| Oracle® Key Vault管理者ガイド リリース12.2 BP11 E76998-09 |
|
 前 |
 次 |
Oracle Key Vaultは、企業内のセキュリティ・オブジェクト管理を一元化するために構築された、フルスタックで強固なセキュリティを備えたソフトウェア・アプライアンスです。
Oracle Key Vaultは、堅牢でセキュアな標準準拠の鍵管理プラットフォームで、これを使用すると、暗号化鍵、Oracle Wallet、Javaキーストア(JKS)、Java Cryptography Extensionキーストア(JCEKS)、資格証明ファイルなどのセキュリティ・オブジェクトを保存、管理および共有できます。
Oracle Key Vaultを使用すると、企業全体で暗号化を迅速かつ効率的にデプロイできます。Oracle Key VaultはOracle LinuxテクノロジとOracle Databaseテクノロジ上に構築され、その一元化され、可用性と拡張性に優れたセキュリティ・ソリューションによって、組織が今日直面しているキー管理に関する最大の課題を克服することを支援します。Key Vaultを使用すると、セキュリティ・オブジェクトを保持、バックアップおよびリストアしたり、過失による損失を防止したり、保護された環境でライフサイクルを管理することができます。
Oracle Key Vaultは、Oracle Stack (データベース、ミドルウェア、システム)およびOracle Advanced Security Transparent Data Encryption (TDE)用に最適化されています。
関連項目:
Transparent Data Encryption (TDE)の詳細は、『Oracle Database Advanced Securityガイド』を参照
親トピック: Oracle Key Vaultの概要
組織内でOracle Key Vaultをデプロイすると、次のことに役立ちます。
キーの作成、ローテーション、非アクティブ化および削除など、エンドポイントのキーのライフサイクルを管理します。
パスワードを忘れたり、誤って削除したために、キーやウォレットを失うことを防ぎます。
企業内の許可されたエンドポイント間でセキュアにキーを共有します。
必要なすべてのバイナリ、構成ファイル、およびエンドポイントとOracle Key Vaultの間の相互に認証された接続に必要なエンドポイント証明書が含まれる、単一のソフトウェア・パッケージを使用して、エンドポイントを容易にエンロールおよびプロビジョニングします。
TDE以外にOracle Real Application Clusters (Oracle RAC)、Oracle Active Data Guard、Oracle GoldenGateなど、他のOracle製品や機能と連携します。Oracle Key Vaultでは、Oracle Data Pumpと、Oracle Databaseの主要な機能であるトランスポータブル表領域を使用して、暗号化データを簡単に移動できます。
この図に、企業の中心的な場所からの、Oracle Key Vaultの一般的なデプロイメントを示します。
これが対話するコンポーネントは次のとおりです。
Transparent Data Encryptionは、TDEで保護されたOracle Databaseを指します。
Oracle WalletおよびJavaキーストアは、Oracle Key Vaultとエンドポイントの間でアップロードおよびダウンロードするセキュリティ・オブジェクトのコンテナです。
他のキーストア・ファイルは、エンドポイントからOracle Key Vaultにアップロードする、証明書などのセキュリティ・オブジェクトと、Kerberosキータブ・ファイル、SSH鍵ファイルおよびサーバー・パスワード・ファイルなどの資格証明ファイルです。
管理コンソールはOracle Key Vaultのグラフィカル・ユーザー・インタフェースを指し、そこにログインしてセキュリティ・オブジェクトを管理したりKey Vaultシステムを管理することができます。
アプライアンス・バックアップはバックアップ・デバイスを指し、ここに、オンデマンドで、またはスケジュールに従い、Oracle Key Vaultのセキュリティ・オブジェクトをバックアップできます。
親トピック: Oracle Key Vaultの概要
Oracle Key Vaultは、主として、企業内でセキュリティのデプロイ、維持および管理を担当するユーザーを対象としています。これらのユーザーとしては、データベース、システムまたはセキュリティの管理者を含め、データベース・サーバー、アプリケーション・サーバー、オペレーティング・システムおよびその他の情報システムの企業データを保護する責任を負うすべての情報セキュリティ担当者が該当します。これらの担当者は、暗号化鍵、Oracle Wallet、Javaキーストアおよびその他のセキュリティ・オブジェクトを日常的に管理します。
Oracle Key Vaultはその性質上、Oracle Databaseと強固に統合されるめ、その他のユーザーには、Oracle Databaseや、Oracle Databaseと対話するサーバーを担当するユーザーも含まれます。これらのシステムでは、広範に暗号化がデプロイされることが多いため、キーとウォレットの管理を簡素にすることが必要になる場合があります。
親トピック: Oracle Key Vaultの概要
Oracle Key Vaultは、セキュリティ・オブジェクトのストレージと管理の一元化など、一連の堅牢な機能によって、キー管理のセキュリティを強化します。
