Konfigurasikan kluster HSM untuk instans manajemen kunci perangkat keras KMS - Key Management Service

Untuk menggunakan instans manajemen kunci perangkat keras Key Management Service (KMS), Anda harus menghubungkannya ke kluster Cloud Hardware Security Module (CloudHSM). Kluster CloudHSM menyediakan sinkronisasi data otomatis, penyeimbangan beban, dan ketersediaan tinggi. Topik ini menjelaskan cara mengonfigurasi kluster CloudHSM untuk instans manajemen kunci perangkat keras KMS.

Contoh arsitektur

Integrasi KMS dengan kluster CloudHSM menggabungkan fleksibilitas manajemen kunci dengan keamanan tingkat perangkat keras. Integrasi ini memenuhi persyaratan kepatuhan seperti standar SM Tiongkok atau FIPS 140-2 Level 3. KMS mengelola kunci dan memastikan siklus hidupnya dikendalikan secara ketat, mengurangi kompleksitas penggunaan HSM. HSM menggunakan keamanan tingkat perangkat keras untuk menyimpan bahan kunci secara aman. Komunikasi antara KMS dan kluster CloudHSM menggunakan saluran enkripsi TLS dua arah yang diautentikasi untuk memastikan transmisi yang aman.

Alat manajemen HSM hanya dapat diinstal pada instans Elastic Compute Service (ECS) milik Alibaba Cloud. Oleh karena itu, Anda harus menerapkan instans ECS di subnet virtual private cloud (VPC) dari HSM utama. Anda kemudian dapat menggunakan instans ECS untuk terhubung ke HSM utama dan melakukan konfigurasi. Anda juga dapat menggunakan terminal lokal untuk melakukan konfigurasi, tetapi Anda harus memastikan bahwa terminal tersebut dapat terhubung ke jaringan HSM.

Catatan

Instans manajemen kunci perangkat keras KMS hanya dapat dikaitkan dengan General-purpose HSM.
HSM, instans manajemen kunci perangkat keras KMS, dan instans ECS harus diterapkan di wilayah dan VPC yang sama.
Untuk mengelola HSM di daratan Tiongkok, instans ECS harus menjalankan sistem operasi Windows. Untuk mengelola HSM di luar daratan Tiongkok, instans ECS harus menjalankan sistem operasi CentOS 8 atau Alibaba Cloud Linux.

Wilayah dan zona yang didukung untuk HSM

Daratan Tiongkok

Wilayah	ID Wilayah	Zona
Tiongkok (Hangzhou)	cn-hangzhou	Zona A, Zona G
Tiongkok (Shanghai)	cn-shanghai	Zona A, Zona B, Zona F
Tiongkok (Beijing)	cn-beijing	Zona A, Zona F, Zona K
Tiongkok (Shenzhen)	cn-shenzhen	Zona A, Zona E
Tiongkok (Chengdu)	cn-chengdu	Zona A, Zona B

Luar daratan Tiongkok

Wilayah	ID Wilayah	Zona
Tiongkok (Hong Kong)	cn-hongkong	Zona B, Zona C
Singapura	ap-southeast-1	Zona A, Zona B
Malaysia (Kuala Lumpur)	ap-southeast-3	Zona A, Zona B
SAU (Riyadh - Partner Region)	me-central-1	Zona A, Zona B
Indonesia (Jakarta)	ap-southeast-5	Zona A, Zona B

Prasyarat

VPC dibuat, dan vSwitch dibuat di dua zona berbeda. Untuk informasi lebih lanjut, lihat Buat VPC dan vSwitches.
Instans ECS dibuat di VPC yang sama dengan HSM utama. Untuk informasi lebih lanjut, lihat Buat instans menggunakan wizard.
Catatan
- Untuk mengelola HSM di daratan Tiongkok, instans ECS harus menjalankan sistem operasi Windows. Untuk mengelola HSM di luar daratan Tiongkok, instans ECS harus menjalankan sistem operasi CentOS 8 atau Alibaba Cloud Linux.
- Topik ini menggunakan instans ECS sebagai contoh. Anda juga dapat menggunakan terminal lokal untuk mengelola HSM. Jika Anda menggunakan terminal lokal, Anda harus menghubungkannya ke VPC yang berisi HSM menggunakan VPN atau sirkuit Express Connect. Untuk informasi lebih lanjut, lihat Hubungkan klien ke VPC menggunakan koneksi SSL-VPN atau Hubungkan IDC lokal ke VPC menggunakan sirkuit Express Connect.

