Oracle Key Vaultの使用を開始する前に、その目的、利点、対象ユーザー、主要機能、インタフェース、およびKey Vaultの一般的な使用手順について理解する必要があります。
トピック:
Oracle Key Vaultを使用すると、暗号化鍵、Oracle Wallet、Javaキーストア(JKS)、Java Cryptography Extensionキーストア(JCEKS)および資格証明ファイルの集中管理によって、暗号化などのセキュリティ・ソリューションを短時間でデプロイできます。
Oracle Key Vaultは、Oracle Advanced Security Transparent Data Encryption (TDE)マスター・キーの管理用に最適化されています。フルスタックで強固なセキュリティを備えたOracle Key Vaultソフトウェア・アプライアンスでは、Oracle LinuxテクノロジとOracle Databaseテクノロジを使用してセキュリティ、可用性およびスケーラビリティを実現しています。この集中方式は、鍵、ウォレットおよびキーストアの使用増大による問題への対処として、それらが誤って失われるのを防ぐとともに、暗号化されたデータの長期保持とリストアを可能にします。
Oracle Key VaultはOracleのデータベースとアプリケーション・サーバーをサポートしており、業界標準のOASIS Key Management Interoperability Protocol(KMIP)に準拠することでKMIPベースのクライアントとの互換性を確保します。
関連項目:
|
Oracle Key Vaultは、企業全体におよぶセキュアな鍵管理プラットフォームを実現するもので、短時間で効率的に暗号化をデプロイして、データ・センターで増大し続ける暗号化使用のニーズに対処します。
Oracle Key Vaultには、次の利点があります。
暗号化鍵、資格証明ファイル、Oracle WalletとJavaキーストアを安全に格納、管理する中央プラットフォーム。この中央プラットフォームにより、次のことを実現できます。
すべてのエンドポイントに対して、作成、ローテーション、および削除など、鍵のライフサイクルを管理します。セキュリティ・オブジェクトへのアクセスを複数のエンドポイント間で共有することもできます。データベース、ミドルウェアなど、Oracle Key Vaultで管理する鍵を含むデータ・ソースをエンドポイントにできます。
パスワードを忘れたり、ウォレットとキーストアを誤って削除したりしたために、鍵やウォレットを失うことがなくなります。
エンドポイントのエンロールやプロビジョニング(Oracle Key Vaultとエンドポイントの間での接続の構成)が容易です。エンドポイント・プロビジョニングでは、必要なすべてのソフトウェア・バイナリと構成ファイル、およびOracle Key Vaultと相互に認証された接続のために必要なエンドポイント証明書が含まれる単一のパッケージを使用します。
他のOracle製品との連携機能: Oracle Key Vaultは、TDEの他に、Oracle Real Application Clusters (Oracle RAC)、Oracle Active Data GuardおよびOracle GoldenGateと連携できます。Oracle Key Vaultでは、Oracle Data PumpとOracle Databaseのトランスポータブル表領域の機能を使用して、暗号化データを簡単に移動できます。
図1-1に、Oracle Key Vault環境を示します。
図1-1 Oracle Key Vaultにおける、エンドポイントの鍵、機密情報およびウォレットの管理
図1-1中央のOracle Key Vaultは、セキュリティ・オブジェクトとバックアップ・デバイスを格納および管理します。連携するコンポーネントは次のとおりです。
Transparent Data Encryptionは、TDEを使用するように構成された表および表領域を持つOracle Databaseを指します。
他のキーストア・ファイルは、エンドポイントからOracle Key Vaultにアップロードしたか、Key VaultからエンドポイントにダウンロードしたJCEKSキーストアです。
管理コンソールはOracle Key Vaultのグラフィカル・ユーザー・インタフェースを指しており、そこにログインしてKey Vaultにアップロードするオブジェクトを管理します。
アプライアンス・バックアップは、Oracle Key Vaultデータ用のバックアップ・デバイスを指します。高可用性環境用に構成します。
Oracle WalletおよびJavaキーストアは、Oracle Key Vaultにアップロードし、エンドポイントにダウンロードするウォレットとキーストアを指します。
セキュリティ・オブジェクトの管理を担当するユーザーには、Oracle Key Vaultの使用をお薦めします。
そうしたユーザーとしては、データベース管理者、IT担当者、システム管理者、セキュリティ管理者の他に、データベース・サーバー、アプリケーション・サーバー、オペレーティング・システムや、Oracle Wallet、暗号化鍵、Javaキーストア、資格証明ファイルおよび証明書を管理するその他のシステムを担当する情報セキュリティ担当者が考えられます。
