Los HSM de respaldo son una parte esencial de su ecosistema de almacenamiento de claves. Permiten almacenar copias de seguridad de sus claves criptográficas almacenadas en HSM conectados a la red. Este documento le guiará en la configuración. Luna 7 HSM de respaldo.
Para configurar una copia de seguridad de Luna 7 HSM Para realizar una copia de seguridad del material criptográfico existente, tiene dos opciones: Puede conectarse directamente a la interfaz USB en una red conectada HSM dispositivo, o puede conectarse a un puerto USB en el cliente Luna 7. Necesitará las contraseñas y/o claves ped asociadas con las particiones (incluida la partición de administración) y el dominio para realizar cualquier tipo de copia de seguridad, así que tenga esos materiales listos, incluido su ped si tiene uno.
HSM basados en peatones
Los HSM basados en Ped utilizan un quórum de claves ped para proteger los datos criptográficos. También utilizan dispositivos de entrada de PIN (PED) para permitir funciones de administración local o remota. Necesitará sus claves de dominio (rojas) y las claves de Crypto Officer (negras).
Necesitará llaves de Oficial de Seguridad (azules), nuevas o existentes. Si la copia de seguridad se realizará de forma remota, necesitará las llaves naranjas de su red actual. HSMNo recomendamos reutilizar las claves de Remote Ped Vector (naranja) entre su HSM conectado a la red existente y la copia de seguridad. HSMEsto se debe a que, si bien las claves RPV del HSM conectado a la red son fácilmente reemplazables por el SO, la pérdida de la clave RPV del HSM de respaldo es equivalente a la pérdida de todos los datos criptográficos almacenados.
Copia de seguridad a través del puerto USB del dispositivo
- Primero, deberá deshabilitar el modo de transporte seguro del HSM de respaldo. Para ello, conéctese a una estación de trabajo cliente que ejecute LunaCM y realice los siguientes pasos en LunaCM.
lunacm:> conjunto de ranuras -ranura
Nota: Utilice el ID de ranura de la partición de administración
lunacm:> stm recuperar -randomuserstring
Nota: Busque un correo electrónico de Thales para obtener la cadena
- Conecte el HSM de respaldo y el ped a puertos USB del dispositivo que no sean el puerto USB de la tarjeta PCIE. Consulte la información a continuación.
- Conecte una estación de trabajo con el cable serie a USB al puerto COM serie resaltado en azul. Una vez conectado, inicie una sesión de PuTTY con la conexión serie en el puerto COM correspondiente. Puede consultar el Administrador de dispositivos para encontrar el número de puerto COM correcto.
- Utilice el siguiente comando en putty (en adelante denominado lunash) y conserve a mano el número de serie del HSM de respaldo devuelto.
lunash:> lista de copias de seguridad de tokens
- A continuación, utilizando el siguiente comando, establezca una conexión entre la instancia del servidor ped remoto local del dispositivo y el PED remoto.
lunash:> hsm ped connect -ip 127.0.0.1 -serial
- LunaSH le proporcionará una contraseña de un solo uso para establecer una conexión segura antes de inicializar una clave RPV naranja. Introduzca esta contraseña en el PED antes de crear una clave RPV (naranja). Cree varias claves naranjas, ya que no son fáciles de crear en HSM de respaldo. Esto difiere de los HSM conectados a red.
lunash:> hsm ped vector init -serial
- Inicialice el HSM de respaldo con el siguiente comando. Recuerde que DEBE reutilizar las claves de dominio (rojas) de su HSM existente; de lo contrario, la clonación no funcionará. Para simplificar, también puede reutilizar las claves de SO (azules).
lunash:> copia de seguridad del token init -label -de serie
- Si se requiere cumplimiento de FIPS y ya está configurado en el HSM conectado a la red existente, primero siga la sección sobre cumplimiento de FIPS aquí antes de continuar.