Konfigurasikan kluster HSM GVSM (Guomi)

Langkah 1: Beli kluster HSM

Anda dapat menggunakan kluster HSM untuk mengaitkan dan mengelola sekelompok instans HSM yang berada di zona berbeda dalam wilayah yang sama dan didedikasikan untuk aplikasi yang sama. Kluster HSM menyediakan ketersediaan tinggi, penyeimbangan beban, dan skalabilitas horizontal operasi kriptografi.

Masuk ke Konsol Cloud Hardware Security Module. Di bilah navigasi atas, pilih wilayah yang diperlukan.
Pada tab VSMs, klik Create HSM.

Di halaman pembelian CloudHSM, konfigurasikan instans berdasarkan tabel berikut, klik Buy Now, dan selesaikan pembayaran.

Item konfigurasi	Deskripsi
Region	Pilih wilayah untuk instans HSM. Penting Anda hanya dapat menggunakan instans HSM di VPC. Instans HSM, VPC Anda, dan instans manajemen kunci perangkat keras KMS Anda harus berada di wilayah yang sama.
Cryptographic Service Type	Pilih General-purpose Server HSM GVSM.
Deployment Mode	Pilih Dual-zone Deployment.
Cluster Name	Nama tersebut harus memiliki panjang 1 hingga 24 karakter dan dimulai dengan huruf, angka, atau karakter Cina. Nama tersebut dapat berisi angka, garis bawah (_), dan tanda hubung (-).
VPC	Pilih VPC tempat HSM berada.
Add To Whitelist	Pilih Yes. HSM menambahkan segmen jaringan VPC ke daftar putih kluster sehingga semua alamat IP di VPC dapat mengakses kluster HSM.
VSwitch	Pilih dua hingga empat vSwitch. vSwitch tersebut harus berada di zona berbeda.
Auto-generate Certificate	Pilih Yes. HSM kemudian secara otomatis menghasilkan sertifikat yang diperlukan untuk komunikasi terenkripsi dan menyelesaikan konfigurasi sertifikat di dalam HSM. KMS secara otomatis mengambil file sertifikat terkait dan menyelesaikan konfigurasi klien. Anda tidak perlu mengelola proses pembuatan dan konfigurasi sertifikat. KMS dan kluster HSM menggunakan saluran enkripsi TLS dua arah yang diautentikasi untuk memastikan transmisi yang aman. Periode validitas sertifikat adalah 10 tahun. Penting Jangan mendaftarkan administrator UKEY untuk HSM. Sertifikat tersebut berlaku selama 10 tahun. HSM dapat secara otomatis memutar sertifikat sebelum masa berlakunya habis. Jika Anda mendaftarkan administrator UKEY, pemutaran akan gagal.
Data Backup And Recovery	Fitur ini memungkinkan Anda mencadangkan dan memulihkan data instans HSM untuk memastikan keamanan dan daya tahan data. Setiap cadangan dapat mencadangkan data satu HSM. Jika HSM dilepaskan, gambar cadangan HSM disimpan selama 90 hari. Setelah periode retensi berakhir, gambar cadangan secara otomatis dihapus. Selain itu, fitur replikasi gambar lintas wilayah disediakan untuk meningkatkan kemampuan pemulihan bencana. Untuk informasi lebih lanjut, lihat Pencadangan dan pemulihan data.
Image Extension	Jumlah gambar dalam pencadangan. Setiap gambar dapat mencadangkan data satu HSM. Instans HSM secara otomatis dicadangkan pada pukul 00:00 (UTC+8) setiap hari untuk menghasilkan gambar. Ketika jumlah gambar mencapai batas atas, sistem secara otomatis menimpa gambar paling awal.
Quantity	Nilai default adalah 2. Anda tidak perlu mengubah nilai ini.
Subscription Duration	Pilih durasi langganan. Untuk mencegah hilangnya kunci secara permanen, yang dapat terjadi jika layanan CloudHSM Anda kedaluwarsa karena tidak diperpanjang tepat waktu, pilih Auto-renewal saat pembelian. Saat Anda memilih Auto-renewal, Alibaba Cloud secara otomatis menagih akun pembayaran yang Anda gunakan untuk membeli HSM 9 hari kalender sebelum layanan kedaluwarsa. Untuk mencegah kegagalan pembayaran, pastikan akun pembayaran Anda memiliki saldo yang cukup.

