コンテナ環境における鍵管理ソリューション - Entrust - 東京エレクトロンデバイス

コンテナ環境における鍵管理ソリューション

今やクラウドサービスに欠かせない存在となったコンテナ技術。

コンテナ仮想化を用いたオープンソースソフトウェア「Docker」やオーケストレーションツールである「Kubernetes」等、コンテナ関連の用語を耳にする機会は増えてきたかと思います。コンテナはポータビリティ性（可搬性）に優れ、開発効率や可用性の向上など多くのメリットがあるため、アプリケーション開発において多くの企業で導入が進んでいます。

■概要

nShield Container Option Pack（nSCOP）を利用することで、コンテナ化されたアプリケーションに対して、簡単にnShield HSMを統合できます。コンテナ化されたアプリケーションの開発者や運用者は、nShield HSMの取り扱いに慣れていないかもしれませんが、本オプション（セットアップ用スクリプト）を利用することで、コンテナ環境へシームレスにnShield HSMを連携できます。

■利用イメージ

（※1） nSaaSはnShield as a Serviceの略称。Entrust社が提供するクラウド上のnShieldHSMサービス

コンテナ化は、DevOps環境においてアプリケーションの迅速な導入と自動化を可能にします。

開発環境に依存せずに、アプリケーションが実行できることはコンテナ利用の大きなメリットです。

そのため、例えば検証環境（クラウド上）のコンテナをそのまま本番環境（オンプレミス）に移行する、といったことも容易に実現できます。コンテナベースの環境内でnShield HSMの暗号機能にアクセスできるよう、nSCOPはMirantis Kubernetes Engine、Redhat OpenShift、VMware Kubernetes Grid等のオーケストレーションプラットフォームと連携します。

nShield Container Option Pack（nSCOP）を利用することで、オンプレミスやnShield as a service環境において、nShield HSMはRoot of Trust（信頼の起点）として強力な暗号化/署名サービスを提供し、コンテナイメージの開発プロセスを加速させます。

■特徴
・コンテナアプリとnShieldHSMを連携することでアプリケーションの拡張性とHSM特性を最大限に活用
・Entrust社が提供するスクリプトを使うことで容易に環境構築が可能
・コンテナイメージは以下のどちらかの方法で作成が可能
　- nShieldベースコンテナからアプリケーションコンテナを派生
– 既存のアプリケーションコンテナからnShieldSecurityWorldソフトウェアを搭載したコンテナを派生
・オンプレ環境のnShield HSMだけでなく、nShield as a Serviceと連携可能
・nShield HSMと連携可能なアプリケーションコンテナの数に制限はなし

■技術仕様

（※2） hardserverは、ｎShield Security Worldソフトウェアをインストールすると起動するプロセス。
ネットワーク上のnShield HSMと安全に通信を担当します。PKCS#11やJava ライブラリなどの標準APIを使ってnShield HSMへアクセスし、暗号処理や鍵管理を実現します。アプリケーションコンテナは、このプロセスとのインターフェイスにソケットを使用します。

別紙：コンテナホストとアプリケーションコンテナの数に応じたHSM1台あたりの必要なクライアントライセンス数

nShield HSM製品の取り扱いを始めて15年あまり、長年培った技術とノウハウで本ソリューションの構築支援・お客様の課題解決をさせていただきます。購入前の機器貸し出しも可能ですので、お気軽にお申し付けください。