les plus élevées.

Remarque : dans ce tutoriel, les termes Thales CipherTrust Cloud Key Manager (CCKM) et Thales CipherTrust Manager sont utilisés de manière interchangeable. Les deux se réfèrent au même produit.

image

Objectifs

Tâche 1 : passer en revue l'infrastructure des réseaux cloud virtuels OCI (VCN)

Avant de déployer les appliances Thales CCKM, il est essentiel de comprendre l'architecture réseau OCI sous-jacente qui les prendra en charge.

Dans cette configuration, nous utilisons deux réseaux cloud virtuels distincts :

Ces deux régions sont connectées via un RPC, ce qui permet une communication sécurisée et à faible latence entre les appliances CCKM entre les régions. Cette connectivité inter-région est essentielle pour la haute disponibilité, la redondance et le clustering des CCKM.

Les appliances CCKM seront déployées dans des sous-réseaux publics au sein de chaque VCN pour ce tutoriel. Cette approche simplifie l'accès initial et la gestion sur Internet, par exemple via SSH ou l'interface Web. Cependant, il est important de noter que la meilleure pratique dans les environnements de production consiste à déployer ces appareils dans des sous-réseaux privés et à gérer l'accès via un bastion ou un serveur stepstone (saut). Cela réduit l'exposition des appareils au réseau Internet public et s'aligne sur une posture réseau plus sécurisée.

Nous allons déployer les CCKM dans cette configuration VCN vérifiée dans la tâche suivante.

image

Tâche 2 : Déployer le premier appareil Thales CCKM

Avant de déployer la première appliance Thales CCKM, nous devons nous assurer que l'image requise est disponible dans OCI.

Bien que la documentation officielle de Thales recommande généralement d'ouvrir un dossier de support afin d'obtenir une URL OCI Object Storage pour importer directement l'image CCKM dans OCI, nous utiliserons une autre méthode.

Nous avons reçu un fichier 610-000612-025_SW_VMware_CipherTrust_Manager_v2.19.0_RevA.ova local de Thales. Au lieu d'utiliser l'URL fournie, nous allons :

  1. Extrayez le fichier .vmdk de l'archive .ova.
  2. Téléchargez le fichier .vmdk vers un bucket OCI Object Storage.
  3. Créez une image personnalisée dans OCI à partir du fichier .vmdk.
  4. Déployez l'instance CCKM à l'aide de cette image personnalisée.

Cette méthode nous donne un contrôle complet sur le processus d'importation d'images et est particulièrement utile dans les scénarios de déploiement personnalisés.

Avec l'infrastructure réseau OCI, nous sommes prêts à déployer la première appliance Thales CCKM dans la région Amsterdam (AMS). Connectez-vous à la console OCI.

Après avoir téléchargé le fichier .vmdk vers le bucket OCI Object Storage, procédez comme suit pour l'importer en tant qu'image personnalisée.

L'image suivante illustre l'état actuel de notre déploiement à ce jour.

image

Tâche 3 : exécution de la configuration initiale sur le premier appareil CCKM Thales

Maintenant que le premier appareil CCKM est déployé et accessible, il est temps d'effectuer la configuration initiale. Cela inclut la configuration de l'horloge système à l'aide d'un serveur NTP et l'activation de la licence d'évaluation ou de la licence réelle fournie par Thales.

Ces étapes garantissent que l'appareil fonctionne avec un temps précis critique pour la gestion, la journalisation et la synchronisation des certificats et qu'il est entièrement fonctionnel pendant la phase d'évaluation ou de configuration.

Tâche 4 : Déployer l'appliance CCKM II Thales et effectuer la configuration initiale

Suivez les étapes décrites dans les tâches 2 et 3 pour déployer le deuxième module CCKM dans la région ASH.

L'image suivante illustre l'état actuel de notre déploiement à ce jour.

image

Tâche 5 : vérifier la connexion entre le RPC des appareils CCKM Thales

Pour préparer la haute disponibilité et le clustering entre les deux appliances Thales CCKM, il est essentiel de garantir une connectivité adéquate entre les régions dans lesquelles elles sont déployées.

Dans notre configuration, un RPC a été établi entre les régions OCI d'Amsterdam (AMS) et d'Ashburn (ASH). Ce RPC permet une communication sécurisée et à faible latence entre les deux réseaux cloud virtuels où réside chaque appliance CCKM.

Eléments configurés :

Remarque :

Cette configuration de réseau inter-région garantit que les CCKM peuvent communiquer de manière transparente pendant le processus de création de cluster, que nous aborderons dans l'une des sections suivantes.

image

Tâche 6 : configurer le DNS

Une résolution DNS appropriée est requise pour permettre une communication transparente entre les deux appareils. Ceci est particulièrement important pour la sécurité du clustering, la gestion des certificats et la stabilité globale du service.

Remarque : à partir de ce point, nous allons faire référence aux appliances Thales CCKM en tant que Thales CipherTrust Manager, abréviation de CyberTrust Manager.

Lors de l'utilisation d'un serveur DNS interne personnalisé, nous tirons parti des services DNS OCI avec une zone DNS privée dans ce déploiement. Cela nous permet d'affecter des noms de domaine complets et significatifs aux gestionnaires Thales CipherTrust et garantit qu'ils peuvent communiquer entre les régions sans s'appuyer sur des adresses IP statiques.