親トピック: Oracle Key Vaultの概要
Key Vaultを使用して、次のタイプのセキュリティ・オブジェクトを保存および管理できます。
TDEマスター・キー
透過的データ暗号化(TDE)を使用するOracle Databaseでは、Oracle Key Vaultは、ローカル・ウォレット・ファイルの使用にかわり、ネットワークの直接接続を介してTDEマスター・キーを管理します。Oracle Key Vaultに格納されたキーは、エンドポイント・アクセス制御の設定に従って、データベース全体で共有できます。ローカル・ウォレット・コピーを使用しないこのキー共有方式は、TDEがOracle RAC、Oracle Active Data Guard、Oracle GoldenGateなどのデータベース・クラスタ上で実行されている場合に有効です。マスター・キーは、Oracle WalletからOracle Key Vaultに簡単に移行できます。TDEとOracle Key Vaultの間の直接接続は、Oracle Database 11gリリース2とOracle Database 12cでサポートされます。
Oracle WalletとJavaキーストア
Oracle WalletとJavaキーストアは、多くの場合、複数のサーバーやサーバー・クラスタに広く配布され、それらのファイルのバックアップと配布は手動で実行されます。Oracle Key Vaultはこれらのファイルの内容を項目別にマスター・リポジトリに格納し、サーバー・エンドポイントがOracle Key Vaultから切断されている間もローカル・コピーを使用して操作を続行できるようにします。ウォレットとキーストアのアーカイブ後は、ローカル・コピーを誤って削除したりパスワードを忘れたりしても、サーバー上に回復することができます。Oracle Key Vaultでは、複数のデータベース・クラスタ(Oracle RAC、Oracle Active Data Guard、Oracle GoldenGateなど)にわたるウォレットの共有が効率化されます。ウォレットを共有すると、Oracle Data PumpとOracle Databaseのトランスポータブル表領域の機能を使用して、暗号化データを簡単に移動することもできます。Oracle Key Vaultでは、Oracleミドルウェア製品とOracle Databaseの、サポートされているすべてのリリースのOracle Walletを使用できます。
資格証明ファイル
アプリケーションは、キー、パスワードおよびその他のタイプの機密情報を資格証明ファイルに保存しますが、資格証明ファイルは適切な保護メカニズムなしで広く配布されることがよくあります。資格証明ファイルの例として、セキュア・シェル(SSH)鍵ファイルおよびKerberosキータブをあげることができます。Oracle Key Vaultは、長期保持とリカバリのために資格証明ファイルをバックアップし、それらに対するアクセスを監査し、信頼できるサーバー・エンドポイント全体でそれらを共有します。
証明書ファイル
ユーザー・アイデンティティの認証および検証と通信チャネル上のデータの暗号化に使用されるX.509証明書ファイル(一般的なファイル拡張子は.pem、.cer、.crt、.der、.p12など)も、Oracle Key Vaultで保存、共有および管理できます。
親トピック: Oracle Key Vaultの主な機能
キーのライフサイクルの管理は、セキュリティの維持と法令順守のために重要となり、作成、バックアップ、ローテーションおよび有効期限の4つの主要機能で構成されています。
Oracle Key Vaultには、定期的なキー・ローテーション、バックアップおよびリカバリを容易にするメカニズムが備えられているため、TDEなどの鍵とパスワードを作成する多くのシステムとは異なり、法令順守の維持が確実化されます。キーのライフサイクルを追跡するポリシーを作成して、キーのライフサイクルに変更があるたびに報告するようにOracle Key Vaultを構成できます。この方法で、キーがいつ期限切れになるかがわかるため、キーを適切にローテーションおよびバックアップできます。
キーのライフサイクルの追跡は、非常に機密性の高いデータを扱うことから、暗号化キーとパスワードの最大有効期限に関して厳しい要件がある、クレジット・カード業界データ・セキュリティ基準(PCI DSS)などの業界および政府標準の順守を維持するために非常に重要となります。
親トピック: Oracle Key Vaultの主な機能
Oracle Key Vaultは、レポートとアラートの形式で、包括的かつ詳細なシステム・アクティビティの評価を提供します。
レポート
Oracle Key Vaultには、システム、ユーザーおよびエンドポイントのアクティビティ、証明書、キーとパスワードの有効期限、資格およびセキュリティ・オブジェクトのメタデータの詳細な統計を示す、一連の監査レポートと管理レポートが用意されています。監査レポートは、すべてのユーザーおよびエンドポイントのアクション、アクションの目的、ならびにそれらの最終結果を取得します。
アラート
受信するアラートのタイプを構成できます。キー、エンドポイント証明書およびユーザー・パスワードの有効期限、ディスク使用率、システム・バックアップおよび高可用性イベントのアラートがあります。アラートをsyslogに送信して、外部モニタリングを許可するように選択できます。
親トピック: Oracle Key Vaultの主な機能
