本節概述產品提供的特定安全機制。
本節概要簡介系統所要抵禦的威脅,以及如何結合個別安全功能以避免攻擊。
提供這些保護的重要安全功能包括:
認證 – 確保只有經過授權的個人才能夠存取系統和資料
授權 – 系統權限與資料的存取控制;此存取控制以認證為基礎,可確保人員只能取得適當的權限
稽核 – 可讓管理員偵測到違反認證機制的嘗試,以及違反或成功的存取控制嘗試。
如需 Oracle Key Manager 安全與認證相關詳細資訊,請參閱「Oracle Key Manager Version 2.x Security and Authentication White Paper」:
Oracle Key Manager 架構提供所有系統元素之間的相互認證:KMA 與 KMA、代理程式與 KMA,以及使用者作業的 Oracle Key Manager GUI 或 CLI 與 KMA。
系統的每個元素 (例如,新的加密代理程式) 會在系統中註冊,方式是在 OKM 中建立 ID 與密碼詞組,然後輸入要新增的元素中。例如,當磁帶機新增至系統時,代理程式與 KMA 會根據共用密碼詞組自動執行查問/回應協定,而使得代理程式取得根憑證授權機構 (CA) 憑證與新金鑰組,以及簽署給代理程式的憑證。代理程式具有根 CA 憑證、代理程式憑證與金鑰組之後,便能執行「傳輸層安全 (TLS)」協定,用於與 KMA 的所有後續通訊。所有憑證皆為 X.509 憑證。
OKM 有如根憑證授權機構,可產生根憑證,供 KMA 用來衍生 (自我簽署) 代理程式、使用者與新 KMA 所用的憑證。
有下列類型的存取控制:
以使用者與角色為基礎的存取控制
仲裁保護
Oracle Key Manager 可以定義多位使用者,每位使用者具有使用者 ID 及密碼詞組。每位使用者會被授予一或多個預先定義的角色。這些角色決定了使用者在 Oracle Key Manager 系統上所能執行的作業。這些角色為:
安全人員 – 執行 Oracle Key Manager 安裝與管理
操作員 – 執行代理程式安裝與日常作業
相容性人員 – 定義金鑰群組並控制代理程式對於金鑰群組的存取
備份操作員 – 執行備份作業
稽核者 – 檢視系統稽核歷程檔
仲裁成員 – 檢視與核准擱置中的仲裁作業
在 OKM 叢集中設定 KMA 的快速啟動程序中會定義「安全人員」。之後,使用者必須使用 Oracle Key Manager GUI,以「安全人員」身分登入叢集,才能定義其他使用者。「安全人員」可選擇指派多個角色給特定單一使用者,也可選擇指派特定單一角色給多位使用者。
如需每個角色允許的作業與「安全人員」建立使用者與指派角色的詳細資訊,請參閱 Oracle Key Manager 文件庫中包含的「Oracle Key Manager Administration Guide」:
http://www.oracle.com/technetwork/documentation/tape-storage-curr-187744.html#crypto
以角色為基礎的存取控制支援 National Institute of Standards and Technology (NIST) Special Publication (SP) 800-60 作業角色,以分隔作業功能。
部分作業極為重要,需要額外的安全性。這些作業包括新增 KMA 至 OKM 叢集、解除鎖定 KMA、建立使用者與新增角色至使用者。為了實作此安全性,系統除了上述以角色為基礎的存取控制之外,也使用一組分割金鑰證明資料。
分割金鑰證明資料是由成對的使用者 ID 與密碼詞組所組成,以及系統完成特定作業所需最少數量的成對使用者 ID 與密碼詞組。分割金鑰證明資料亦稱為「仲裁」,最少數量稱為「仲裁臨界值」。
Oracle Key Manager 允許定義最多達 10 個成對的分割金鑰使用者 ID/密碼詞組,以及一個臨界值。它們是在 OKM 叢集中設定第一個 KMA 的快速啟動程序中定義的。分割金鑰使用者 ID 及密碼詞組不同於用來登入系統的使用者 ID 及密碼詞組。當使用者嘗試執行需要仲裁核准的作業時,必須有定義之臨界值數量的分割金鑰使用者與密碼詞組核准此作業,系統才會執行此作業。
每個 KMA 會記錄執行之作業的稽核事件,包括 OKM 叢集中的代理程式、使用者及對等 KMA 發出的作業。KMA 也會在代理程式、使用者或對等 KMA 無法自身認證時記錄稽核事件。將會標示安全違規的稽核事件。認證失敗就是安全違規稽核事件的範例。若 SNMP 代理程式可在 OKM 叢集中識別,則 SNMP 代理程式發生安全違規時,KMA 也會傳送 SNMP INFORM 至這些 SNMP 代理程式。如果「遠端系統日誌」已設定,KMA 也會將這些稽核訊息轉送給已設定的伺服器。請參閱遠端系統日誌。
