OKM assure la sécurité des données en chiffrant les données stockées (chiffrement basé sur périphérique). Cette solution crée, stocke et gère les clés de chiffrement. OKM prend en charge les systèmes ouverts et les plates-formes d'entreprise.
Les sections suivantes décrivent les concepts et les composants de la solution OKM.
OKM repose sur les normes sectorielles suivantes :
FIPS PUB 140-2, Security Requirements for Cryptographic ModulesFIPS PUB 46-3, Data Encryption StandardFIPS PUB 171, Key Management
NIST 800-57 Part 1, Recommendations for Key Management
IEEE 1619.1 Standard for Tape Encryption (texte complet) IEEE 1619.2 Standard for Disk Encryption (en cours d'élaboration) IEEE 1619.3 Standard for Key Management (en cours d'élaboration)
Critères communs (CC)
Techniques de sécurité ISO/IEC 1779
Chiffrement CCM–AES-256
Chiffrement symétrique
Nonce
Suite de chiffrement (TLS 1.0, RSA 2048 bits, SHA1, HMAC)
KMA est un serveur à sécurité renforcée qui assure l'authentification, le contrôle d'accès, des services d'allocation de clés et la gestion des clés du cycle de vie sur la base de stratégies. Le serveur KMA s'assure que tous les périphériques de stockage sont enregistrés et authentifiés et que toutes les créations, allocations et suppressions de clés de chiffrement sont conformes aux stratégies établies.
OKM 3.0 prend en charge Solaris 11 sur le serveur Netra SPARC T4-1. La version OKM de ce serveur inclut :
Un processeur SPARC T4 4 coeurs à 2,85 GHz
32 Go de DRAM (quatre DIMM de 8 Go)
Disque dur 2,5" SAS de 600 Go, 10 000 TPM
4 ports Gigabit Ethernet
Alimentations électriques redondantes
5 emplacements de cartes PCIe Gen 2 (8 voies chacune)
Lecteur de DVD (désactivé - non utilisé avec OKM)
Pour connaître les autres caractéristiques du serveur, notamment les exigences en termes d'environnement et d'alimentation, voir :
OKM 2.x prend en charge Solaris 10 sous Sun Fire X2100 M2, X2200 M2 et X4170 M2.
Remarque:
Les KMA Sun Fire ne peuvent pas être mis à niveau vers OKM 3.0, mais peuvent communiquer avec les KMA OKM 3.0 qui se trouvent dans le même cluster. Les KMA OKM 3.0 peuvent rejoindre un cluster OKM 2.x existant à l'aide d'un KMA exécutant KMS 2.2 ou supérieur.Les KMA peuvent être installés dans les armoires ou les racks à quatre montants RETMA 19 pouces standard. Les racks à deux montants ne sont pas pris en charge.
Remarque:
La bibliothèque SL8500 peut accueillir quatre racks de 19 pouces. Pour plus d'informations, reportez-vous au Guide d'assurance des systèmes StorageTek SL8500.Les rails coulissants sont compatibles avec les racks respectant les normes suivantes :
Ouverture horizontale et insertion verticale d'unités conformes aux normes ANSI/EIA 310-D-1992 ou IEC 60927.
Distance entre les plans de montage avant et arrière comprise entre 610 mm et 915 mm (24 à 36 pouces).
Espace libre minimal devant la porte avant de l'armoire de 25,4 mm (1 pouce).
Espace libre minimal derrière la porte arrière de l'armoire de 800 mm (31,5 pouces) pour intégrer la gestion des câbles ou de 700 mm (27,5 pouces) sans gestion des câbles.
Espace libre minimal entre les supports structurels et les chemins de câbles et entre les plans avant et arrière de 456 mm (18 pouces).
La carte Sun Cryptographic Accelerator (SCA6000) disponible en option est destinée à la prise en charge des fonctions administratives et de traitement cryptographique requises pour la conformité FIPS. Il s'agit d'un module de sécurité matérielle FIPS 140-2 de niveau 3.