Oracle Key Vaultはその性質上、比較的堅固な統合を提供するため、Oracle DatabaseにおよびOracle Databaseと対話するサーバーを担当するユーザーも含まれます。これらのシステムでは、場合により、暗号化鍵とウォレットの管理を簡素にする必要があります。
Oracle Key Vaultは、Oracle Advanced Security TDEと容易に統合できるように設計されてはいますが、OASIS KMIPをサポートするエンドポイントとも互換性があります。
Oracle Key Vaultは、鍵管理のセキュリティを強化するために設計された多くの機能(鍵、ウォレット、キーストアおよび資格証明ファイルの集中管理など)を提供します。
トピック:
Oracle Key Vaultは、最新式の、セキュアで強固な鍵管理プラットフォームで鍵を集中管理します。これにより、鍵のセキュリティ確保、共有、管理をすべて1箇所で行うことができます。
次の種類のセキュリティ・オブジェクトを集中管理できます。
TDEマスター・キー
透過的データ暗号化(TDE)を使用するOracle Databaseでは、Oracle Key Vaultは、ローカル・ウォレット・ファイルの使用にかわり、ネットワークの直接接続を介してTDEマスター・キーを管理します。Oracle Key Vaultに格納された鍵は、エンドポイント・アクセス制御の設定に従って、データベース全体で共有できます。ローカル・ウォレット・コピーを使用しないこの鍵共有方式は、TDEがOracle RAC、Oracle Active Data Guard、Oracle GoldenGateなどのデータベース・クラスタ上で実行されている場合に有効です。Oracle Databaseで既存の暗号化データに使用されているマスター・キーは、Oracle WalletからOracle Key Vaultに簡単に移行できます。Oracle Key Vaultは、Oracle Database 11gリリース2とOracle Database 12cで、TDEとOracle Key Vaultの間の直接接続をサポートしています。
Oracle WalletとJavaキーストア
Oracle WalletとJavaキーストアは、多くの場合、複数のサーバーやサーバー・クラスタに広く配布され、それらのファイルのバックアップと配布は手動で実行されます。Oracle Key Vaultはこれらのファイルの内容を項目別にマスター・リポジトリに格納し、サーバー・エンドポイントがOracle Key Vaultから切断されている間もローカル・コピーを使用して操作を続行できるようにします。ウォレットとキーストアのアーカイブ後は、ローカル・コピーを誤って削除したりパスワードを忘れたりしても、サーバー上に回復することができます。Oracle Key Vaultでは、複数のデータベース・クラスタ(Oracle RAC、Oracle Active Data Guard、Oracle GoldenGateなど)にわたるウォレットの共有が効率化されます。ウォレットを共有すると、Oracle Data PumpとOracle Databaseのトランスポータブル表領域の機能を使用して、暗号化データを簡単に移動することもできます。Oracle Key Vaultでは、Oracleミドルウェア製品とOracle Databaseの、サポートされているすべてのリリースのOracle Walletを使用できます。
資格証明ファイルのバックアップ
セキュア・シェル(SSH)キー、Kerberosキータブおよび類似のキーを含んでいる資格証明ファイルは、適切な保護メカニズムなしで広く配布されることがよくあります。Oracle Key Vaultでは、長期保持とリカバリのために資格証明ファイルがバックアップされます。Oracle Key Vaultでは、必要に応じてこれらのファイルを簡単に回復したり、それらへのアクセスを監査したり、信頼できるサーバー・エンドポイントにわたって共有したりできます。
鍵のライフサイクル・ステージの管理には、ユーザーにキーワードのローテーションを思い出させるなどのアクティビティが含まれます。
鍵とパスワードを作成する大部分のシステム(TDEなど)には、コンプライアンスを満たすためのキー・ローテーション要件をユーザーに思い出させるメカニズムがありませんが、Oracle Key Vaultには用意されています。Oracle Key Vaultを使用すると、鍵のライフサイクル(作成、ローテーションおよび失効)を追跡するポリシーを作成し、鍵またはパスワードが有効期限に近づくとアラートを発行するようにできます。Oracle Key Vaultレポートを使用して、鍵が期限切れになっていない(つまり、鍵が適切なスケジュールでローテーションされる)ことを確認できます。
クレジット・カード業界データ・セキュリティ基準(PCI DSS)などの標準には暗号化鍵とパスワードの最大の有効期間について固有の要件があるため、ライフサイクルの追跡は非常に重要です。
Oracle Key Vaultには、レポート機能とアラート機能があります。
レポート機能
Oracle Key Vaultには、監査レポートと管理レポートが用意されています。監査レポートには、ユーザーが実行する処理とその処理の結果が記録されます。管理レポートには、ウォレットへのアクセス、鍵の非アクティブ化や失効、エンドポイント証明書の失効、およびユーザー・パスワードの失効日に関する情報が記録されます。
