暗号化鍵の管理

アプライアンスには、組み込みのローカルキーストアと Oracle Key Manager (OKM) システムに接続する機能が含まれています。各暗号化プロジェクトまたはシェアでは、ローカルキーストアまたは OKM キーストアからのラッピング鍵が必要とされます。データ暗号化鍵はストレージアプライアンスによって管理され、ローカルまたは OKM キーストアからのラッピング鍵によって暗号化された状態で永続的に保存されます。

包括的な鍵管理システム (KMS) である OKM は、企業の間で急速にニーズが高まっているストレージベースのデータ暗号化に対応するものです。この機能はオープンな標準に準拠するように設計されており、広範囲に分散した異機種混在ストレージインフラストラクチャーにおける暗号鍵を集中管理するためのキャパシティー、スケーラビリティー、相互運用性を提供します。

OKM はストレージ鍵管理における特有の課題を解決します。

• 長期間の鍵保持 – OKM ではアーカイブデータをいつでも使用できるようになります。データのライフサイクルが終了するまで OKM が暗号化鍵を安全に保持します。

• 相互運用性 – OKM は、単一のストレージ鍵管理システム下で、メインフレームやオープンシステムに接続されたさまざまなストレージデバイスをサポートするための相互運用性を提供します。

• 高可用性 – アプライアンスが同じ場所にある場合でも世界中に分散している場合でも、アクティブな N ノードクラスタリング、動的な負荷分散、および自動化されたフェイルオーバーを使用する高可用性を提供します。

• 大容量 – 大量のストレージデバイスと、さらに多くのストレージ鍵を管理します。クラスタ化されたアプライアンス 1 つで、数千ものストレージデバイスと数百万ものストレージ鍵を対象にした鍵管理サービスを提供できます。

• 柔軟な鍵構成 - OKM クラスタごとに、鍵を自動で生成したり、ローカルキーストアまたは OKM キーストアに対して個別に作成したりできます。セキュリティー管理者は、キーストアと組み合わせたときに、特定のラッピング鍵をプロジェクトまたはシェアと関連付ける鍵名を提供します。

鍵の管理

非アクティブの状態の OKM 鍵を使用するシェアおよびプロジェクトはアクセス可能なままになります。OKM 鍵を使用されないようにするには、OKM 管理者はこの鍵を明示的に削除する必要があります。

暗号化されたシェアおよびプロジェクトを確実にアクセス可能にするには、アプライアンス構成およびローカルキーストアの鍵の値をバックアップします。鍵が使用不可能になった場合、それらの鍵を使用するシェアまたはプロジェクトはアクセスできなくなります。プロジェクトの鍵が使用できない場合、新しいシェアをそのプロジェクトに作成できなくなります。

鍵は次のような場合に使用不可能になります。

• 鍵の削除

• 暗号化をサポートしていないリリースへのロールバック

• 鍵が構成されていないリリースへのロールバック

• 出荷時リセット

• OKM サーバーが使用できない (OKM 鍵)