HSM は、SSL オフロードをサポートしています。これは、SSL ネゴシエーションと暗号化/復号処理をサーバーから HSM に移行することで、サーバーの負荷を軽減します。このトピックでは、SSL オフロードについて説明します。
SSL オフロードとは
SSL オフロードは、SSL/TLS の暗号化および復号操作をアプリケーションサーバーから専用デバイスに転送するネットワーク最適化技術です。バックエンドサーバーは、復号化されたプレーンテキストのリクエストを処理するだけで済むため、CPU リソースが解放されます。証明書と秘密鍵はオフロードデバイスで一元管理されるため、各サーバーに証明書をデプロイする必要がありません。これにより、サーバーのパフォーマンスが向上し、証明書の管理が簡素化されます。 SSL オフロードは、Web サイトや API サービスなどのトラフィック量の多い HTTPS サービスシナリオ、および暗号化トラフィックの一元管理が必要な金融やヘルスケアなどの業界のシナリオに適しています。
セキュリティ
内部ネットワークセキュリティ: HSM は VPC を介してバックエンドサーバーと通信し、内部ネットワークチャネルを介してセキュリティを確保します。
秘密鍵の物理的な分離と保護: 秘密鍵は常に HSM の耐タンパーハードウェアに保存されます。 HSM が侵害された場合でも、攻撃者はエクスポートまたはレプリケーションによって秘密鍵を取得することはできません。セキュリティは物理的な分離によって確保されます。
キー管理とアクセスコントロールの一元化: HSM はすべての証明書の秘密鍵を一元管理するため、複数のサーバーまたはデバイスに分散して保存する必要がありません。 HSM は、HSM 管理者やオペレーターなどのロールを設定することにより、ユーザーに異なる権限を付与します。
クラスタデプロイメント: HSM は、クラスタデプロイメントを通じて負荷分散とディザスタリカバリの要件を満たします。
コンプライアンス
アルゴリズムコンプライアンス: HSM は、国家暗号法の要件を満たしています。
監査可能な操作: HSM は、監査要件を満たすために、各秘密鍵の使用について時間、操作タイプ、その他の情報を記録した詳細なログを生成します。
標準的なデプロイ図
次の図は、Alibaba Cloud ECS で SSL オフロードを実装するための標準的なデプロイソリューションを示しています。
SSL オフロードシナリオでは、Nginx プロキシがクライアント TLS ハンドシェイクを処理します。 TASSL エンジンは、Nginx と HSM の間のブリッジとして機能し、PKCS#11 などの標準インターフェイスを介して Nginx の暗号操作リクエストを HSM に転送します。 HSM インスタンス管理ツールは、HSM の初期化やキーの作成などの操作に使用されます。
TLS ハンドシェイクプロセス全体は次のとおりです。
クライアントは Nginx と TCP 接続を確立し、TLS ハンドシェイクを開始します。
Nginx が TLS 認証に秘密鍵を使用する必要がある場合、Nginx は TASSL エンジンを介して HSM に操作リクエストを送信します。
説明秘密鍵は常に HSM に保存され、Nginx サーバーのメモリにはロードされません。
HSM は TLS 認証関連の復号と署名操作を実行し、結果を TASSL エンジンに返します。
Nginx は、HSM から返された結果に基づいて TLS ハンドシェイクを完了します。
暗号化チャネルが確立され、後続のリクエストは Nginx によってプレーンテキストに復号化され、バックエンドサービスに転送されます。