アラート機能
キー・ローテーション、エンドポイント証明書の失効、ユーザー・パスワードの失効、ディスク領域、システム・バックアップおよび高可用イベントについてアラートを構成できます。Oracle Key Vaultサーバーに関するアラートをsyslogに送信して外部モニタリングを許可するように選択できます。
セキュリティを向上するため、Oracle Key Vaultは、それを使用する任意のユーザーの義務を分離するように設計されています。
Oracle Key Vaultには、個別のタスクに対応して、鍵管理者ロール、システム管理者ロールおよび監査マネージャ(Audit Manager)ロールの3つのロールがあります。Oracle Key Vaultとエンドポイントの間でのセキュリティ・オブジェクトのアップロードやダウンロードを担当するユーザーは、エンドポイント管理者と呼ばれます。
障害発生時にOracle Key Vaultがセキュリティ・オブジェクトにアクセスできるように、高可用性環境向けにOracle Key Vaultを構成できます。
高可用性構成の場合、2ノードのクラスタに、2台のOracle Key Vaultアプライアンスをデプロイできます。プライマリ・アプライアンスは、エンドポイントからのリクエストにサービスを提供します。プライマリ・アプライアンスで障害が発生した場合、プリセットされた遅延の後にスタンバイ・アプライアンスが引き継ぎます。プリセットされた遅延によって、ノード間に一時的な通信上の問題がある場合に、スタンバイ・アプライアンスが早まって引き継がないようにします。
Oracle Key Vaultでは、高可用性デプロイメントでのプライマリ・ノードとスタンバイ・ノードの間のデータ同期にOracle Data Guardが使用されます。
Oracle Key Vaultでは、鍵、証明書、パスワードなど、すべてのセキュリティ・オブジェクトをバックアップできます。バックアップは暗号化されます。
Oracle Key Vaultでは、リモート宛先にバックアップを安全に格納できます。それにより、元のアプライアンスでリカバリ不能なエラーが発生した場合に、バックアップを新しいアプライアンスにリストアできます。このため、致命的な障害のため元のアプライアンスを交換する必要がある場合、Oracle Key Vaultは、バックアップに反映されている以前の状態を、同じOracle Key Vaultアプライアンスまたは新しいものにリストアできます。
Oracle Key Vaultは、セキュア・コピー・プロトコル(SCP)を実装しているリモートの場所に、バックアップ・ファイルを転送できます。
システム管理者ロールを付与されたユーザーは、Oracle Key Vaultで次のバックアップおよびリストア・タスクを実行できます。
リモートのバックアップ場所の設定と変更。このタスクは、暗号化されたバックアップ・メディアを、事前に構成されたスケジュールに従ってリモート場所に自動的に転送します。
現在のバックアップ・スケジュールの設定、変更、または無効化。
1回限りのバックアップの即時開始。
今後の1回限りのバックアップのスケジューリング。
Oracle Key Vaultはホット・バックアップ・モードでバックアップを実行するため、バックアップの作成中もシステムの動作は中断されません。
デプロイメントが動作保証される以前のリリースおよびプラットフォームを対象とするOracle Key Vaultの互換性について意識する必要があります。
互換性
Oracle Database 11gリリース2以降では、Oracle Key Vaultを使用した場合、データベースへのパッチを必要とせずにTDEマスター・キーを格納できます。
デプロイメント
Oracle Linux x86-64システムにOracle Key Vaultをデプロイできます。Oracle Key Vaultは、Oracle LinuxおよびOracle Solarisシステム上のエンドポイントとともに使用できます。
OASIS Key Management Interoperability Protocol (KMIP)は、異なるベンダーが提供する鍵管理サーバーとエンドポイントの間の鍵管理操作を標準化するものです。
Oracle Key Vaultは、次のOASIS KMIP Version 1.1プロファイルを実装します。
Basic Discover Versions Server Profile: エンドポイントにサーバー・バージョンを提供します。
Basic Baseline Server KMIP Profile: サーバーからオブジェクトを取得するためのコア機能を提供します。
Basic Secret Data Server KMIP Profile: サーバー上で機密情報データ(パスワードなど)を作成、格納、および取得する機能をエンドポイントに提供します。
Basic Symmetric Key Store and Server KMIP Profile: サーバー上で対称暗号化鍵を格納および取得する機能をエンドポイントに提供します。
Basic Symmetric Key Foundry and Server KMIP Profile: サーバー上に新しい対称暗号化鍵を作成する機能をエンドポイントに提供します。