Vous pouvez utiliser l'interface GUI d'OKM pour configurer et gérer OKM. Cette interface s'exécute sur une station de travail fournie par le client et communique avec les KMA sur un réseau IP. Vous n'avez pas besoin de droits d'administrateur (sous Windows) ou racine (sous Solaris) pour installer et exécuter l'interface GUI.
Plates-formes prises en charge
Solaris 10 10/09 (mise à jour 8) x86
Solaris 10 9/10 (mise à jour 9) SPARC
Solaris 10 9/10 (mise à jour 9) x86
Microsoft Windows 7 Professionnel
Microsoft Windows 7 Entreprise
Microsoft Windows Vista Professionnel
Microsoft Windows XP Professionnel Version 2002
Microsoft Windows XP Professionnel
Microsoft Windows Server 2008 Version 6.0
Microsoft Windows Server 2003 R2 édition Standard
Microsoft Windows Server 2003
Deux utilitaires de l'interface de ligne de commande (CLI) prennent en charge un sous-ensemble de fonctions identiques à celles de l'interface GUI d'OKM. Ces utilitaires permettent d'automatiser différentes tâches, telles que la sauvegarde, l'exportation de clés et la création de rapports d'audit.
Un cluster est un ensemble complet de KMA dans un système. Tous les KMA se reconnaissent les uns les autres et répliquent mutuellement la totalité de leurs informations. Le cluster fournit des lecteurs de bande pouvant sélectionner des KMA pour extraire des composants de clés.
Un cluster peut contenir deuxNote de bas de page 1 KMA au minimum et 20 KMA au maximum.
Les nouvelles clés générées sur n'importe quel site sont répliquées sur tous les KMA du cluster.
Toutes les modifications administratives sont propagées à tous les autres KMA du cluster.
Prenez en compte la taille du cluster lors de la conception du système, afin d'assurer une disponibilité optimale.
Plusieurs KMA peuvent être inclus dans un cluster sur un réseau étendu dédié, privé ou local.
Tout KMA inclus dans un cluster peut offrir des services à tout agent sur le réseau.
N'importe quel KMA peut être utilisé pour les fonctions d'administration.
Remarque:
Les KMA d'un cluster ne reconnaissent pas les KMA des autres clusters.Les lecteurs de bande extraient les clés à partir du cluster de KMA à travers la détection, l'équilibrage de charge et le basculement.
Les lecteurs de bande (agents) envoient une demande de découverte de cluster à un KMA. Le KMA qui reçoit la demande de détection de cluster fournit les informations suivantes pour chaque KMA :
Adresses IP (IPv4 et IPv6)
Nom du site
ID du KMA
Nom du KMA
Version du KMA (permet de déterminer la prise en charge FIPS pour les lecteurs de bande pris en charge)
Etat du KMA :
Réponse : indique si le KMA répond sur le réseau
Verrouillé : indique si le KMA est actuellement verrouillé
Les lecteurs de bande extraient régulièrement ces informations dans le cadre d'une opération de bande (lorsque le lecteur de bande est actif) et les demandent toujours lors de l'inscription et à chaque fois que le lecteur est en chargement initial (IPL).
Lorsqu'un lecteur détecte un nouvel état de réponse pour un KMA, il met à jour les informations du cluster en conséquence.
Au cours des opérations normales du lecteur de bande, les lecteurs utilisent leur tableau local d'informations de cluster pour sélectionner un KMA pour l'extraction de clés.
Le lecteur utilise un algorithme pour sélectionner un KMA sur le même site que le lecteur. Si tous les KMA d'un site sont verrouillés ou ne répondent pas, le lecteur de bande tente alors d'accéder à un KMA d'un autre site. Si les KMA d'autres sites sont inaccessibles, la tentative d'extraction des clés finira par expirer, entraînant alors un basculement.
La capacité des lecteurs de bande à basculer vers des sites distants peut améliorer la fiabilité et la disponibilité des lecteurs lorsque les KMA locaux sont indisponibles ou lents à répondre (comme en cas d'expiration du délai d'attente en raison d'importantes charges de travail).
