Fortanix SDKMS

本教程演示如何设置一个使用 Fortanix SDKMS 作为持久且安全的密钥存储的 KES 服务器。

Fortanix SDKMS

创建应用程序

注册一个可以对 Fortanix SDKMS 实例进行身份验证和通信的新应用程序。
- 在 Fortanix SDKMS UI 中转到“应用程序”部分。
- 为应用程序指定一个描述性名称，例如 KES
- 选择 REST API 作为集成方式
- 选择 API 密钥 作为身份验证方法
分配组

分配的组用作应用程序的默认组。除非在 KES 配置文件中指定了显式组 ID，否则新创建的密钥将属于此组。
创建应用程序并复制应用程序的 API 密钥。

此密钥是 KES 用于与 Fortanix SDKMS 通信的访问凭据。

KES 服务器设置

KES 服务器需要 TLS 私钥和证书。

KES 服务器默认安全，只能在 TLS 下运行。本教程出于简单起见使用了自签名证书。

对于生产环境设置，我们强烈建议使用受信任的证书颁发机构签发的证书。这可以是您的内部 CA 或公共 CA，例如 Let’s Encrypt。

为 KES 服务器生成 TLS 私钥和证书

以下命令生成新的 TLS 私钥 server.key 和自签名 X.509 证书 server.cert，该证书为 IP 127.0.0.1 和 DNS 名称 localhost（作为 SAN）颁发。自定义命令以匹配您的设置。

kes tool identity new --server --key server.key --cert server.cert --ip "127.0.0.1" --dns localhost

任何其他 X.509 证书生成工具也适用。例如，您可以使用 openssl

openssl ecparam -genkey -name prime256v1 | openssl ec -out server.key

openssl req -new -x509 -days 30 -key server.key -out server.cert \
    -subj "/C=/ST=/L=/O=/CN=localhost" -addext "subjectAltName = IP:127.0.0.1"

创建私钥和证书

kes tool identity new --key=app.key --cert=app.cert app

您可以随时计算 app 标识。

kes tool identity of app.cert

创建配置文件

创建名为 server-config.yml 的配置文件

address: 0.0.0.0:7373

admin:
  identity: disabled  # We disable the admin identity since we don't need it in this guide 

tls:
  key : server.key
  cert: server.cert

policy:
  my-app:
     allow:
     - /v1/key/create/my-app*
     - /v1/key/generate/my-app*
     - /v1/key/decrypt/my-app*    
    identities:
    - ${APP_IDENTITY}

 keystore:
   fortanix:
     sdkms:
       endpoint: "<your-fortanix-sdkms-endpoint>"    # Use your Fortanix instance endpoint.
       credentials:
         key: "<your-api-key>" # Insert the application's API key

在新窗口/选项卡中启动 KES 服务器
```
export APP_IDENTITY=$(kes tool identity of app.cert)

kes server --config=server-config.yml --auth=off
```
该命令使用 --auth=off，因为我们的 root.cert 和 app.cert 证书是自签名的。
在另一个选项卡中，连接到服务器
```
export KES_CLIENT_CERT=app.cert
export KES_CLIENT_KEY=app.key
kes key create -k my-app-key
```
-k 是必需的，因为我们使用自签名证书。

从先前创建的 my-app-key 派生和解密数据密钥

kes key derive -k my-app-key
{
   plaintext : ...
   ciphertext: ...
}

kes key decrypt -k my-app-key <base64-ciphertext>

将 KES 与 MinIO 服务器一起使用

MinIO 服务器需要 KES 才能启用服务器端数据加密。

有关将新的 KES 服务器与 MinIO 服务器一起使用所需的额外步骤，请参阅MinIO 指令指南的 KES。

配置参考

以下部分描述了密钥加密服务 (KES) 配置设置，以使用 Fortanix SDKMS 作为根 KMS 来存储外部密钥，例如用于 MinIO 服务器上的服务器端加密的密钥。

MinIO 服务器需要扩展权限

从MinIO 服务器 RELEASE.2023-02-17T17-52-43Z开始，MinIO 需要扩展的 KES 权限才能实现功能。本节中的示例配置包含所有必需的权限。

YAML 概述

带有 ${<STRING>} 的字段使用与 <STRING> 值匹配的环境变量。您可以使用此功能来设置凭据，而无需将其写入配置文件。

YAML 假设访问 KES 的 MinIO 部署具有最少的权限集。或者，您可以省略 policy.minio-server 部分，而是将 ${MINIO_IDENTITY} 哈希设置为 ${ROOT_IDENTITY}。

address: 0.0.0.0:7373
root: ${ROOT_IDENTITY}

tls:
  key: kes-server.key
  cert: kes-server.cert

api:
  /v1/ready:
    skip_auth: false
    timeout:   15s

policy:
  minio-server:
    allow:
    - /v1/key/create/*
    - /v1/key/generate/*
    - /v1/key/decrypt/*
    - /v1/key/bulk/decrypt
    - /v1/key/list/*
    - /v1/status
    - /v1/metrics
    - /v1/log/audit
    - /v1/log/error
    deny:
    - /v1/key/generate/my-app-internal*
    - /v1/key/decrypt/my-app-internal*
    identities:
    - ${MINIO_IDENTITY}