Nous avons créé deux enregistrements A dans la zone oci-thales.lab, pointant vers les adresses IP privées de chaque appareil Thales CipherTrust Manager :

le nom d'hôte ; Nom de domaine qualifié complet Points à
ctm1 ctm1.oci-thales.lab Adresse IP privée de Thales CipherTrust Manager dans AMS
ctm2 ctm2.oci-thales.lab Adresse IP privée de Thales CipherTrust Manager dans ASH

L'utilisation de noms de domaine qualifiés complets facilite la gestion des certificats et des configurations de cluster et évite de coupler la configuration à des adresses IP fixes.

image

Pour vérifier que le DNS fonctionne comme prévu, connectez-vous en SSH à l'une des instances du gestionnaire Thales CipherTrust et exécutez ping ctm2.oci-thales.lab à partir du premier gestionnaire Thales CipherTrust (exécuté dans AMS).

Le nom de domaine qualifié complet est résolu à l'adresse IP correcte. Lorsque le RPC, le routage et les listes de sécurité sont correctement configurés, le ping réussit.

image

Répétez le ping à partir de CTM2 (en cours d'exécution dans ASH) pour confirmer la résolution bidirectionnelle.

image

Tâche 7 : configuration du premier appareil Thales CCKM en tant qu'autorité de certification

La première fois qu'un gestionnaire CipherTrust est démarré, un nouveau CipherTrust Manager Root CA local est généré automatiquement. Cette autorité de certification est utilisée pour émettre des certificats de serveur initiaux pour les interfaces disponibles dans le système. Il n'est donc pas nécessaire d'en créer un nouveau.

Remarque : assurez-vous que vous êtes sur le gestionnaire AMS Thales CipherTrust.

image

L'image suivante illustre l'état actuel de notre déploiement à ce jour.

image

Tâche 8 : créer une CSR pour les appareils CCKM Thales et signer par l'autorité de certification

Une fois les appliances CyberTrust Manager déployées et DNS configurées, il est temps d'activer la communication sécurisée basée sur des certificats entre elles. Etant donné que AMS Thales CipherTrust Manager et ASH sont configurés en tant qu'autorité de certification, nous utiliserons le gestionnaire AMS Thales CipherTrust pour générer et signer des certificats pour les deux appareils.

Cela garantit que toutes les communications de Thales CipherTrust Manager-to-Thales CipherTrust Manager sont sécurisées et cryptées, une exigence essentielle pour la formation de clusters et l'accès sécurisé aux API.

image

Remarque : effectuez ces étapes uniquement sur le gestionnaire AMS Thales CipherTrust.

Pour assurer le suivi des demandes de signature de certificat (CSR) et des clés privées générées, il est recommandé de créer une structure de dossiers propre sur votre ordinateur local ou un serveur d'administration sécurisé. Voici un exemple de structure simple :

image

En plus de signer les certificats individuels de Thales CipherTrust Manager, le certificat racine d'autorité de certification est un élément essentiel de la chaîne de confiance. Ce certificat racine établit le fondement de la confiance pour tous les certificats émis par votre gestionnaire Thales CipherTrust, agissant en tant qu'autorité de certification.

image

Tâche 9 : configurer le clustering de l'appliance Thales CCKM

Les appliances CCM (Cloud Key Manager) de Thales CipherTrust permettent une haute disponibilité et un équilibrage de charge pour la gestion des clés cryptographiques. Cela garantit un service continu et une tolérance aux pannes dans votre infrastructure de sécurité.

Le clustering est entièrement configuré à partir de la console de gestion d'un seul (principal) appareil Thales CipherTrust Manager (dans cet exemple, le gestionnaire Thales CipherTrust s'exécutant dans AMS). Utilisez l'interface de cet appareil pour créer le cluster et ajouter d'autres appareils Thales CipherTrust Manager en tant que noeuds de cluster.

Pour vérifier si la configuration de cluster Thales CipherTrust Manager est effectuée correctement et en bon état, vous pouvez vérifier CTM1 et CTM2.

L'image suivante illustre l'état actuel de notre déploiement à ce jour.

image

Etapes suivantes

Dans ce tutoriel, vous avez configuré deux appliances Thales CCKM dans OCI, établi un cluster sécurisé entre elles et configuré un appareil en tant qu'autorité de certification. Vous avez créé un environnement de gestion des clés hautement disponible et sécurisé en suivant le processus étape par étape, du déploiement des appliances à la configuration de l'infrastructure réseau en passant par la création et la signature de CSR et l'activation du clustering. Cette configuration garantit des opérations cryptographiques robustes avec une gestion centralisée des certificats, optimisant la sécurité et la résilience opérationnelle dans votre environnement OCI.

Si vous voulez implémenter HYOK (Hold Your Own Key) à l'aide de Thales CipherTrust Manager sans option OCI API Gateway, suivez ce tutoriel : Configurez OCI Hold Your Own Key à l'aide de Thales CipherTrust Manager sans OCI API Gateway.

Si vous voulez implémenter HYOK (Hold Your Own Key) à l'aide de Thales CipherTrust Manager avec l'option OCI API Gateway, suivez ce tutoriel : Configurez OCI Hold Your Own Key à l'aide de Thales CipherTrust Manager avec OCI API Gateway.

Accusés de réception

Ressources de formation supplémentaires

Explorez d'autres ateliers sur le site docs.oracle.com/learn ou accédez à d'autres contenus d'apprentissage gratuits sur le canal Oracle Learning YouTube. En outre, visitez le site education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour obtenir de la documentation sur le produit, consultez Oracle Help Center.