Baca Terms Of Service, klik Go To Pay, dan kemudian klik Order untuk menyelesaikan pembelian.
Setelah pembelian selesai, Anda dapat melihat instans HSM di halaman VSMs. Kluster HSM dibuat dalam waktu sekitar 5 menit.

Langkah 2: Sinkronkan data kluster

Periksa mode sinkronisasi kluster untuk menentukan apakah Anda perlu menyinkronkan data untuk HSM di kluster.

Kluster sinkronisasi otomatis
Data HSM di kluster disinkronkan secara otomatis. Anda tidak perlu menyinkronkan data secara manual.
Kluster sinkronisasi manual
Setelah Anda membuat dan mengaktifkan kluster untuk pertama kali, Anda harus secara manual menyinkronkan data HSM utama ke HSM bawahan di kluster. Saat Anda menambah kapasitas kluster, data kluster secara otomatis disinkronkan ke instans HSM baru yang ditambahkan.
1. Di kolom Actions, klik Sync Cluster untuk menyinkronkan data HSM utama ke HSM bawahan. Selama sinkronisasi, status kluster adalah Syncing.
2. Setelah sinkronisasi kluster selesai, periksa apakah digest HSM konsisten.
  Periksa digest di halaman produk HSM. Jika digest untuk dua HSM identik, konfigurasi kluster HSM selesai. Jika digest berbeda, ulangi sinkronisasi data. Jika digest masih berbeda, hubungi kami.

Konfigurasikan kluster HSM yang sesuai dengan FIPS

Langkah 1: Beli dua instans HSM

Masuk ke Konsol Cloud Hardware Security Module. Di bilah navigasi atas, pilih wilayah yang diperlukan.
Pada tab VSMs, klik Create HSM.

Di halaman pembelian CloudHSM, konfigurasikan instans berdasarkan tabel berikut dan klik Buy Now.

Item konfigurasi	Deskripsi
Region	Pilih wilayah untuk instans HSM. Penting Anda hanya dapat menggunakan instans HSM di VPC. Instans HSM, VPC Anda, dan instans manajemen kunci perangkat keras KMS Anda harus berada di wilayah yang sama.
Cryptographic Service Type	Pilih General-purpose HSM.
Deployment Mode	Pilih Penyebaran dua zona. Zona spesifik ditetapkan oleh HSM.
Data Backup And Recovery	Setiap cadangan berisi data dari satu HSM. Setelah Anda mengaktifkan fitur ini, Anda harus memilih jumlah gambar. Setiap gambar memungkinkan satu cadangan data HSM. Untuk informasi lebih lanjut, lihat Pencadangan dan pemulihan data.
Quantity	Nilai default adalah 2. Anda tidak perlu mengubah nilai ini.
Subscription Duration	Durasi langganan. Pilih durasi langganan yang sama dengan instans manajemen kunci perangkat keras KMS Anda. Catatan Pilih Auto-renewal saat melakukan pembelian untuk mencegah hilangnya kunci secara permanen, yang dapat terjadi jika layanan CloudHSM tidak diperpanjang sebelum kedaluwarsa. Jika Anda memilih Perpanjangan Otomatis, Alibaba Cloud secara otomatis menagih akun pembayaran yang Anda gunakan untuk membeli HSM sembilan hari kalender sebelum layanan CloudHSM kedaluwarsa.

Baca Terms Of Service, klik Go To Pay, dan kemudian klik Order untuk menyelesaikan pembelian.

