OKM은 저장된 데이터를 암호화(장치 기반 암호화)하여 데이터 보안을 제공합니다. OKM은 암호화 키를 만들고 저장하고 관리합니다. OKM은 열린 시스템과 엔터프라이즈 플랫폼을 모두 지원합니다.
다음 절에서는 OKM 솔루션의 개념 및 구성 요소에 대해 설명합니다.
OKM은 다음 산업 표준을 기반으로 합니다.
FIPS PUB 140-2, Security Requirements for Cryptographic ModulesFIPS PUB 46-3, Data Encryption StandardFIPS PUB 171, KeyManagement
NIST 800-57 Part 1, Recommendations for Key Management
IEEE 1619.1 Standard for Tape Encryption (complete)IEEE 1619.2 Standard for Disk Encryption (in process)IEEE 1619.3 Standard for Key Management (in process)
CC(Common Criteria)
ISO/IEC 1779 보안 기술
CCM–AES-256 암호화
대칭형 암호화
Nonce
암호화 모음(TLS 1.0, 2048비트 RSA, SHA1, HMAC)
KMA는 정책 기반 수명 주기 키 관리, 인증, 액세스 제어 및 키 프로비전 서비스를 제공하는 보안이 강화된 서버입니다. KMA는 모든 스토리지 장치가 등록 및 인증되고 모든 암호화 키 만들기, 프로비저닝 및 삭제가 명시된 정책을 준수하는지 확인합니다.
OKM 3.0은 Netra SPARC T4-1 서버에서 Solaris 11을 지원합니다. 이 서버의 OKM 버전에는 다음이 포함됩니다.
2.85GHz 4코어 SPARC T4 프로세서
32GB DRAM(8GB DIMM 4개)
600GB SAS 10K RPM 2.5인치 디스크 드라이브
4기가비트 이더넷 포트
중복 전원 공급기
5 PCIe Gen 어댑터 슬롯 2개(각 8개 레인)
DVD 드라이브(사용 안함으로 설정됨 - OKM과 사용되지 않음)
환경 및 전원 요구 사항을 비롯한 기타 서버 사양의 경우 다음을 참조하십시오.
OKM 2.x는 Sun Fire X2100 M2, X2200 M2 및 X4170 M2에서 Solaris 10을 지원합니다.
주:
Sun Fire KMA를 OKM 3.0으로 업그레이드할 수는 없지만 동일한 클러스터의 OKM 3.0 KMA와 통신할 수는 있습니다. OKM 3.0 KMA는 KMS 2.2 이상을 실행하는 KMA를 사용하여 기존 OKM 2.x 클러스터에 조인할 수 있습니다.KMA는 표준 RETMA 19인치 4포스트 랙 또는 캐비닛에 설치할 수 있습니다. 2포스트 랙은 지원되지 않습니다.
주:
SL8500 라이브러리는 19인치 랙 4개에 대한 공간을 제공합니다. 자세한 내용은 StorageTek SL8500 시스템 보증 설명서를 참조하십시오.슬라이드 레일은 다음 표준을 가진 랙과 호환됩니다.
ANSI/EIA 310-D-1992 또는 IEC 60927 표준을 준수하는 수평 개구부 및 장치 수직 피치
전면 설치면과 후면 설치면 간 거리: 610mm~915mm(24인치~36인치)
전면 캐비닛 도어까지의 여유 공간 깊이: 최소 25.4mm(1인치)
후면 캐비닛 도어까지의 여유 공간 깊이: 케이블 관리를 통합하는 경우 800mm(31.5인치), 케이블 관리를 사용하지 않는 경우 700mm(27.5인치)
구조 지지대와 케이블 홈통 사이, 그리고 전면 설치면과 후면 설치면 사이의 여유 공간 너비: 최소 456mm(18인치)
선택적 Sun Cryptographic Accelerator(SCA6000) 카드는 FIPS 준수에 필요한 암호화 처리 및 관리 기능에 사용되며 FIPS 140-2 레벨 3 하드웨어 보안 모듈입니다.
OKM GUI를 사용하여 OKM을 구성하고 관리할 수 있으며 고객이 제공한 워크스테이션에서 실행되고 IP 네트워크를 통해 KMA와 통신합니다. GUI를 설치하고 실행하기 위해 관리자(Windows) 또는 루트(Solaris) 권한이 필요하지 않습니다.
