HSMの一般的なワークフロー

このセクションでは、HSM環境における一般的なワークフローを紹介します。

HSM を使用するための Check Point Security Gateway の設定ワークフロー

HSMと連携する必要があるSecurity Gateway / クラスタ冗長構成で連携する2つ以上のセキュリティゲートウェイ（ハイアベイラビリティまたは負荷分散）をクラスタ化します。メンバ / Scalable Platform Security Groupでは、以下の手順で作業を行ってください。

注：特定のHSMベンダーに関する説明は、対応するセクションに記載されています。

ジェネリックステップ1/3。HTTPSインスペクションをHSMサーバなしで動作させるための設定

重要：

クラスタでは、すべてのクラスタメンバを同じ方法で設定する必要があります。
VSX 仮想システム拡張。Check Point Security Gatewayおよびその他のネットワークデバイスの仮想抽象化を備えたコンピュータまたはクラスタでホストされるCheckPoint仮想ネットワークソリューション。これらの仮想デバイスは、物理的な対応デバイスと同じ機能を提供します。環境では、each バーチャルシステム（VSX ゲートウェイまたはeach VSX クラスタメンバ）のコンテキストでこのステップを実行する必要があります。
Scalable Platforms (MaestroおよびChassis) では、該当するセキュリティーグループの Gaia Portal Check Point Gaiaオペレーティングシステム用のWebインタフェース。に接続する必要があります。。

ステップ手順

SmartConsole Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。で、HTTPSインスペクション Secure Sockets Layer (SSL) プロトコルによって暗号化されたトラフィックにマルウェアや疑わしいパターンがないか検査する、セキュリティゲートウェイの機能。同義語:SSL 検査。頭字語：HTTPSI、httpSi。の設定を行います。

R81.10 Security Management Administration Guide > 章HTTPS Inspection をご覧ください。

Security Gateway /each クラスタメンバ / Security Group で、$FWDIR/conf/hsm_configuration.C ファイルで HSM を無効化します。

コマンドラインに接続します。
エキスパートモード CheckPoint Gaiaオペレーティングシステムで完全なシステムルート権限を付与する完全なコマンドラインシェルの名前。にログインします。

ファイルを編集します。

vi $FWDIR/conf/hsm_configuration.C

パラメータ"enabled"に値"no"を設定する。

:enabled ("no")

変更内容をファイルに保存し、エディタを終了します。

Scalable Platform Security Group上で、ファイルをすべてのSecurity Groupメンバにコピーします。

asg_cp2blades $FWDIR/conf/hsm_configuration.C

Security Gateway /each Cluster Member / Security Groupにおいて、Check Pointのサービスを再起動します。

cprestart

重要- サービスが開始されるまで、トラフィックは流れてきません。

HTTPS InspectionがHSMサーバなしで正しく機能することを確認します。

社内のコンピュータから、任意のHTTPSのWebサイトに接続します。
内部コンピュータのWebブラウザで、Security Gateway / Clusterから署名されたCA証明書を受信する必要があります。

ジェネリックステップ2/3。HSMベンダーの提供するPKCS#11ライブラリのインストールと設定

重要：

クラスタでは、すべてのクラスタメンバを同じ方法で設定する必要があります。
VSX 環境では、この手順は VSX ゲートウェイまたはeach VSX クラスタメンバのコンテキスト（VS 0 のコンテキスト）で実行する必要があります。
Scalable Platforms (MaestroおよびChassis) では、該当するセキュリティーグループの Gaia Portal に接続する必要があります。。
HSMクライアントパッケージは、HSMベンダーから入手する必要があります。

ステップ手順

HSMベンダーが提供するHSMクライアントパッケージを解凍し、インストールします。

必要なPKCS#11ライブラリファイルを、/usr/lib/hsm_client/ ディレクトリに転送します。

重要- セキュリティ上の理由から、rootユーザのみがこのディレクトリにアクセスする権限を持っています。

このディレクトリに物理ファイルを転送する必要があります。シンボリックリンクは作成しないでください。

PKCS#11 ライブラリを構成するために必要な、HSM ベンダーが提供するその他のツールまたはファイルを転送します。

HSMサーバとの必要な接続または信頼関係を設定します。

オプション:PKCS#11ライブラリに基づくHSMサーバとの信頼できるリンクがあることを確認します。

注 - HSMベンダーが提供する適切なツールを使用してください。また、Check Point のコマンド "cpstat" を使用して信頼関係を調べることも可能です）。

ジェネリックステップ3/3。アウトバウンドHTTPSインスペクションをHSMサーバで動作させるための設定

重要：

クラスタでは、すべてのクラスタメンバを同じ方法で設定する必要があります。
VSX 環境では、each バーチャルシステム（VSX ゲートウェイ /each VSX クラスタメンバ / セキュリティグループ上）のコンテキストでこの手順を実行する必要があります。

注:

このステップでは、Security Gateway /each Cluster Member / Security Group 上の$FWDIR/conf/hsm_configuration.C ファイルを設定します。
HSMの設定を初めて適用した後、HSM接続エラーが発生することがあります。

最も一般的なシナリオは、複数のセキュリティゲートウェイ Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。/クラスタメンバ/セキュリティグループが同じHSMサーバを使用するように設定し、それらが同時にアクセスする場合です。

この場合
1. HSM接続に問題があるSecurity Gateway / クラスタメンバ / Security Group上で"cprestart"コマンドを実行します。
  