Oracle Key Vaultは、キー管理者、システム管理者および監査マネージャの3つのユーザー・ロールの形式で、義務の分離を実現します。
各ユーザー・ロールはタスクのタイプに対する権限を持ちます。それらのロールを1人のユーザーに1つずつ割り当てるか(厳密な義務の分離)、1人のユーザーが組織のニーズに応じて複数のユーザー・ロールを実行できるように、それらを組み合せることができます。Oracle Key Vaultとエンドポイントの間でのセキュリティ・オブジェクトのアップロードやダウンロードを担当するユーザーは、エンドポイント管理者と呼ばれます。アクセスが許可されているエンドポイント管理者のみがセキュリティ・オブジェクトに直接アクセスでき、このことは、エンドポイント・ソフトウェアをインストールすることによってのみ可能になります。セキュリティ・オブジェクトをWebベースのGUI経由で取得することはできません。
関連項目:
親トピック: Oracle Key Vaultの主な機能
Oracle Key Vaultが常にセキュリティ・オブジェクトにアクセスできるように、Oracle Key Vaultを可用性の高い構成にデプロイできます。この構成は、障害時リカバリ・シナリオもサポートします。
高可用性構成では、2台のOracle Key Vaultアプライアンスをデプロイできます。プライマリ・アプライアンスは、エンドポイントからのリクエストにサービスを提供します。プライマリ・アプライアンスで障害が発生した場合、構成可能なプリセットされた遅延の後にスタンバイ・アプライアンスが引き継ぎます。この構成可能な遅延によって、通信が短時間断絶した場合にスタンバイ・サーバーによる不必要な引継ぎが発生しないようにできます。
Oracle Key Vaultでは、高可用性デプロイメントでのプライマリ・ノードとスタンバイ・ノードの間のデータ同期にOracle Data Guardが使用されます。
親トピック: Oracle Key Vaultの主な機能
永続マスター・キー・キャッシュ機能を使用すると、なんらかの理由でOracle Key Vaultサーバーを使用できない場合にデータベースを稼働させることができます。TDEマスター・キーは、メモリー内キャッシュに加えて永続マスター・キー・キャッシュにキャッシュされるため、データベース・プロセス間でマスター・キーを使用できます。これにより、データベースが新しいプロセスごとに、またはREDOログの切替えやデータベースの起動のたびに、Oracle Key Vaultサーバーと通信する必要がなくなります。
関連項目:
親トピック: Oracle Key Vaultの主な機能
Oracle Key Vaultでは、キー、証明書、パスワードなど、すべてのセキュリティ・オブジェクトをバックアップできます。機密性の高いキーおよびセキュリティ・オブジェクトを適切に保護するためにバックアップを暗号化し、それらをリモート宛先に安全に格納することを支援します。
この機能によって、アプライアンスに障害が発生した場合、新しいOracle Key Vaultアプライアンスをバックアップから以前の状態にリストアできるため、機密データの損失を防止できます。
Oracle Key Vaultは、セキュア・コピー・プロトコル(SCP)を実装している任意のリモートの場所に、バックアップ・ファイルを転送できます。
システム管理者ロールのあるユーザーは、Oracle Key Vaultで次のバックアップおよびリストアのタスクを実行できます。
リモートのバックアップ場所の作成、削除および変更。
現在のバックアップ・スケジュールの設定、変更、または無効化。
1回限りのバックアップの即時開始。
今後の1回限りのバックアップのスケジューリング。
Oracle Key Vaultはホット・バックアップを実行するため、バックアップの作成中もシステムの動作は中断されません。
親トピック: Oracle Key Vaultの主な機能
RESTfulサービス・ユーティリティは、エンドポイントおよびエンドポイント・グループを大規模かつ迅速にエンロールおよびプロビジョニングできる自動化ツールです。自動化によって、エンドポイントをエンロールおよびプロビジョニングする複数のステップが、コマンドラインで関数を1回コールする操作に削減されます。このことは、RESTfulサービスのセキュリティ保護手段を使用して数百ものエンドポイントを同時にエンロールおよびプロビジョニングする必要がある、大規模な分散型エンタープライズ・システムの管理者にとって有用です。
関連項目:
RESTfulサービスによるエンドポイント・エンロールの自動化を参照してください。
親トピック: Oracle Key Vaultの主な機能
OASIS Key Management Interoperability Protocol (KMIP)は、異なるベンダーが提供するキー管理サーバーとエンドポイントの間のキー管理操作を標準化するものです。
Oracle Key Vaultは、次のOASIS KMIP Version 1.1プロファイルを実装します。
Basic Discover Versions Server Profile: エンドポイントにサーバー・バージョンを提供します。
Basic Baseline Server KMIP Profile: サーバーからオブジェクトを取得するためのコア機能を提供します。
Basic Secret Data Server KMIP Profile: サーバー上で機密情報データ(パスワードなど)を作成、格納、および取得する機能をエンドポイントに提供します。