Solaris 10 10/09(업데이트 8) x86
Solaris 10 9/10(업데이트 9) SPARC
Solaris 10 9/10(업데이트 9) x86
Microsoft Windows 7 Business
Microsoft Windows 7 Enterprise
Microsoft Windows Vista Business
Microsoft Windows XP Professional Version 2002
Microsoft Windows XP Professional
Microsoft Windows Server 2008 Version 6.0
Microsoft Windows Server 2003 R2 Standard Edition
Microsoft Windows Server 2003
CLI(명령줄 인터페이스) 유틸리티 2개는 OKM GUI에서와 같은 기능의 하위 세트를 지원합니다. 이를 통해 백업, 키 내보내기 및 감사 보고와 같은 다양한 작업을 자동화할 수 있습니다.
클러스터는 시스템의 KMA 전체 세트입니다. 모든 KMA는 서로를 인식하며 상호 간에 정보를 복제합니다. 클러스터에서 테이프 드라이브는 키 자료를 검색할 KMA를 선택할 수 있습니다.
클러스터에 최소 2개바닥글 1 , 최대 20개의 KMA가 있을 수 있습니다.
모든 사이트에서 생성된 새 키는 클러스터의 다른 모든 KMA에 복제됩니다.
모든 관리 변경 사항은 클러스터의 다른 모든 KMA에 전파됩니다.
가용성을 최대화하기 위해 시스템을 설계할 경우 클러스터 크기를 고려하십시오.
여러 KMA가 전용, 개인, LAN 또는 WAN에서 클러스터화될 수 있습니다.
클러스터의 모든 KMA는 네트워크의 모든 에이전트를 서비스할 수 있습니다.
모든 KMA를 관리 기능에 사용할 수 있습니다.
주:
한 클러스터의 KMA는 다른 클러스터의 KMA를 인식하지 않습니다.테이프 드라이브는 검색, 로드 균형 조정 및 페일오버를 통해 KMA 클러스터에서 키를 검색합니다.
테이프 드라이브(에이전트)는 KMA로 검색 클러스터 요청을 전송합니다. 검색 클러스터 요청을 수신하는 KMA는 각 KMA에 대한 다음 정보를 제공합니다.
IP 주소(IPv4 및 IPv6)
사이트 이름
KMA ID
KMA 이름
KMA 버전(지원되는 테이프 드라이브에 대한 FIPS 지원을 파악할 수 있음)
KMA 상태:
Responding: KMA가 네트워크에서 응답 중인지 여부를 나타냅니다.
Locked: KMA가 현재 잠겨있는지 여부를 나타냅니다.
테이프 드라이브는 테이프 작업의 일환으로 이 정보를 정기적으로 검색하며(테이프 드라이브가 유휴 상태인 경우에는 검색하지 않음) 등록의 일부로, 그리고 드라이브가 IPLed일 때마다 항상 이 정보를 요청합니다.
드라이브는 KMA에 대한 새 응답 상태가 검색될 때마다 새 상태로 클러스터 정보를 업데이트합니다.
일반적인 테이프 드라이브 작업 중에는 드라이브가 로컬 클러스터 정보 테이블을 사용하여 키 검색을 위한 KMA를 선택합니다.
드라이브는 알고리즘을 사용하여 드라이브와 같은 사이트에서 KMA를 선택합니다. 사이트 내 모든 KMA가 잠겼거나 응답하지 않는 경우 테이프 드라이브는 다른 사이트의 KMA에 액세스하려고 시도합니다. 다른 사이트의 KMA에 도달할 수 없는 경우 키 검색 시도가 시간 초과되어 페일오버가 발생하게 됩니다.
테이프 드라이브가 원격 사이트로 페일오버할 수 있으면 로컬 KMA가 다운되거나 응답이 느려질 때(작업 로드가 높아 시간 초과되는 경우 등) 드라이브 안정성 및 가용성이 향상됩니다.
테이프 드라이브가 클러스터의 KMA와 통신할 수 없을 때마다 드라이브는 알고리즘을 사용하여 페일오버를 시도할 KMA를 선택합니다. 선택할 때 클러스터 상태에 대한 드라이버 정보가 다시 사용됩니다.
