OKM では保存されたデータを暗号化 (デバイスベースの暗号化) することにより、データのセキュリティーを提供します。これは、暗号化鍵を作成、保存、および管理します。OKM では、オープンシステムおよびエンタープライズプラットフォームの両方をサポートしています。
次のセクションでは、OKM ソリューションの概念とコンポーネントについて説明します。
OKM は次の業界標準に基づいています。
FIPS PUB 140-2、暗号化モジュール用のセキュリティー要件 FIPS PUB 46-3、データ暗号化標準 FIPS PUB 171、鍵管理
NIST 800-57 Part 1、鍵管理のための推奨事項
IEEE 1619.1 テープ暗号化のための標準 (完了) IEEE 1619.2 ディスク暗号化のための標準 (作業中) IEEE 1619.3 鍵管理のための標準 (作業中)
国際評価基準 (CC)
ISO/IEC 1779 セキュリティー技術
CCM-AES-256 暗号化
対称暗号化
ノンス
暗号スイート (TLS 1.0、2048 ビット RSA、SHA1、HMAC)
KMA は、ポリシーベースのライフサイクル鍵管理、認証、アクセス制御、および鍵プロビジョニングの各サービスを提供する、セキュリティーが強化されたサーバーです。KMA では、すべてのストレージデバイスが登録および認証されること、そしてすべての暗号化鍵が規定のポリシーに従って作成、プロビジョニング、および削除されることが保証されます。
OKM 3.0 では、Netra SPARC T4-1 サーバー上の Solaris 11 をサポートします。このサーバーの OKM バージョンには次のものが含まれます。
2.85 GHz 4 コア SPARC T4 プロセッサ
32G バイトの DRAM (4 つの 8G バイト DIMM)
600G バイト SAS 10K RPM 2.5 インチディスクドライブ
4 ギガビット Ethernet ポート
冗長電源
5 つの PCIe Gen 2 アダプタスロット (各 8 レーン)
DVD ドライブ (無効 — OKM では使用されない)
環境および電源の要件を含むほかのサーバー仕様については、次を参照してください。
OKM 2.x では、Sun Fire X2100 M2、X2200 M2、および X4170 M2 上の Solaris 10 をサポートします。
注:
Sun Fire KMA は OKM 3.0 にアップグレードできませんが、同じクラスタ内の OKM 3.0 KMA と通信できます。OKM 3.0 KMA は、KMS 2.2 以降を実行する KMA を使用すると、既存の OKM 2.x クラスタに参加できます。KMA は標準の RETMA 19 インチの 4 ポストラックまたはキャビネットに設置できます。2 ポストラックはサポートされていません。
注:
SL8500 ライブラリには 19 インチラックを 4 つ収容できるスペースがあります。詳細は、StorageTek SL8500 のシステム保証ガイドを参照してください。スライドレールは、次の仕様のラックに対応しています。
水平方向の開口部とユニットの垂直距離が、ANSI/EIA 310-D-1992 または IEC 60927 の標準に準拠していること。
前面および背面の取り付け面の間の距離が 610 - 915 mm (24 - 36 インチ) であること。
キャビネットの前面カバーには 25.4 mm (1 インチ) 以上のすき間が必要であること。
キャビネットの背面カバーに、ケーブル管理を組み込む場合は 800 mm (31.5 インチ) 以上、ケーブル管理を使用しない場合は 700 mm (27.5 インチ) 以上のすき間があること。
支柱とケーブル溝の間、および前面および背面の取り付け面の間のすき間は、456 mm (18 インチ) 以上であること。
オプションの Sun Cryptographic Accelerator (SCA6000) カードは、FIPS 準拠に必要な暗号化処理および管理機能用です。これは、FIPS 140-2 レベル 3 ハードウェアセキュリティーモジュールです。
OKM GUI を使用すると OKM を構成および管理できます。これは顧客が提供したワークステーションで動作し、IP ネットワーク経由で KMA と通信します。GUI をインストールして実行するために、管理者 (Windows) またはルート (Solaris) 権限は必要はありません。
Solaris 10 10/09 (Update 8) x86
Solaris 10 9/10 (Update 9) SPARC
Solaris 10 9/10 (Update 9) x86
Microsoft Windows 7 Business
Microsoft Windows 7 Enterprise
Microsoft Windows Vista Business
Microsoft Windows XP Professional Version 2002
Microsoft Windows XP Professional
Microsoft Windows Server 2008 Version 6.0
Microsoft Windows Server 2003 R2 Standard Edition
Microsoft Windows Server 2003
2 つのコマンド行インタフェース (CLI) ユーティリティーでは、OKM GUI と同じ機能のサブセットをサポートしています。これらによって、バックアップ、鍵のエクスポート、監査報告などのさまざまなタスクの自動化が可能になります。
クラスタは、システム内の KMA の完全な集合です。すべての KMA は相互に認識し、情報を相互に完全にレプリケートします。クラスタは、KMA を選択して鍵データを取得する機能をテープドライブに提供します。
1 つのクラスタ内には、最低 2 つ、脚注 1 最大で 20 個の KMA を持つことができます。
いずれかのサイトで生成された新しい鍵は、クラスタ内のほかのすべての KMA にレプリケートされます。
管理上のすべての変更は、クラスタ内のほかのすべての KMA に反映されます。
可用性が最大になるようにシステムを設計する場合は、クラスタのサイズを考慮してください。