Langkah 2: Aktifkan instans HSM

Anda hanya perlu mengaktifkan HSM utama. Anda tidak perlu mengaktifkan HSM bawahan.

Pergi ke halaman Audit Keamanan dari Konsol Cloud Hardware Security Module. Di bilah navigasi atas, pilih wilayah.

Aktifkan HSM utama.

Di kotak dialog HSM Instance Configuration, konfigurasikan instans HSM dan klik OK. Setelah konfigurasi selesai, Status instans HSM berubah menjadi Enabled.

Item konfigurasi	Deskripsi
VPC Network ID	Pilih VPC tempat Anda ingin menyambungkan instans HSM. VPC tersebut harus sama dengan VPC tempat instans manajemen kunci perangkat keras KMS berada.
VPC Subnet	Pilih subnet VPC tempat instans HSM berada. Ini adalah salah satu vSwitch di VPC.
Assign Private IP Address	Konfigurasikan alamat IP pribadi untuk instans HSM. Penting Alamat IP pribadi harus berada dalam blok CIDR subnet VPC. Jika tidak, konfigurasi gagal. Jangan gunakan alamat IP yang berakhiran 253, 254, atau 255. Ini adalah alamat IP yang disediakan sistem.
Set The HSM Instance Whitelist	Anda tidak perlu mengonfigurasi parameter ini dalam skenario ini. Anda akan menetapkan daftar putih untuk kluster HSM saat membuat dan mengaktifkan kluster. Daftar putih kluster memiliki prioritas lebih tinggi daripada daftar putih instans HSM individu di kluster. Oleh karena itu, Anda tidak perlu mengonfigurasi parameter ini dalam skenario ini.

Langkah 3: Buat dan aktifkan kluster

Gunakan HSM utama untuk membuat kluster, lalu tambahkan HSM bawahan.

Pergi ke halaman Audit Keamanan dari Konsol Cloud Hardware Security Module. Di bilah navigasi atas, pilih wilayah.
Temukan instans HSM utama, dan di kolom Actions, klik Create Cluster.

Di panel Create and Activate Cluster, selesaikan langkah ①Buat Kluster, lalu klik Next.

Item konfigurasi	Deskripsi
Cluster Name	Nama kluster. Nama tersebut harus unik dan tidak boleh melebihi 24 karakter.
Configure Whitelist	Alamat IP yang diizinkan mengakses kluster. Alamat IP dan blok CIDR didukung. Anda dapat menentukan satu alamat IP atau satu blok CIDR di setiap baris. Anda dapat menentukan hingga 10 baris secara total. Dalam contoh ini, pastikan alamat IP berikut ditambahkan ke daftar putih. Blok CIDR dari vSwitch tempat instans HSM di kluster berada. Sebagai contoh, jika blok CIDR dari subnet VPC (vSwitch) tempat instans HSM berada adalah 172.16.1.0/24 dan 172.16.2.0/24, masukkan 172.16.1.0/24 dan 172.16.2.0/24 di dua baris terpisah. Alamat IP pribadi instans ECS. Sebagai contoh, jika alamat IP pribadi instans ECS adalah 172.16.3.0, masukkan 172.16.3.0 di baris terpisah. Blok CIDR dari vSwitch tempat instans KMS dilampirkan. Jika Anda belum membeli instans KMS, beli dan aktifkan instans KMS, lalu tambahkan entri daftar putih ini untuk kluster. Penting Daftar putih kluster memiliki prioritas lebih tinggi daripada daftar putih HSM di kluster. Sebagai contoh, jika Anda menambahkan 10.10.10.10 ke daftar putih HSM dan menambahkan 172.16.0.1 ke daftar putih kluster yang mencakup HSM tersebut, Anda hanya dapat mengakses HSM dari 172.16.0.1. Konfigurasi daftar putih 0.0.0.0/0 tidak didukung. Jika Anda memasukkan 0.0.0.0/0, permintaan dari semua alamat IP diizinkan. Untuk alasan keamanan, kami sarankan Anda tidak mengizinkan permintaan dari semua alamat IP. Jika Anda perlu mengizinkan permintaan dari semua alamat IP, jangan konfigurasikan daftar putih.
Specify vSwitches	Konfigurasikan vSwitch tempat instans HSM lain dilampirkan.

