Upload File

virtual-hsm: virtualization of hardware security modules in linux containers

  • Home
  • Software
  • Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers
20
Название доклада Кирилл Кринкин, Дмитрий Карташов Академический Университет РАН Лаборатория Parallels Санкт-Петербург Технология виртуализации аппаратных модулей безопасности в контейнерах Linux

Upload: kirill-krinkin

Post on 25-Dec-2014

185 views

Category:

Software


8 download

Report

DESCRIPTION

In the report the technology of virtual security modules will be presented. It rely on Linux containers. The report should be interesting for those people who are planning (or already using) could services for building IT-infrastructure.

TRANSCRIPT

Page 1: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers

Название доклада

Кирилл Кринкин, Дмитрий Карташов

Академический Университет РАНЛаборатория ParallelsСанкт-Петербург

Технология виртуализации аппаратных модулей безопасности в контейнерах Linux

Page 2: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers

Тренды

Page 3: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers

Безопасность в Интернет

Page 4: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers

OpenSSL● начат Dec'98

● большое количество поддерживаемых платформ

● Иногда встречаются ошибки:

– Entropy bug Sep'2006

– Heartbleed 2011-- 2014

● Клоны:

– LibreSSL (OpenBSD, Apr'2014)– BoringSSL (Google, Jun' 2014)

● Transport Layer Security (TLS)● Socket Security Layer (SSL)● криптофункции

● Web-серверы● Браузеры● Терминальные клиенты● ssh, ftps, https, emails, VPNs...

Page 5: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers

Что такое HSMHardware Security Module – физическое устройство для управления цифровыми ключами и выполнения криптофункций

Свойства:

● физическая (аппаратная) изоляция;● отсутствие интерфейсов доступа к памяти● средства защиты от проникновения

Page 6: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers

PKCS#11 (Cryptoki)PKCS= Public-Key Cryptography Standards

PKCS#11 – платформо незивисимый API для криптографических токенов:

● HSM● Smart cards

Page 7: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers

Контейнеры в LinuxКонтейнеры:

– Пространства имен (ipc, pid, network, user...)

– Apparmor and SELinux– Chroots– cgroups

Page 8: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers

Идея проекта● Аппаратные HSM – зарекомендовавшие себя средства защиты, имеющие высокую стоимость;

● Контейнеры Linux – надежные и защищенные окружения

● Реализация функций HSM в контейнере – компромисс защищенности и функциональности

Page 9: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers

«Доступные» аналоги

Page 10: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers

Программные решения и их проблемы

● OpenDNS SEC SoftHSM

● Elliptic Ellipsys-VSM

● Trusted Virtual Security Module

● HighCloud Data Security Module

● отсутствие изоляции памяти

● нестандартный API

● TCP/IP в качестве транспорта

● Использование полновесных виртуальных машин

Page 11: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers

Архитектура Virtual-HSM

Page 12: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers

VHSM транспорт

Page 13: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers

VHSM для пользователя

● интерфейс OpenSSL

● crypto-engine

● клиент vhsm в контейнере

Page 14: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers

Организация хранилища

● SQL DB● AES GCM● только ID (pin)

Page 15: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers

Администрирование

Page 16: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers

Аутентификация, авторизация

Page 17: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers

Анализ угроз

Page 18: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers

Производительность

HMAC-SHA-1, VHSM, 1Kb/1Mb,

HMAC-SHA-1, VHSM/Crypto++

Page 19: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers

Ссылки и ресурсы

● http://openvz.org/Virtual_HSM

● http://git.openvz.org/?p=vhsm

http://openvz.org/Virtual_HSM
http://git.openvz.org/?p=vhsm
Page 20: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers

Спасибо

● Кирилл Кринкин   [email protected]

● Дмитрий Карташов [email protected]

mailto:[email protected]
mailto:[email protected]

Grid Computing & Virtualization

虛擬化技術 Virtualization Techniques Network Virtualization InfiniBand Virtualization

07 Containers

Agilité et innovation - documents.swisscom.com€¦ · /ECS, Azure, AWS OpenStack/ Virtualization OS Containers Runtime Hardware PaaS /CloudFoundry, Heroku, OpenShift/ Virtualization

Network Virtualization

Kernel Protection Using Hardware- Based Virtualization€¦ · Benefits of Virtualization-Based Kernel Protection More monitoring and isolation capabilities in virtualization than

Virtualization – Proxmox

VMware Virtualization

Virtualization Technology

Network Functions Virtualization

Application virtualization

"Lightweight Virtualization with Linux Containers and Docker". Jerome Petazzoni, dotCloud

Linux containers

HSM | HSM GmbH - Datavernietigers HSM SECURIO · 2020. 4. 21. · 1 HSM SECURIO AF100 2 3 HSM SECURIO AF150/AF300 4 HSM SECURIO AF500 Voordelen: x Nuttige dubbelfunctie: handmatige

Manual Containers

Virtualization forum 2008

Virtualization Station

Virtualization (virtuallasdirma)

ch9. Multiprocessor Virtualization

ABBBBBBBBB. Shido dir, HSM Shido dire HSM · 2018-04-14 · ABBBBBBBBB. Shido dir, HSM Shido dire HSM

Memory Virtualization

Introduction Desktop Virtualization

Seamless virtualization

Porte containers

Server Virtualization

57168996 Containers

ores Containers

20100214 virtualization igotti_lecture01

Virtualization Consolidation Slide

Open Source Virtualization

Xen Virtualization 2008

InfiniBand Virtualization

Windows Server Virtualization

Hardware Support Virtualization - College of …cecs.wright.edu/~pmateti/Courses/7380/Lectures/Virtualization/... · Agenda • Review on system virtualization Definition of Virtual

Containers maritimes