- Utilice el siguiente comando en LunaSH para mostrar una lista de todas las particiones de la aplicación. Anote las particiones que desea clonar.
lunash:> lista de particiones
Nota: Registrar nombres de particiones para clonar
- Utilice el siguiente comando para clonar la partición por primera vez en el HSM de respaldo
lunash:>copia de seguridad de la partición -partición -de serie
- Usando el ped inserte la partición nueva o reutilizada SO (azul) Claves PED para inicializar la partición de respaldo.
- Usando el ped inserte la(s) clave(s) PED de la partición SO (azul) que acaba de crear para la partición de respaldo, para iniciar sesión.
- Usando el ped inserte las claves PED nuevas o reutilizadas de Crypto Officer (negra) para inicializar la función CO en la partición de respaldo.
- Usando ped, inserte las claves PED de dominio nuevas o reutilizadas (rojas) para la partición de origen, para inicializar el dominio en la copia de seguridad.
- Usando el ped inserte la(s) clave(s) PED de Crypto Officer (negra) que acaba de crear para la partición de respaldo, para iniciar sesión.
Configuración de la conformidad con FIPS del HSM de respaldo de Luna 7
- En LunaCM, inicie sesión como HSM de respaldo
lunacm:> rol login -nombre so
- A continuación, utilice este comando para establecer la política de cumplimiento de FIPS.
lunacm:> hsm changehsmpolicy -política 55 -valor 1
lunacm:> hsm mostrar información
Restaurar a través del puerto USB del dispositivo
- Conecte el HSM y el ped de respaldo a puertos USB del dispositivo que no sean el puerto USB de la tarjeta PCIE. Consulte la siguiente referencia.
- Conecte una estación de trabajo con el cable serie a USB al puerto COM serie resaltado en azul. Una vez conectado, inicie una sesión de PuTTY con la conexión serie en el puerto COM correspondiente. Puede consultar el Administrador de dispositivos para encontrar el número de puerto COM correcto.
- Utilice el siguiente comando en putty (en adelante denominado lunash) y tenga a mano el número de serie del HSM de respaldo devuelto
lunash:> lista de copias de seguridad de tokens
- Muestra la lista de particiones de la aplicación. Anota la partición a la que estás restaurando.
lunash:> lista de particiones
- Muestra una lista de las copias de seguridad existentes en el HSM de copia de seguridad. No la partición desde la que desea restaurar.
lunash:> lista de particiones de respaldo de token -serial
- Restaure la partición con el siguiente comando. Use "add" para agregar solo el contenido nuevo o "replace" para reemplazar todo el contenido de la partición.
lunash:> restaurar partición -partición -par de tokens -de serie {-añadir | -reemplazar}
- Si la partición de destino ya está activada, solo necesitará el secreto del desafío del oficial de cifrado. De lo contrario, siga las siguientes instrucciones usando las claves ped y ped.
- Usando el ped inserte el RPV (tecla naranja) para el HSM de destino para iniciar la conexión remota
- Usando el ped inserte el Crypto Officer (llave negra) para la partición de destino
- Usando el ped inserte el RPV (tecla naranja) para el HSM de respaldo.
- Desconecte el peatón usando el comando
lunash:> hsm ped desconexión -serial
HSM basados en contraseña
Los HSM basados en contraseñas protegen los datos criptográficos con una serie de contraseñas que corresponden a los distintos roles de los usuarios en el HSM. El SO del HSM gestiona las políticas y la seguridad del mismo. La cadena de dominio se utiliza para la clonación y debe coincidir para clonar a una partición desde una partición de respaldo, o para los HSM de un grupo de alta disponibilidad (HA). El Crypto Officer gestiona los datos criptográficos dentro de una partición.
Copia de seguridad a través del puerto USB del dispositivo
- Primero, deberá retirar el HSM de respaldo del modo de transporte seguro. Para ello, conéctese a una estación de trabajo cliente que ejecute LunaCM y realice los siguientes pasos en LunaCM.
lunacm:> conjunto de ranuras -ranura
Nota: Utilice el ID de ranura de la partición de administración
lunacm:> stm recuperar -randomuserstring
Nota: Busque un correo electrónico de Thales para obtener la cadena
- Conecte su HSM de respaldo a puertos USB del dispositivo que no sean el puerto USB de la tarjeta PCIE. Consulte la información a continuación.