Di panel Create and Activate Cluster, selesaikan langkah ②Aktifkan Kluster.

Impor sertifikat kluster.
1. Di bagian Upload Cluster Certificate, klik Cluster CSR Certificate untuk mengunduh file permintaan penandatanganan sertifikat (CSR). Kemudian, unggah file tersebut ke instans ECS dan simpan. Sebagai contoh, Anda dapat menyimpan file sebagai cluster.csr.
2. Buat kunci privat dan atur token keamanan untuk kunci privat sesuai petunjuk. Sebagai contoh, Anda dapat menyimpan kunci privat sebagai issuerCA.key.
```
openssl genrsa -aes256 -out issuerCA.key 2048
```
3. Buat sertifikat tanda tangan sendiri. Sebagai contoh, Anda dapat menyimpan sertifikat sebagai issuerCA.crt.
```
openssl req -new -x509 -days 3652 -key issuerCA.key -out issuerCA.crt
```
4. Tandatangani CSR kluster. Sertifikat kluster yang diterbitkan disimpan di file cluster.crt.
  Catatan
  Langkah ini menggunakan file cluster.csr, issuerCA.key, dan issuerCA.crt.
```
openssl x509 -req -in cluster.csr -days 3652 -CA issuerCA.crt -CAkey issuerCA.key -set_serial 01 -out cluster.crt
```
5. Kembali ke Konsol CloudHSM, impor sertifikat kluster, dan klik Submit.
  - Di bagian Enter The Issuer Certificate In The PEM Format, masukkan isi file issuerCA.crt.
  - Di bagian Enter The Issued Cluster Certificate In The PEM Format, masukkan isi file cluster.crt.

Inisialisasi instans HSM utama.