Dans tous les cas où un lecteur de bande ne peut pas communiquer avec l'un des KMA d'un cluster, le lecteur en question utilise un algorithme pour sélectionner un KMA pour une tentative de basculement. Lors de la sélection, les informations du lecteur concernant l'état du cluster sont à nouveau utilisées.
Les lecteurs de bande tente d'effectuer un basculement jusqu'à trois fois avant d'abandonner et de renvoyer une erreur à l'application de bande hôte.
Remarque:
Parfois, un lecteur peut sélectionner un KMA qui ne répond pas pendant une tentative de basculement si tous les autres KMA ne répondent pas. Toutefois, les informations concernant le cluster pouvant être obsolètes, il est possible que le KMA soit en réalité en ligne et qu'il réponde.Les agents sont des extrémités de chiffrement qui utilisent des clés cryptographiques pour chiffrer et déchiffrer les données. Les agents sont des périphériques (des lecteurs de bande, par exemple) qui sont authentifiés auprès d'OKM et obtiennent les composants de clés via une session "sécurisée" (TLS). Les agents communiquent avec les KMA via l'API de l'agent. (L'API de l'agent est un ensemble d'interfaces logicielles incorporées dans le matériel ou le logiciel de l'agent.) Par défaut, les agents sont servis par les KMA locaux, si ceux-ci sont disponibles.
Les agents de lecteurs de bande ne doivent pas se trouver sur des réseaux publics.
Les agents doivent rester connectés au réseau dans l'éventualité où une clé de chiffrement serait nécessaire. Connectez les agents de lecteurs de bande aux KMA sur un réseau de service privé.
Les KMA et les agents peuvent être "regroupés" logiquement pour créer un site, sur lequel les agents font référence aux KMA sur le site auxquels ils sont affectés.
Les unités de données représentent des données chiffrées par des agents. Pour les lecteurs de bande, une unité de données est une cartouche de bande.
Les clés correspondent aux valeurs de clés réelles (composant de clé) et à leurs métadonnées associées.
Les stratégies de clés définissent les paramètres régissant les clés. Cela comprend les paramètres de cycle de vie (tels que la période de chiffrement et la durée de validité) et les paramètres d'exportation/importation (importation autorisée, exportation autorisée, par exemple).
Les groupes de clés associent des clés et des stratégies de clés. Chaque groupe de clés dispose d'une stratégie de clés et est affecté à des agents. Les agents peuvent extraire uniquement les clés attribuées à l'un des groupes de clés autorisés de l'agent en question. Les agents disposent également d'un groupe de clés par défaut. Lorsqu'un agent crée une clé (et l'attribue à une unité de données), la clé est placée dans le groupe de clés par défaut de l'agent.
Remarque:
Pour que le système fonctionne, vous devez définir au moins une stratégie de clés et un groupe de clés (attribué comme le groupe de clé attribué) pour tous les agents.OKM a un ensemble prédéfini de rôles utilisateur :
Effectue la configuration et la gestion des OKM.
Effectue la configuration de l'agent et les opérations quotidiennes.
Définit les groupes de clés et contrôle l'accès des agents aux groupes de clés.
Effectue les opérations de sauvegarde.
Peut afficher les pistes d'audit du système.
Examine et approuve les opérations en attente du quorum.
Pour plus d'informations sur les rôles utilisateur, notamment la liste des opérations que chaque rôle peut effectuer, reportez-vous au Guide d'administration d'OKM.
Remarque:
Vous pouvez utiliser une feuille de saisie pour simplifier la planification des rôles utilisateur, telle que celle disponible dans le Manuel d'installation et d'entretien d'OKM (réservé à un usage interne). Contactez votre représentant du support technique Oracle.IBM Integrated Cryptography Service Facility (ICSF) est une solution de chiffrement dans laquelle un fichier de clés externe se trouve dans un mainframe IBM et est accessible via un protocole TLS/XML. Reportez-vous au document OKM-ICSF Integration Guide pour plus d'informations.
Légende de note de bas de page
Note de bas de page 1: Une exception peut être définie pour l'approbation des services techniques, des services professionnels et des services d'assistance.