使用者必須正確登入 OKM 叢集,且必須被指派角色,才能檢視稽核事件。
KMA 會管理其稽核事件。KMA 會根據保留條件與限制 (計數) 移除較舊的稽核事件。「安全人員」可依需要修改這些保留條件與限制。
Oracle Key Manager 提供其他安全功能。如需這些功能與其他 OKM 功能的詳細資訊,請參閱「Oracle Key Manager Overview」:
代理程式與 KMA 之間、使用者與 KMA 之間,以及 KMA 與對等 KMA 之間的通訊協定均相同。在每一種狀況中,系統都會在起始通訊的個體使用密碼詞組,以執行查問/回應協定。若成功,將提供個體憑證及對應的私密金鑰。此憑證與私密金鑰可建立「傳輸層安全 (TLS)」(安全通訊端) 通道。系統會執行相互認證;連線的端點會彼此認證。OKM 3.1+ KMA 針對其對等複製流量一律會使用 TLS 1.2。
KMA 提供可另行選購的「硬體安全模組」。此硬體安全模組 (Sun Cryptographic Accelerator (SCA) 6000 卡) 已通過 FIPS 140-2 Level 3 認證,並提供「進階加密標準 (AES)」256 位元加密金鑰 (此憑證已於 2015 年 12 月 31 日到期且未更新,後續版本將會提供替代的 HSM)。SCA 6000 卡支援 FIPS 140-2 Level 3 模式的作業,且 OKM 一律會以此模式來使用此卡。當 OKM 叢集以 FIPS 相容模式作業時,加密金鑰不會以未包裝的形式離開 SCA 6000 卡的密碼邊界。SCA 6000 卡使用 FIPS 核准的亂數產生器,如同 FIPS 186-2 DSA Random Number Generator 所指定的一般,使用 SHA-1 來產生加密金鑰。
如果 KMA 未設為使用 SCA 6000 卡,則會使用 Solaris Cryptographic Framework (SCF) PKCS#11 軟體記號來執行加密。SCF 是在 FIPS 140 模式中依據最新發行的 Solaris FIPS 140-2 安全原則所設定。
Oracle Key Manager 使用具有 256 位元加密金鑰的 AES 金鑰包裝 (RFC 3994) 來保護對稱式金鑰的時機如下:建立對稱式金鑰時、將對稱式金鑰儲存在 KMA 時、將對稱式金鑰傳輸至代理程式時,或在金鑰傳輸檔案中傳輸對稱式金鑰時。
起始 OKM 叢集中的第一個 KMA 時,KMA 會產生一個大型金鑰集區。當其他 KMA 新增至叢集時,金鑰便會被複製到新的 KMA,並可用來加密資料。新增至叢集的每個 KMA 都會產生一個金鑰集區,並複製到叢集中對等的 KMA。所有 KMA 將會依需求產生新的金鑰,以維持金鑰集區的大小,並隨時供代理程式使用。當代理程式需要新的金鑰時,代理程式便會聯絡叢集中的 KMA 並要求新的金鑰。KMA 會從它的金鑰集區中取出可用的金鑰,並將此金鑰指派給代理程式的預設金鑰群組和資料單位。KMA 接著會將這些資料庫更新經由網路複製到叢集中的其他 KMA。之後,代理程式便可聯絡叢集中其他 KMA 以擷取金鑰。任何金鑰資料絕不會以文字方式在網路上傳輸。
National Institute of Standards and Technology (NIST) 於 2013 年 12 月頒發 FIPS 140-2 Level 1 驗證憑證 (編號 2061) 給 Oracle Solaris Kernel Cryptographic Framework 模組 (Solaris 11)。於 2014 年 1 月,NIST 頒發 FIPS 140-2 Level 1 驗證憑證 (編號 2076) 給 Oracle Solaris Userland Cryptographic Framework ( SPARC T4 及 SPARC T5)。Oracle Key Manager 3.1.0 KMA 現在是以仍在進行 FIPS 140-2 驗證測試的 Solaris 11.3 為基礎。Oracle Key Manager 3.1.0 KMA 中的 Oracle Solaris Kernel Cryptographic Framework 是根據「Oracle Kernel Cryptographic Framework Security Policy」所設定。同樣地,KMA 也是根據「Oracle Solaris Userland Cryptographic Framework with SPARC T4 and SPARC T5 Security Policy」所設定。當 OKM 可供使用時,將會更新為較新的 Solaris 安全原則。