Oracle Key Vaultには、2つのインタフェースがあります。1つは管理コンソール、もう1つはセキュリティ・オブジェクトをアップロードおよび取得するためのエンドポイント・コマンドライン・ユーティリティです。
Oracle Key Vault管理コンソール
Oracle Key Vault管理コンソールはブラウザ・ベースのグラフィカル・ユーザー・インタフェースで、(ロールとアクセス権により異なりますが)Oracle Key Vault管理者はこれを使用して、エンドポイント、ウォレット、ユーザーおよびレポートの管理と、高可用性、バックアップおよびリカバリの構成を行えます。表示される情報は、ログインしているユーザーのタイプ(このユーザーが持っているまたは持っていないロール)により異なります。
Oracle Key Vault okvutil
エンドポイント・ユーティリティ
Oracle Key Vaultとエンドポイントの間でセキュリティ・オブジェクトをアップロードおよびダウンロードするには、okvutil
コマンドライン・ユーティリティをエンドポイントから使用します。たとえば、1つのエンドポイントからOracle Key VaultにOracle Walletをアップロードし、その後で異なるエンドポイントにこのウォレットをダウンロードすることができます。okvutil
ユーティリティは、相互に認証されたセキュアな接続を使用してOracle Key Vaultと通信します。
Oracle Key Vaultを使用する場合、次の一般的な手順のセットに従うことをお薦めします。
Oracle Key Vaultを使用するための概念情報が記載された第2章「Oracle Key Vaultの概念」を読みます。
Oracle Key Vaultをインストールして構成します。
独自の専用サーバーにOracle Key Vaultをインストールします。構成プロセスには、ユーザー・アカウントの作成または指定、IPアドレスとリカバリ・パスフレーズの設定、およびオプションで、システム時間とDomain Name Service (DNS)セットアップの構成が含まれます。
詳細は、第3章「Oracle Key Vaultのインストールと構成」を参照してください。
使用するOracle Key Vaultエンドポイント用に高可用性環境を構成します(オプション)。このタスクは、システム管理者ロールを持っているOracle Key Vaultユーザーが実行します。
注意: 高可用性環境に各Oracle Key Vaultサーバーをインストールするためには、個別のライセンスが必要です。 |
高可用性環境では、プライマリ構成とスタンバイ構成に、2台のOracle Key Vaultアプライアンスをデプロイすることをお薦めします。
詳細は、「Oracle Key Vault用の高可用性構成」を参照してください。
Oracle Key Vaultの日常的なタスクを管理するユーザーを作成します。
インストール・プロセスでユーザー・アカウントを作成しますが、サイトの要件によっては、Oracle Key Vaultタスクを処理する追加のユーザー・アカウントを構成する必要がある場合もあります。必要に応じて、特定のセキュリティ・オブジェクトを管理する権限を個々のユーザーに割り当てることができます。
詳細は第5章「Oracle Key Vaultユーザーの管理」を参照してください。
Oracle Key Vaultを使用してセキュリティ・オブジェクトを格納できるように、エンドポイントを追加します。
エンドポイントとは、様々な暗号操作のためにセキュリティ・オブジェクトを使用するシステム(Oracle Databaseなど)です。
詳細は第6章「Oracle Key Vaultエンドポイントの管理」を参照してください。
Oracle Key Vaultの仮想ウォレットを管理します。
仮想ウォレットとは、エンドポイントからアップロードするセキュリティ・オブジェクトのための、Oracle Key Vaultにあるコンテナです。
詳細は、第7章「Oracle Key Vault仮想ウォレットとセキュリティ・オブジェクトの管理」を参照してください。
エンドポイントをエンロールし、続いてエンドポイントとOracle Key Vaultの間でセキュリティ・オブジェクトをアップロードまたはダウンロードします。
この手順では、鍵、資格証明およびその他のセキュアなデータを含むデータベースまたはその他のエンドポイントをOracle Key Vaultに登録します。エンドポイントを担当するユーザー(エンドポイント管理者)は、セキュリティ・オブジェクトをアップロードおよびダウンロードします。
エンドポイントのエンロールの詳細は、第8章「Oracle Key Vaultエンドポイントの使用」を参照してください。
エンドポイント・データを管理します。
この手順では、Oracle Key Vaultとエンドポイントの間でデータ(Oracle Wallet、Javaキーストア、資格証明ファイルなど)をアップロードおよびダウンロードします。
詳細は、第9章「Oracle Key Vaultのユースケース・シナリオ」を参照してください。
定期メンテナンス・タスクを実行します。
タスクにより異なりますが、鍵管理者、システム管理者または監査マネージャのロールを持っているユーザーが、定期メンテナンス・タスクを実行します。
詳細は、第10章「一般的なOracle Key Vaultの管理」を参照してください。