Langkah	Deskripsi
Langkah 1: Unduh alat manajemen HSM.	Penting Alat manajemen HSM hanya dapat diinstal pada sistem operasi Linux. Anda dapat mengunduh alat tersebut dengan salah satu cara berikut: Unduh alat manajemen HSM. Jalankan perintah berikut untuk mengunduh alat manajemen HSM. Instans ECS harus terhubung ke Internet. `wget -O hsm-client-v2.03.15.10-1.x86_64.rpm 'https://yundun-hsm4.oss-ap-southeast-1.aliyuncs.com/hsm-client-v2.03.15.10-1.x86_64.rpm'` Di halaman Instance List, temukan instans HSM target, klik informasi di kolom spesifikasi instans, lalu klik Download HSM Management Tool. Di halaman Activate Cluster, klik Download HSM Management Tool.
Langkah 2: Instal alat manajemen HSM.	Jalankan perintah berikut untuk menginstal program dan file konfigurasi ke folder /opt/hsm. `sudo yum install -y hsm-client-v2.03.15.10-1.x86_64.rpm`
Langkah 3: Modifikasi file konfigurasi klien.	Di folder instalasi alat manajemen HSM, modifikasi item konfigurasi servers di file /opt/hsm/etc/hsm_mgmt_tool.cfg. Setel name dan hostname ke alamat IP pribadi HSM utama. Setel owner_cert_path ke jalur file issuerCA.crt. Contoh file hsm_mgmt_tool.cfg `{ "servers": [{ "name": "172.16.XX.XX", "hostname": "172.16.XX.XX", "port": 2225, "certificate": "/opt/hsm/etc/client.crt", "pkey": "/opt/hsm/etc/client.key", "CAfile": "", "CApath": "/opt/hsm/etc/certs", "ssl_ciphers": "", "server_ssl": "yes", "enable": "yes", "owner_cert_path": "<jalur file issuerCA.crt>" }], "scard": { "enable": "no", "port": 2225, "ssl": "no", "ssl_ciphers": "", "certificate": "cert-sc", "pkey": "pkey-sc", } }`
Langkah 4: Masuk ke HSM utama dan lihat daftar pengguna.	Jalankan perintah berikut untuk masuk ke HSM utama. `/opt/hsm/bin/hsm_mgmt_tool /opt/hsm/etc/hsm_mgmt_tool.cfg` Jalankan perintah `listUsers` untuk menampilkan daftar pengguna. `cloudmgmt>listUsers Users on server 0(172.16.XX.XX): Number of users found:2 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PRECO admin NO 0 NO 2 AU app_user NO 0 NO`
Langkah 5: Ubah pengguna PRECO menjadi pengguna CO.	Jalankan perintah `loginHSM` dan masuk ke HSM sebagai pengguna PRECO. `server0>loginHSM PRECO admin password loginHSM success` Jalankan perintah `changePswd` untuk mengubah kata sandi pengguna PRECO. Setelah Anda mengubah kata sandi, pengguna PRECO menjadi pengguna CO. cloudmgmt>changePswd PRECO admin <KataSandiBaru> ***********************PERINGATAN**************************** Ini adalah operasi KRITIS, harus dilakukan di semua node di kluster. Cav server TIDAK mensinkronkan perubahan ini dengan node-node di mana operasi ini tidak dieksekusi atau gagal, harap pastikan operasi ini dieksekusi di semua node di kluster. ************************************************************** Apakah Anda ingin melanjutkan(y/n)?y Mengubah kata sandi untuk admin(PRECO) pada 1 node Jalankan perintah `listUsers` untuk melihat daftar pengguna dan verifikasi apakah pengguna PRECO diubah menjadi pengguna CO. `cloudmgmt>listUsers Users on server 0(172.16.XX.XX): Number of users found:2 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 CO admin NO 0 NO 2 AU app_user NO 0 NO`
Langkah 6: Buat pengguna kripto (CU user)	Peringatan Anda harus membuat pengguna CU sebelum menambahkan HSM bawahan ke kluster. Jika tidak, pengguna CU tidak akan disinkronkan secara otomatis ke HSM bawahan. Untuk tujuan keamanan, instans manajemen kunci perangkat keras KMS mengakses kluster HSM sebagai pengguna CU bernama kmsuser. Gunakan alat manajemen HSM untuk masuk ke HSM utama dan jalankan perintah `createUser` untuk membuat Pengguna Kripto (CU) bernama kmsuser. `createUser CU kmsuser <masukkan kata sandi>` Penting Ingat kata sandi awal untuk kmsuser. Kata sandi ini diperlukan saat Anda mengaktifkan instans manajemen kunci perangkat keras KMS. Jalankan perintah `listUsers` untuk memverifikasi bahwa pengguna CU telah dibuat. `cloudmgmt>listUsers Users on server 0(172.16.XX.XX): Number of users found:3 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 CO admin NO 0 NO 2 AU app_user NO 0 NO 3 CU kmsuser NO 0 NO` Jalankan perintah `quit` untuk keluar dari alat manajemen. `cloudmgmt>quit disconnecting from servers, please wait...`
Langkah 7: Verifikasi status HSM utama	Kembali ke Konsol CloudHSM. Di halaman Activate Cluster, klik ikon untuk menyegarkan status HSM dan kemudian klik Next.

Di halaman ③Tambah HSM, tambahkan HSM bawahan ke kluster sesuai petunjuk dan klik Complete.
Catatan
Jika instans HSM yang ingin Anda tambahkan memiliki status Initialized, instans tersebut tidak dapat ditambahkan ke kluster. Dalam hal ini, hubungi kami.
Setelah konfigurasi selesai, kluster secara otomatis menyinkronkan data kunci utama ke HSM bawahan. Sebagai contoh, kmsuser di HSM utama disinkronkan ke HSM bawahan. Anda hanya perlu memeriksa apakah informasi digest dari dua instans HSM di kluster sama. Jika informasi digest berbeda, hubungi kami.

Apa yang harus dilakukan selanjutnya

Pergi ke konsol KMS untuk membeli instans manajemen kunci perangkat keras KMS dan menyelesaikan konfigurasi yang diperlukan. Untuk informasi lebih lanjut, lihat Beli dan aktifkan instans KMS.