In the report the technology of virtual security modules will be presented. It rely on Linux containers. The report should be interesting for those people who are planning (or already using) could services for building IT-infrastructure.
Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers
1. Технология виртуализации
аппаратных Название модулей доклада
безопасности
в контейнерах Linux
Кирилл Кринкин,
Дмитрий Карташов
Академический Университет РАН
Лаборатория Parallels
Санкт-Петербург
5. Что такое HSM
Hardware Security Module – физическое устройство для
управления цифровыми ключами и выполнения
криптофункций
Свойства:
● физическая (аппаратная) изоляция;
● отсутствие интерфейсов доступа к памяти
● средства защиты от проникновения
6. PKCS#11 (Cryptoki)
PKCS= Public-Key Cryptography Standards
PKCS#11 – платформо незивисимый API
для криптографических токенов:
● HSM
● Smart cards
7. Контейнеры в Linux
Контейнеры:
– Пространства имен (ipc, pid, network,
user...)
– Apparmor and SELinux
– Chroots
– cgroups
8. Идея проекта
● Аппаратные HSM –
зарекомендовавшие себя средства
защиты, имеющие высокую
стоимость;
● Контейнеры Linux – надежные и
защищенные окружения
● Реализация функций HSM в
контейнере – компромисс
защищенности и функциональности
10. Программные решения
и их проблемы
● OpenDNS SEC
SoftHSM
● Elliptic Ellipsys-VSM
● Trusted Virtual Security
Module
● HighCloud Data Security
Module
● отсутствие изоляции
памяти
● нестандартный API
● TCP/IP в качестве
транспорта
● Использование
полновесных виртуальных
машин