Basic Symmetric Key Store and Server KMIP Profile: サーバー上で対称暗号化キーを格納および取得する機能をエンドポイントに提供します。
Basic Symmetric Key Foundry and Server KMIP Profile: サーバー上に新しい対称暗号化キーを作成する機能をエンドポイントに提供します。
関連項目:
OASIS KMIPの仕様に関する情報は、http://docs.oasis-open.org/kmip/spec/v1.1/os/kmip-spec-v1.1-os.htmlを参照してください。
親トピック: Oracle Key Vaultの主な機能
Oracle Key Vaultでは、Oracle Linux x86-64、Solaris、AIXおよびHP-UX (IA)のOracle Databaseバージョン11gリリース2以降が、エンドポイントとしてパッチ適用なしでサポートされます。また、Oracle Key Vaultでは、Windows Server 2008およびWindows Server 2012でOracle Databaseバージョン11gリリース2 (BP 9以降)および12cリリース1 (12.1.0.2)がサポートされます。
親トピック: Oracle Key Vaultの主な機能
Oracle Key Vaultは、生成された監査レコードの一元的な保存を実現するために、Oracle Audit Vault and Database Firewallの統合をサポートします。Oracle Key Vaultは、SNMP v3を使用したシステムの状態および可用性のモニタリングもサポートします。
親トピック: Oracle Key Vaultの主な機能
Oracle Key Vaultでは、MySQLのTDE暗号化キーを管理できます。
注意:
MySQL Windowsデータベースはサポートされません。親トピック: Oracle Key Vaultの主な機能
Oracle Key Vaultには、2つのインタフェースがあります。1つは管理コンソール、もう1つはセキュリティ・オブジェクトをアップロードおよび取得するためのエンドポイント・コマンドライン・ユーティリティです。
Oracle Key Vault管理コンソール
Oracle Key Vault管理コンソールは、ブラウザベースのグラフィカル・ユーザー・インタフェースで、Oracle Key Vault管理者はこれを使用してセキュリティ・オブジェクト、ウォレット、エンドポイントおよびユーザーを管理したり、高可用性、バックアップおよびリカバリなどのシステム設定を構成することができます。
Oracle Key Vault okvutilエンドポイント・ユーティリティ
okvutilコマンドライン・ユーティリティによって、エンドポイント管理者はOracle Key Vaultとエンドポイントの間でセキュリティ・オブジェクトをアップロードおよびダウンロードできます。okvutilユーティリティは、相互に認証されたセキュアな接続を使用してOracle Key Vaultと通信します。
次のステップをガイドラインとして使用して、組織内にOracle Key Vaultを正常にデプロイできます。
第2章「概念」で説明されている主要な概念を理解します。
第3章「Oracle Key Vaultのインストールと構成」の説明に従って、Oracle Key Vaultをインストールおよび構成します。
2台目のKey Vaultアプライアンスを追加することによって、高可用性構成を作成します。高可用性読取り専用制限モードを有効にして、エンドポイントの操作の継続性を確保します。このことについては、第4章「高可用性、バックアップおよびリストア」を参照してください。
注意:
高可用性環境に各Oracle Key Vaultサーバーをインストールするためには、個別のライセンスが必要です。
第5章「Oracle Key Vaultユーザーの管理」の説明に従って、Oracle Key Vaultの日常的なタスクを管理するユーザーを作成します。
第6章「Oracle Key Vault仮想ウォレットとセキュリティ・オブジェクトの管理」の説明に従って、Oracle Key Vaultに仮想ウォレットをアップロードまたは追加します。
第7章「Oracle Key Vaultエンドポイントの管理」の説明に従って、Oracle Key Vaultを使用してセキュリティ・オブジェクトを保存および管理できるようにエンドポイントを追加します。
第9章「Oracle Cloud Database as a Serviceのエンドポイント」の説明に従って、クラウドにエンドポイントを追加します。
第8章「Oracle Key Vaultのエンドポイントのエンロール」の説明に従って、エンドポイントとOracle Key Vaultの間でセキュリティ・オブジェクトをアップロードまたはダウンロードできるようにエンドポイントをエンロールします。
大規模なエンタープライズ・デプロイメントに対する、エンドポイントのエンロールおよびプロビジョニングの自動化については、第10章「RESTfulサービスによるエンドポイント・エンロールの自動化」を参照してください。
一般的なユースケースについては、第11章「Oracle Key Vaultのユースケース・シナリオ」を参照してください。
システムの管理やモニタリングなどの定期メンテナンス・タスクの実行方法については、第12章「一般的なOracle Key Vaultの管理」を参照してください。
親トピック: Oracle Key Vaultの概要