複数の KMA を、専用のプライベート、ローカル、または広域ネットワーク上にクラスタ化できます。
クラスタ内の任意の KMA は、ネットワーク上の任意のエージェントにサービスを提供できます。
どの KMA も管理機能に使用できます。
注:
あるクラスタ内の KMA は、ほかのクラスタ内の KWA を認識しません。テープドライブは、検出、負荷分散、およびフェイルオーバーにより KMA クラスタから鍵を取得します。
テープドライブ (エージェント) は、クラスタの検出要求を KMA に送信します。クラスタの検出要求を受信した KMA は各 KMA に関する次の情報を提供します。
IP アドレス (IPv4 および IPv6)
サイト名
KMA ID
KMA 名
KMA バージョン (サポートされているテープドライブの FIPS サポートを判別するのに役立ちます)
KMA ステータス:
Responding: KMA がネットワーク上で応答しているかどうかを示します
Locked: KMA が現在ロックされているかどうかを示します
テープドライブは、これらの情報をテープ操作の一部として定期的に取得し (テープドライブがアイドルでないとき)、登録の一部としては常に、そしてドライブが IPL されるたびに、これらの情報を要求します。
ドライブは、KMA の新しい応答状態を検出すると常に、クラスタ情報を新しいステータスで更新します。
通常のテープドライブ運用中は、ドライブはクラスタ情報のローカルテーブルを使用して KMA を選択し、鍵を取得します。
ドライブはアルゴリズムを使用して、ドライブと同じサイトから KMA を選択します。サイト内のすべての KMA がロックされているか、応答しない場合は、テープドライブは別のサイトの KMA にアクセスしようとします。ほかのサイトの KMA に到達できない場合、鍵の取得の試行がタイムアウトになり、強制的にフェイルオーバーになります。
ローカル KMA が停止したり応答が遅くなったりした場合 (作業負荷が大きいためのタイムアウト状況など)、テープドライブをリモートサイトにフェイルオーバーできることで、ドライブの信頼性と可用性を向上させることができます。
テープドライブがクラスタ内のどの KMA とも通信できない場合は常に、ドライブはアルゴリズムを使用してフェイルオーバー試行用の KMA を選択します。選択時に、クラスタの状態についてのドライブの情報が再度使用されます。
テープドライブは、3 回までフェイルオーバーを試みてから中止し、ホストテープアプリケーションにエラーを返します。
注:
ほかのすべての KMA が応答しない場合は、フェイルオーバー試行中に、応答しない KMA をドライブが選択することがあります。ただし、クラスタについての情報が古い場合があるため、KMA は実際にはオンラインで応答している場合があります。エージェントは、暗号化鍵を使用してデータを暗号化および復号化する暗号化エンドポイントです。エージェントとは、OKM で認証されたデバイス (たとえばテープドライブ) のことで、鍵データを「セキュアな」(TLS) セッションで取得します。エージェントは、エージェント API を介して KMA と通信します。(エージェント API は、エージェントハードウェアまたはソフトウェアに組み込まれている一連のソフトウェアインタフェースです。)デフォルトでは、エージェントにはローカルの KMA (利用可能な場合) によってサービスが提供されます。
テープドライブエージェントはパブリックネットワーク上にあってはなりません。
エージェントは、暗号化鍵が必要な場合はネットワークに接続したままにする必要があります。テープドライブエージェントをプライベートサービスネットワーク内の KMA に接続します。
KMA とエージェントを論理的に「グループ化」してサイトを作成できます。ここでは、エージェントはそれらが割り当てられているサイト内の KMA を参照します。
データユニットは、エージェントによって暗号化されたデータを表します。テープドライブの場合、データユニットはテープカートリッジです。
鍵は、実際の鍵の値 (鍵データ) とその関連メタデータです。
鍵ポリシーは、鍵を制御するパラメータを定義します。これには、ライフサイクルパラメータ (暗号化期間と暗号化有効期間など) や、インポートまたはエクスポートパラメータ (たとえば、許可されたインポート、許可されたエクスポート) が含まれます。
鍵グループによって、鍵と鍵ポリシーが関連付けられます。各鍵グループは鍵ポリシーを持ち、エージェントに割り当てられます。エージェントは、そのエージェントの許可された鍵グループのいずれかに割り当てられた鍵のみを取得できます。またエージェントには、デフォルトの鍵グループもあります。エージェントが鍵を作成する (鍵をデータユニットに割り当てる) と、その鍵はそのエージェントのデフォルトの鍵グループに配置されます。
注:
システムが機能するには、すべてのエージェントに対して、少なくとも 1 つの鍵ポリシーと (デフォルトの鍵グループとして割り当てられた) 1 つの鍵グループを定義する必要があります。OKM には事前定義されたユーザーの役割のセットがあります。
OKM の設定および管理を実行します。
エージェントの設定と日常業務を実行します。
鍵グループを定義し、エージェントからのそれらの鍵グループへのアクセスを制御します。
バックアップ操作を実行します。
システム監査証跡を表示できます。
保留中の定足数操作を表示および承認します。
各役割が実行できる操作のリストを含む、ユーザーの役割の詳細は、OKM の管理ガイドを参照してください。
注:
OKM のインストールおよびサービスマニュアル (社内用) にあるような、ユーザーの役割の計画を支援するワークシートを使用できます。Oracle サポート担当者に相談してください。IBM ICSF (Integrated Cryptography Service Facility) は、外部キーストアが IBM メインフレーム内に常駐し、そこに TLS/XML プロトコルを使ってアクセスする暗号化ソリューションです。詳細は、OKM-ICSF の統合ガイドを参照してください。
脚注の凡例
脚注 1: エンジニアリング、プロフェッショナルサービス、およびサポートサービスの承認により、例外を設定できます。