    my-app:
    allow:
    - /v1/key/create/my-app*
    - /v1/key/generate/my-app*
    - /v1/key/decrypt/my-app*
    deny:
    - /v1/key/generate/my-app-internal*
    - /v1/key/decrypt/my-app-internal*
    identities:
    - df7281ca3fed4ef7d06297eb7cb9d590a4edc863b4425f4762bb2afaebfd3258
    - c0ecd5962eaf937422268b80a93dde4786dc9783fb2480ddea0f3e5fe471a731

keys:
  - name: "minio-encryption-key-alpha"
  - name: "minio-encryption-key-baker"
  - name: "minio-encryption-key-charlie"

cache:
  expiry:
    any: 5m0s
    unused: 20s
    offline: 0s

log:

  # Log error events to STDERR. Valid values are "on" or "off". 
  # Default is "on".
  error: on

  # Log audit events to STDOUT. Valid values are "on" and "off". 
  # Default is "off".
  audit: off

keystore:
  fortanix:
    # https://www.fortanix.com/products/data-security-manager/key-management-service
    sdkms: 
      endpoint: "" 
      group_id: "" 
      credentials: 
        key: ""    
      tls:         
        ca: ""

参考

有关完整文档，请参阅配置页面。

键	描述
`address`	KES 服务器在启动时侦听的网络地址和端口。默认为所有主机网络接口上的端口 `7373`。
`root`	KES 超级用户 (`root`) 标识的标识。使用其哈希 (`kes identity of client.cert`) 与此值匹配的 TLS 证书连接的客户端可以访问所有 KES API 操作。指定 `disabled` 以删除根标识，并仅依赖于 `policy` 配置来控制对 KES 的标识和访问管理。
`tls`	KES 用于建立 TLS 安全通信的 TLS 私钥和证书。分别为 `key` 和 `cert` 字段指定 `.key` 和 `.cert` 的完整路径。
`policy`	指定一个或多个策略来控制对 KES 服务器的访问。MinIO SSE 需要访问以下 KES 加密 API `/v1/key/create/` `/v1/key/generate/` `/v1/key/decrypt/` 指定其他密钥不会扩展 MinIO SSE 功能，并且可能会违反有关向客户端提供不必要的加密密钥操作访问权限的安全最佳实践。您可以通过在 `.` 之前指定前缀来限制 MinIO 可以创建的密钥名称范围。例如，`minio-sse-*` 仅授予使用 `minio-sse-` 前缀的 `create`、`generate` 或 `decrypt` 密钥的访问权限。 KES 使用 mTLS 通过将 TLS 证书的哈希与每个配置策略的 `identities` 进行比较来授权连接的客户端。使用 `kes identity of` 命令计算 MinIO mTLS 证书的标识，并将其添加到 `policy.<NAME>.identities` 数组中，以将 MinIO 与 `<NAME>` 策略关联。
`keys`	指定 KES 成功启动时根 KMS 上必须存在的密钥数组。如果密钥不存在，KES 会尝试创建密钥，如果无法创建一个或多个密钥，则会退出并显示错误。在完成所有指定密钥的验证之前，KES 不会接受任何客户端请求。
`cache`	以 `#d#h#m#s` 格式指定缓存密钥的过期时间。如果 KMS 暂时不可用，则可以使用未过期的密钥。可以为 `any` 密钥、`unused` 密钥或 `offline` 密钥设置条目。如果未设置，KES 将对所有密钥使用 `5m` 值，对未使用密钥使用 `20s` 值，对脱机密钥使用 `0s` 值。
`log`	启用或禁用将 `error` 和 `audit` 类型日志事件输出到控制台。
`keystore.fortanix.sdkms.endpoint`	Fortanix SDKMS 端点 - 例如：https://sdkms.fortanix.com
`keystore.fortanix.sdkms.group_id`	新创建的密钥将放置在其中的可选组 ID。例如：`ce08d547-2a82-411e-ae2d-83655a4b7617` 如果为空，则使用应用程序的默认组。
`keystore.fortanix.sdkms.credentials`	Fortanix SDKMS 访问凭据
`keystore.fortanix.sdkms.credentials.key`	应用程序的 API 密钥。例如：`NWMyMWZlNzktZDRmZS00NDFhLWFjMzMtNjZmY2U0Y2ViMThhOnJWQlh0M1lZaDcxZC1NNnh4OGV2MWNQSDVVSEt1eXEyaURqMHRrRU1pZDg=`
`keystore.fortanix.sdkms.tls`	KeySecure 客户端 TLS 配置
`keystore.fortanix.sdkms.tls.ca`	用于验证 Fortanix SDKMS TLS 证书的一个或多个 PEM 编码的 CA 证书的路径。