- Conecte una estación de trabajo con el cable serie a USB al puerto COM serie resaltado en azul. Una vez conectado, inicie una sesión de PuTTY con la conexión serie en el puerto COM correspondiente. Puede consultar el Administrador de dispositivos para encontrar el número de puerto COM correcto.
- Utilice el siguiente comando en putty (en adelante denominado lunash) y tenga a mano el número de serie del HSM de respaldo devuelto
lunash:> lista de copias de seguridad de tokens
- Inicialice el HSM de respaldo utilizando el siguiente comando.
lunash:> copia de seguridad del token init -label -de serie
- Si se requiere cumplimiento de FIPS y ya está configurado en el HSM conectado a la red existente, primero siga la sección sobre cumplimiento de FIPS aquí antes de continuar.
- Utilice el siguiente comando en LunaSH para mostrar una lista de todas las particiones de la aplicación. Anote las particiones que desea clonar.
lunash:> lista de particiones
- Utilice el siguiente comando para clonar la partición por primera vez en el HSM de respaldo
lunash:>copia de seguridad de la partición -partición -de serie
- Ingrese la contraseña del oficial de cifrado para la partición de origen
- Introduzca la contraseña SO para el HSM de respaldo
- Proporcione la cadena de dominio para la nueva partición. Esta cadena debe coincidir con la cadena de dominio existente para realizar una copia de seguridad en el futuro.
- En LunaCM, inicie sesión como HSM de respaldo
lunacm:> rol login -nombre so
- A continuación, utilice este comando para establecer la política de cumplimiento de FIPS.
lunacm:> hsm changehsmpolicy -política 55 -valor 1
lunacm:> hsm mostrar información
- Conecte su HSM de respaldo a puertos USB del dispositivo que no sean el puerto USB de la tarjeta PCIE. Consulte la información a continuación.
- Conecte una estación de trabajo con el cable serie a USB al puerto COM serie resaltado en azul. Una vez conectado, inicie una sesión de PuTTY con la conexión serie en el puerto COM correspondiente. Puede consultar el Administrador de dispositivos para encontrar el número de puerto COM correcto.
- Utilice el siguiente comando en putty (en adelante denominado lunash) y tenga a mano el número de serie del HSM de respaldo devuelto
lunash:> lista de copias de seguridad de tokens
- Muestra la lista de particiones de la aplicación. Anota la partición a la que estás restaurando.
lunash:> lista de particiones
- Muestra una lista de las copias de seguridad existentes en el HSM de copia de seguridad. No la partición desde la que desea restaurar.
lunash:> lista de particiones de respaldo de token -serial
- Restaure la partición con el siguiente comando. Use "add" para agregar solo el contenido nuevo o "replace" para reemplazar todo el contenido de la partición.
lunash:> restaurar partición -partición -par de tokens -de serie {-añadir | -reemplazar}
- En este orden, introduzca la contraseña del administrador de cifrado de la partición de destino y la contraseña del administrador de cifrado de la partición de respaldo.
Configuración de la conformidad con FIPS del HSM de respaldo de Luna 7
Restaurar a través del puerto USB del dispositivo
Conclusión
Los HSM de respaldo le brindan tranquilidad en caso de fallas de hardware y pérdidas por desastres naturales. También pueden usarse para almacenar datos criptográficos para su transporte. Sea cual sea su caso de uso, usar su HSM de respaldo con estas instrucciones debería ser eficiente y sencillo.
Los HSM de respaldo son una herramienta esencial para garantizar la fiabilidad y la recuperación de sus datos criptográficos. Siguiendo las instrucciones, puede respaldar los datos de su HSM de red Luna 7 existente en un HSM de respaldo Luna 7 o restaurarlos en un HSM de red utilizando los datos almacenados en un HSM de respaldo.
