C Solaris ZFS 暗号化による OKM の使用

この付録では、ZFS ストレージプール内のファイルの暗号化および復号化を管理するために、Oracle Solaris 11 ZFS で OKM を使用することについて説明します。このソリューションでは、Oracle StorageTek テープドライブで使用されているのと同じ暗号化テクノロジーを使用して、ZFS ストレージプールの暗号化鍵を管理できます。

この付録では、Solaris 11 と Oracle Solaris ZFS に精通していることを想定しています。

• Oracle Solaris 11 の詳細については、Oracle Solaris 11 の発行物を参照してください。

• Oracle Solaris ZFS の詳細については、Oracle Solaris の管理: ZFS ファイルシステムに関する発行物を参照してください。

ZFS は、OKM クラスタから暗号化鍵を取得するために、OKM の PKCS#11 プロバイダの pkcs11_kms を使用するように構成できます。これには構成済みの OKM クラスタと、この OKM クラスタ内の KMA への接続が確立されている Solaris 11 システムが必要です。

Solaris 11 管理者は pkcs11_kms をインストールして構成したら、pkcs11_kms に鍵を作成するように要求し、ZFS にそれを使用するように指示できます。

pkcs11_kms は付録 B で紹介しています。詳細は、次を参照してください。

• "OKM の PKCS#11 プロバイダ"

• "認証資格の管理"

• "負荷分散とフェイルオーバー"

計画に関する考慮事項

この統合を計画する場合に適用できる考慮事項については、次のセクションを参照してください。

• "OKM のパフォーマンスおよび可用性に関する考慮事項"

• "障害回復の計画"

• "ネットワークの計画"

• "鍵管理の計画"

OKM と ZFS の統合

OKM を ZFS に統合するために次のタスクが必要です。

• ZFS 用の OKM クラスタの構成

• Solaris 11 システムへの pkcs11_kms のインストール

• ZFS によって使用される pkcs11_kms の構成

• pkcs11_kms を使用するための ZFS の構成

これらのタスクについては、次のセクションで説明します。

注:

これらのタスクについての情報の多くは、Transparent Data Encryption (TDE) を使用した OKM 構成でも適用します。該当する場合、次のセクションに付録 B で説明している追加情報への参照が含まれます。

ZFS 用の OKM クラスタの構成

ZFS で使用するために OKM クラスタを構成するには、次の手順を実行します。

1. OKM クラスタ内のすべての KMA で Oracle Key Manager 2.4.1 以降を実行しており、および OKM クラスタで Replication Schema バージョン 13 を使用していることを確認してください。

   GUI および CLI 用にサポートされる OKM 管理プラットフォームについては OKM 製品リリースノートに記載されており、これには Oracle Solaris および Microsoft Windows プラットフォームに固有の考慮事項も含まれています。

2. 鍵ポリシーおよび鍵グループを作成し、エージェントを構成して、そのエージェントをそのデフォルトの鍵グループとして鍵グループに関連付けます。詳細については、"TDE 用の OKM クラスタの構成"を参照してください。

   注:

   エージェントは One Time Passphrase プロパティーを無効にするように構成してください。"エージェントの作成"または"エージェントの表示および変更"を参照してください。

Solaris 11 への pkcs11_kms のインストール

Oracle の PKCS#11 プロバイダ pkcs11_kms を Solaris 11 システムにインストールするには、"Oracle Solaris 11 または Solaris 11 Express の場合の pkcs11_kms のインストール"に説明する手順を実行します。

pkcs11_kms の構成

Solaris 11 システムで pkcs11_kms を構成するには、"TDE 用の pkcs11_kms の構成"に説明されているように、手順 2 および 3 を実行します。

注:

Oracle RAC への参照は OKM/ZFS 統合では適用しないため、無視してください。

pkcs11_kms を使用するための ZFS の構成

pkcs11_kms プロバイダをインストールして構成したら、次の手順を実行して pkcs11_kms プロバイダに鍵を生成し、特定の ZFS プールに格納されているファイルシステム内のファイルを暗号化する場合に、この鍵を使用するように ZFS を構成します。

Solaris pktool genkey コマンドを使用して、AES 256 ビット鍵を作成します。

1. 「Enter PIN for KMS」プロンプトで、pkcs11_kms の構成時に kmscfg ユーティリティーに指定したエージェントのパスフレーズを入力します。

   例:

   # pktool list token=KMS objtype=key 
   Enter PIN for KMS: 
   # pktool genkey keystore=pkcs11 token=KMS keytype=aes keylen=256 label=zfscrypto_key_256 
   Enter PIN for KMS: 
   # pktool list token=KMS objtype=key label=zfscrypto_key_256 
   Enter PIN for KMS: 
   

2. zfs create コマンドを使用して、この鍵を使用するように ZFS を構成します。

   zfs create コマンドの「keysource」引数に、手順 1 で生成した鍵のラベルを指定します。

   「Enter 'KMS' PKCS#11 token PIN」プロンプトで、エージェントのパスフレーズを入力します。

   例:

   # zfs create -o encryption=aes-256-ccm -o keysource="raw,pkcs11:token=KMS;object=zfscrypto_key_256" cpool_nd/cfs 
   Enter 'KMS' PKCS#11 token PIN for 'cpool_nd/cfs':  
   

トラブルシューティング

トラブルシューティングについては、"トラブルシューティング"を参照してください。