硬件安全模块(HSM)可能是一个复杂但重要的需要维护的安全基础设施。检查 HSM 的功能需要完成一些日常任务,并且还必须完成一些任务来升级 HSM 以确保最新的补丁到位。
这看起来是一项艰巨的任务,但实际上是一个相对简单的过程。其中更复杂的部分之一是处理与 HSM 集成的其他基础设施部分的先决任务。
今天,我们将介绍如何升级 Thales Luna Network HSM 的固件和软件。在此示例中,我们将假设您有一个与 HSM 集成的颁发证书颁发机构,并且使用的 HSM 是基于 PED 的 HSM。
在更新网络 HSM 软件和固件之前,必须完成许多先决任务,特别是当您的 HSM 连接到生产环境中的客户端时。对于此示例,我们假设您的 HSM 连接到生产环境中的证书颁发机构 (CA) 。
完成任何硬件升级的第一步是确保在非侵入式的时间内完成升级,并采取适当的安全预防措施。如果升级因某种原因失败,则可能会对组织造成重大损害。
安全预防措施,例如确保 HSM 和 CA 位于高可用性集群中,这可确保如果某个升级失败,其他 CA/HSM 可以在诊断问题时接管。此外,应对 HSM 进行备份,并应通知适当的团队有关 CA 或 HSM 短期内无法连接的可能性。
处理完这些任务后,必须完成某些 HSM 和公钥基础设施任务。应在升级之前生成或更新证书吊销列表 (CRL ) 。这将保护公钥基础设施 (PKI) 在诊断和修复问题时免受升级过程中可能出现的任何问题的影响。以下步骤是如何从 Microsoft PKI 颁发 CRL 的示例。
右键单击已吊销的证书文件夹,然后选择“所有任务”和“发布”
然后,选择 CRL 并发布。
最后,要检查 CRL 是否已正确续订,请打开命令提示符并运行 PKIView.msc,展开“颁发 CA”选项卡并检查 CDP 点的到期日期。
此外,还必须有一个系统能够将软件包传输到HSM进行升级。这包括必须到位的任何防火墙规则,以允许将软件包传输到 HSM。如果该步骤不可能,团队成员必须使用交叉电缆直接物理访问 HSM,以允许将软件包传输到 HSM 进行升级。
计划升级 HSM 时,拥有正确的路径非常重要。确保满足所有先决条件并成为您计划的一部分应该是您的第一步。之后,应确定正确的升级路径。这意味着,如果您使用的是非常旧版本的 HSM 软件(例如 6.0),则必须执行特定路径才能获取最新版本的软件。
不能直接从6.0版本升级到7.7版本,必须先升级到6.5版本,然后升级到7.0版本,然后才能升级到7.7版本。这只是升级路径的一个示例。
最后,应制定回滚计划,以便在软件升级失败时,您可以回滚到 HSM 的正确版本。另外,在升级之前应该已经设计好灾难恢复计划,就像升级时出现重大问题一样,需要恢复HSM。
既然先决步骤已经完成,我们可以专注于实际的升级本身。本节重点介绍如果网络已正确设置 HSM 并且您有可以访问 HSM 以传输升级文件的客户端或系统,则升级过程。如果您需要使用交叉电缆方法,请跳至下一节。以下是升级 HSM 软件和固件所需的一系列步骤。
是确保在非侵入式的时间内完成升级,并采取适当的安全预防措施。如果升级因某种原因失败,则可能会对组织造成重大损害。
安全预防措施,例如确保 HSM 和 CA 位于高可用性集群中,这可确保如果某个升级失败,其他 CA/HSM 可以在诊断问题时接管。此外,应对 HSM 进行备份,并应通知适当的团队有关 CA 或 HSM 短期内无法连接的可能性。
处理完这些任务后,必须完成某些 HSM 和公钥基础设施任务。应在升级之前生成或更新证书吊销列表 (CRL ) 。这将保护公钥基础设施 (PKI) 在诊断和修复问题时免受升级过程中可能出现的任何问题的影响。以下步骤是如何从 Microsoft PKI 颁发 CRL 的示例。
右键单击已吊销的证书文件夹,然后选择“所有任务”和“发布”
本节重点介绍尚未为 HSM 设置网络时的升级过程。如果是这种情况,则需要使用交叉电缆将文件传输到 HSM。这需要直接连接到 HSM。以下是升级 HSM 软件和固件所需的一系列步骤。
将交叉电缆连接到任意 eth 端口。
在计算机上设置 IP 地址:控制面板 > 网络和 Internet > 网络和共享中心 > 左键单击以太网连接 > 属性 > Internet 协议版本 4 (TCP/IPv4)。选择“属性”按钮并更新计算机的静态 IP 地址。使用下面的图像作为指导。
以管理员身份串行连接到 HSM:
解压该文件,您应该会看到其中的四个文件:
以管理员身份连续重新登录 HSM:
验证固件是否已升级:lunash:> hsm show
现在 HSM 的固件和软件均已升级,需要执行一些升级后任务。首先,我们必须通过 SSH 重新登录HSM,并使用以下命令检查升级是否成功:Lunash>: Hsm show
升级HSM后的另一个重要步骤是颁发CRL,以确保升级过程后可以正确部署CRL。
右键单击已吊销的证书文件夹,然后选择“所有任务”和“发布”
然后,选择 CRL 并发布。
最后,要检查 CRL 是否已正确续订,请打开命令提示符并运行 PKIView.msc,展开“颁发 CA”选项卡并检查 CDP 点的到期日期。
除了这些特定的升级后任务之外,还有许多不同的任务应在使用的 HSM 的生命周期内持续完成。监控 HSM 是一项必须始终完成的重要任务。
负责 HSM 的团队应该确保每天不会出现影响生产服务的中断。此外,HSM 监控团队还应及时了解泰雷兹发布的 HSM 软件和固件的最新版本。这将确保使用中的 HSM 始终使用Thales可能提供的最新安全补丁和错误修复进行升级。
如您所见,升级 Thales Network HSM的过程并不像看起来那么困难。每当您需要升级软件或固件时,都可以遵循这些步骤,只需对先决条件和升级后步骤进行细微更改,具体取决于可能与您的 HSM 集成的应用程序或其他基础设施部分的类型。
如果您需要 HSM 配置、DR 规划或应用程序登录到 HSM,请联系我们揽阁信息。我们作为Thales的合作伙伴,多年来已为众多客户提供了Thales各种HSM、CipherTrust数据安全平台(CDSP)、身份认证等产品,基于这些产品为客户定制的解决方案也已被客户采纳和实施。
联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:
数据库访问控制:揽阁LGPAC系统
通用HSM:Luna HSM、ProtectServer HSM
支付HSM:payShield 10K
您还可以得到揽阁信息所提供的优质服务。
揽阁信息 · 值得您信赖的信息安全顾问!