このセクションでは、製品の概要を示し、アプリケーションセキュリティーの一般原則について説明します。
Oracle Key Manager (OKM) は、暗号化鍵を作成、格納、および管理します。次のコンポーネントで構成されています。
Key Management Appliance (KMA) – ポリシーベースのライフサイクル鍵管理、認証、アクセス制御、および鍵プロビジョニングの各サービスを提供する、セキュリティーが強化されたボックスです。ストレージネットワークの信頼できる発行局として、KMA では、すべてのストレージデバイスが登録および認証されること、そしてすべての暗号化鍵が規定のポリシーに従って作成、プロビジョニング、および削除されることが保証されます。
Oracle Key Manager GUI - ワークステーション上で実行されるグラフィカルユーザーインタフェースであり、IP ネットワーク経由で KMA と通信して OKM を構成および管理します。Oracle Key Manager GUI は、顧客が用意するワークステーションにインストールする必要があります。
Oracle Key Manager CLI - ワークステーション上で実行される 2 つのコマンド行インタフェースであり、IP ネットワーク経由で KMA と通信して一般的に発行される管理操作を自動化します。Oracle Key Manager CLI は、顧客が用意したワークステーションにインストールする必要があります。
OKM クラスタ – システム内の KMA の完全な集合。これらのすべての KMA は相互に認識し、情報を相互にレプリケートします。
エージェント – OKM クラスタによって管理される鍵を使用して、暗号化を実行するデバイスまたはソフトウェア。StorageTek 暗号化テープドライブは、エージェントの例です。エージェントは、KMS Agent Protocol を使用して KMA と通信します。エージェント API は、エージェントハードウェアまたはソフトウェアに組み込まれている一連のソフトウェアインタフェースです。
OKM は、KMA、エージェント、および Oracle Key Manager GUI および CLI が実行されているワークステーションの間の接続のために TCP/IP ネットワークを使用します。ネットワーク接続を柔軟に行うために、各 KMA には、ネットワーク接続用の次の 3 つのインタフェースが用意されています。
管理接続 - 顧客ネットワークへの接続を目的にしています
サービス接続 - エージェントへの接続を目的にしています
ILOM/ELOM 接続 - KMA 上の ILOM または ELOM への接続を目的としています
次のイメージ内の例を参照してください。
すべてのアプリケーションをセキュアに使うために、次の原則が重要になります。
優れたセキュリティー実践の原則の 1 つは、すべてのソフトウェアバージョンとパッチを最新に維持することです。最新の Oracle Key Manager アップグレードパッケージおよびインストーラは、My Oracle Support Web サイト http://support.oracle.com
から入手できます。
ビジネスアプリケーションは、ファイアウォールの背後に配置してください。ファイアウォールにより、これらのシステムへのアクセスが、既知のネットワークルートに確実に制限され、必要に応じてモニターおよび制限できることが保証されます。単一のファイアウォールルーターを複数の独立したファイアウォールの代わりに使用することもできます。
最小特権の原則は、ユーザーにはその業務を遂行するために必要な最小限の権限だけを与えるべきであるということを示しています。特に組織のライフサイクルの初期に、従業員が少数で作業を迅速に行う必要がある場合に、責任、役割、権限などを過剰に付与しすぎると、システムが大きく開放され不正使用を招くことがよくあります。ユーザー権限を定期的に見直して、現在の職務責任に対して妥当であるか見極めてください。