테이프 드라이브는 페일오버를 3번 시도한 후 포기하고 호스트 테이프 응용 프로그램에 오류를 반환합니다.
주:
다른 모든 KMA가 응답하지 않는 경우 페일오버 시도 중 드라이브가 응답하지 않는 KMA를 선택하는 경우도 있습니다. 하지만 클러스터에 대한 정보가 사용되지 않을 수 있기 때문에 KMA는 실제로 온라인 상태이고 응답할 수 있습니다.에이전트는 데이터를 암호화하고 해독하는 데 암호화 키를 사용하는 암호화 끝점입니다. 에이전트는 OKM에 인증되고 "보안"(TLS) 세션을 통해 키 자료를 획득하는 장치(예: 테이프 드라이브)입니다. 에이전트는 에이전트 API를 통해 KMA와 통신합니다. 에이전트 API는 에이전트 하드웨어 또는 소프트웨어에 통합된 소프트웨어 인터페이스 세트입니다. 기본적으로 에이전트에 대한 서비스는 로컬 KMA(사용 가능한 경우)가 제공합니다.
테이프 드라이브 에이전트는 공용 네트워크에 있으면 안됩니다.
에이전트는 암호화 키가 필요할 경우 네트워크에 연결되어 있어야 합니다. 테이프 드라이브 에이전트를 개인 서비스 네트워크의 KMA에 연결합니다.
KMA와 에이전트는 논리적으로 "그룹화"되어 하나의 사이트를 만들 수 있으며 이 경우 에이전트는 지정된 사이트 내부의 KMA를 참조합니다.
데이터 장치는 에이전트에서 암호화한 데이터를 나타냅니다. 테이프 드라이브의 경우 데이터 장치는 테이프 카트리지입니다.
키는 실제 키 값(키 자료) 및 연결된 메타 데이터입니다.
키 정책은 키를 통제하는 매개변수를 정의합니다. 여기에는 수명 주기 매개변수(예: 암호화 기간 및 암호화 사용 기간) 및 가져오기/내보내기 매개변수(예: 허용된 가져오기, 허용된 내보내기)가 포함됩니다.
키 그룹은 키와 키 정책을 연결합니다. 각 키 그룹에는 키 정책이 있으며 에이전트에 지정됩니다. 에이전트는 에이전트의 허용된 키 그룹 중 하나에 지정된 키만 검색할 수 있습니다. 또한 에이전트는 기본 키 그룹을 가집니다. 에이전트가 키를 만들 때(데이터 장치에 지정) 키는 에이전트의 기본 키 그룹으로 들어갑니다.
주:
작동할 시스템의 경우 모든 에이전트에 대해 키 정책 및 키 그룹을 하나 이상 정의해야 합니다(기본 키 그룹으로 지정됨).OKM에는 미리 정의된 사용자 역할 세트가 있습니다.
OKM 설정 및 관리를 수행합니다.
에이전트 설정 및 일상적인 작업을 수행합니다.
키 그룹을 정의하고 키 그룹에 대한 에이전트 액세스를 제어합니다.
백업 작업을 수행합니다.
시스템 감사 추적을 볼 수 있습니다.
보류 중인 쿼럼 작업을 보고 승인합니다.
각 역할이 수행할 수 있는 작업 목록을 비롯한 사용자 역할에 대한 자세한 내용은 OKM 관리 설명서를 참조하십시오.
주:
사용자 역할 계획에 대한 도움을 얻을 수 있는 워크시트(예: OKM Installation and Service Manual(내부 전용)에서 찾은 워크시트)를 사용할 수 있습니다. 오라클 고객지원센터 담당자에게 문의하십시오.IBM ICSF(Integrated Cryptography Service Facility)는 외부 키 저장소가 IBM 메인프레임에 있고 TLS/XML 프로토콜을 사용하여 액세스되는 암호화 솔루션입니다. 자세한 내용은 OKM-ICSF Integration Guide를 참조하십시오.
각주 범례
각주 1: 엔지니어링, 전문 서비스 및 지원 서비스 승인으로 예외 사항이 발생할 수 있습니다.