  VSX環境では、問題のあるVSXバーチャルシステムのコンテキストで、このコマンドを実行します。
2. 画面に「HSM on 」と表示されたら、次のセキュリティゲートウェイ/クラスタメンバ/セキュリティグループ Active/Activeクラスタ機能を提供するセキュリティアプライアンス（Maestro）/セキュリティゲートウェイモジュール（Scalable Chassis）の論理グループです。セキュリティグループには、1つまたは複数のセキュリティアプライアンス/セキュリティゲートウェイモジュールを含めることができます。セキュリティグループは、互いに別々に独立して機能します。本番ネットワークには、セキュリティグループが1つのセキュリティゲートウェイとして表示されます。Maestroでは、各Security Groupには、以下のものが含まれます。(A) 本番ネットワークが接続されているアップリンクポート、(B) セキュリティアプライアンス（ダウンリンクポートは Quantum Maestro Orchestrator が自動的に決定）、(C) Check Point Management Server が接続されている管理用ポート。/VSXバーチャルシステムの設定を続行します。
$FWDIR/conf/hsm_configuration.C ファイルを変更した後は、以下のいずれかを行う必要があります。
- fw fetch local" コマンドでローカルポリシーを取得します。
- SmartConsoleで、セキュリティゲートウェイ/クラスタ/セキュリティグループ/VSXバーチャルシステムオブジェクトにポリシーをインストールします。
SmartConsoleでローカルポリシーを取得するとき、またはポリシーをインストールするときにHSMサーバが利用できない場合、HTTPS検査は送信HTTPSトラフィックを検査することができません。その結果、Security Gateway / クラスタ / Security Group / VSX Virtual Systemの背後にある内部コンピュータは、HTTPS Webサイトにアクセスできなくなります。

さらに、セキュリティゲートウェイからHSMサーバへの通信の無効化を参照してください。

設定手順。

ステップ手順

Security Gateway、クラスタメンバ、またはSecurity Group のコマンドラインに接続します。

エキスパートモードにログインします。

$FWDIR/conf/hsm_configuration.C ファイルをバックアップする。

Security Gateway /各クラスタメンバ:

cp -v $FWDIR/conf/hsm_configuration.C{,_BKP}

スケーラブルプラットフォームセキュリティグループ:

g_cp -v $FWDIR/conf/hsm_configuration.C{,_BKP}

$FWDIR/conf/hsm_configuration.C ファイルを編集します。

vi $FWDIR/conf/hsm_configuration.C

これらの属性に必要な値を設定する

(HSMベンダーの対応するセクションを参照)。

コピー

(:enabled ("no") # "yes" / "no"
:hsm_vendor_name ("")
:lib_filename ("")
:CA_cert_public_key_handle (0)
:CA_cert_private_key_handle (0)
:CA_cert_buffer_handle (0)
:token_id ("")
)

注:

:enabled ()" 属性は、"yes" (HSMを有効にする) または "no" (HSMを無効にする) のいずれかの値である必要があります。
:hsm_vendor_name ()" 属性には、必要なHSMベンダーの名称を含める必要があります。
:lib_filename ()" 属性には、お使いのHSMベンダーのPKCS#11ライブラリの名前（/usr/lib/hsm_client/ ディレクトリにあります）を指定する必要があります。
":CA_cert_<XXX> ()" 属性は、ハンドルに必要な値でなければならない。
:token_id ()" 属性には、HSM サーバ上のパーティションのパスワードが含まれている必要があります。

例：

コピー

(:enabled ("yes")
:hsm_vendor_name ("FutureX HSM")
:lib_filename ("libfxpkcs11.so")
:CA_cert_public_key_handle (2)
:CA_cert_private_key_handle (1)
:CA_cert_buffer_handle (3)
:token_id ("safest")
)

Scalable Platform Security Group上で、ファイルをすべてのSecurity Groupメンバにコピーします。

asg_cp2blades $FWDIR/conf/hsm_configuration.C

新しい設定を適用するには、このコマンドを使用してすべてのCheck Pointサービスを再起動します。

cprestart

重要- これは、すべてのサービスが再起動するまで、すべてのトラフィックをブロックします。クラスタでは、フェイルオーバーが発生する可能性があります。

Security Gateway /each クラスタメンバ / Security Group が HSM サーバに接続でき、送信トラフィックで HTTPS Inspection が正常に有効化されていることを確認します。

Security Gateway /各クラスタメンバ:

cpstat https_inspection -f all

スケーラブルプラットフォームセキュリティグループ:

g_all cpstat https_inspection -f all

出力には次が表示される必要があります。

HSM partition access (Accessible/Not Accessible): Accessible
Outbound status (HSM on/HSM off/HSM error): HSM on

詳細については、CLIでのHSMによるHTTPSインスペクションの監視参照してください。

送信トラフィックで HTTPS インスペクションが正常に有効になっていることを確認します。

社内のコンピュータから、任意のHTTPSのWebサイトに接続します。
内部コンピュータのウェブブラウザで、HSMサーバから署名されたCA証明書を受け取る必要があります。

HSMクライアントワークステーションの設定のためのワークフロー

HSMクライアントワークステーションは、外部のコンピュータで、HSMベンダーのHSMクライアントソフトウェアをインストールします。

HSMクライアントワークステーションは、Windows、Linux、またはHSMベンダーの要求するその他のオペレーティングシステムで実行することができます。

HSMクライアントワークステーションを使用して、次のことを行います。

HSMサーバにCA証明書を作成する。

Check Point Security Gateways / クラスタメンバ / Security Group は、HSM サーバ上の SSL 鍵を保存し、アクセスする必要がある場合、この CA 証明書を HTTPS 検査のために使用する。
Check Point Security Gateway / クラスタメンバ / Security Group で作成された偽の証明書のキーを管理します。

重要- HSMクライアントパッケージは、HSMベンダーから入手する必要があります。