| Oracle® Secure Backup管理者ガイド リリース12.2 E94560-01 |
|
 前 |
 次 |
バックアップ暗号化はオプションの簡単に構成できるメカニズムで、Oracle Secure Backupによってバックアップ・コンテナに書き込まれるクライアント・データがすべて暗号化されることを保証します。バックアップ暗号化は、ファイルシステム・データとRecovery Manager (RMAN)で生成されたバックアップのどちらに対しても実行できます。
注意:
ボリュームの複製またはボリュームの移行時に、暗号化はサポートされません。ボリューム上の暗号化されていないバックアップ・セクションは、ボリュームの複製またはボリュームの移行操作時に暗号化されません。ボリュームの複製およびボリュームの移行の詳細は、「ボールティング」を参照してください。
この章の内容は次のとおりです。
データは組織にとってきわめて重要なので、本番サーバーでアクティブな状態のデータ、またはバックアップ・テープに保存された状態のデータを、悪意から守る必要があります。データ・センター・セキュリティ・ポリシーによって、アクティブ・データへの物理的なアクセスを制限できます。テープに保存されているバックアップ・データのセキュリティを確保するために、Oracle Secure Backupではバックアップ暗号化が提供されています。
適切な暗号化ポリシーを設定することによって、グローバル・レベル、クライアント・レベルおよびジョブ・レベルでデータを暗号化できます。必要なアルゴリズムと暗号化オプションを選択して、暗号化処理を完了できます。
この項には、バックアップ暗号化の詳細を説明する、次の項目が含まれます。
Oracle Secure Backupでは、次の種類の暗号化を実行できます。
ソフトウェア暗号化
ソフトウェア暗号化は、Oracle Secure Backupソフトウェアがインストールされているホストでサポートされます。NDMPホストまたはNASファイラでは、サポートされません。バックアップされたデータは、ネットワーク経由でバックアップ・ストレージ・メディアに送信される前に暗号化されます。
バックアップでソフトウェア暗号化を使用する場合、このバックアップに関連付けられたすべてのバックアップ・イメージ・インスタンスが暗号化されます。バックアップが作成された時点でソフトウェア暗号化が有効でなくても、元の未暗号化バックアップを使用して作成されたバックアップ・イメージ・インスタンスがハードウェア暗号化をサポートするテープ・デバイスに格納されていれば、そのバックアップ・イメージ・インスタンスを暗号化できます。
関連項目:
バックアップ・イメージ・インスタンスをコピーする際のバックアップ暗号化に関する詳細は、『Oracle Secure Backupリファレンス』を参照してください。
ハードウェア暗号化
ハードウェア暗号化は、LTO5テープ・ドライブなど暗号化をサポートするテープ・デバイスでのみサポートされます。テープ・デバイス・ハードウェアが、必要なデータ暗号化を実行します。
ハードウェア暗号化を使用するバックアップがディスク・プールにコピーされた場合、ディスク・プール上のバックアップ・イメージ・インスタンスは暗号化されていません。ただし、バックアップがソフトウェア暗号化を使用して作成された場合、このバックアップを使用して作成されるバックアップ・イメージ・インスタンスに対してハードウェア暗号化を使用することはできません。
関連項目:
バックアップ暗号化は、容易に実装できるように設計されています。簡単な方法で1つのグローバル・ポリシーを変更することで、各クライアントのすべてのデータを確実に暗号化できます。また、バックアップ暗号化では、柔軟性の高い構成が可能です。
グローバル・レベルまたは特定のクライアントに暗号化を設定するには、暗号化ポリシーを次のいずれかの値に設定します。
required
このバックアップ・ドメインまたはクライアントで発生するデータはすべて暗号化されます。
allowed
このバックアップ・ドメインまたはクライアントで発生するすべてのデータは場合によって暗号化されます。暗号化の決定は、次の下位の優先順位レベルに従います。これはデフォルトの設定です。
暗号化設定は優先順位の高いものから低いもののまで、次のレベルで指定できます。暗号化ポリシーは、「バックアップ暗号化ポリシーについて」で説明されています
グローバル
バックアップ暗号化がグローバル・レベルでrequiredに設定されている場合、管理ドメイン内のすべてのバックアップ操作が暗号化されます。このグローバル・ポリシーは、Oracle Secure Backupのデフォルトおよびポリシーを使用して定義されます。
クライアント
ホストの暗号化設定がrequiredの場合、暗号化がバックアップ・レベルで構成されているどうかに関係なく、ホストでのすべてのバックアップ操作が暗号化されます。ホストの暗号化設定がallowedの場合、バックアップ・ジョブ自体の一部として構成されていないかぎり、あるいはグローバル暗号化ポリシーがrequiredに設定されている場合、ホストでのバックアップは暗号化されません。
ジョブ
ホストおよびグローバルの暗号化ポリシーがallowedに設定されている場合、バックアップ暗号化は、バックアップ・レベルで構成されている場合のみ実行されます。
上位レベルで指定された暗号化設定は常に下位レベルでの設定より優先されます。たとえば、バックアップ暗号化をグローバル・レベルで有効にし、ファイルシステム・バックアップ・ジョブで暗号化を無効にした場合、上位レベル(グローバル・レベル)の設定が優先されるため、バックアップは暗号化されます。
バックアップ暗号化を有効化する場合、次のオプションの1つを選択できます。
はい
このオプションは、バックアップが暗号化されることを指定します。
いいえ
このオプションは、バックアップが暗号化されないことを指定します。これはデフォルトの設定です。
強制オフ
このオプションは、バックアップが暗号化されないことを指定し、ホストで必要な暗号化設定を上書きします。
一時
このオプションは、ユーザー指定の1回かぎりのパスフレーズを使用してOracle Secure Backupによってバックアップが暗号化されることを指定します。このオプションを選択した場合は、暗号化アルゴリズムのオプションを選択し、パスフレーズの指定フィールドにパスフレーズを入力することも必要です。
クライアントのrekeyfrequencyポリシーによって、異なるキーがいつ生成されるかが定義されます。たとえば、ポリシーによって、異なるキーのセットを30日ごとに生成するように求められることがあります。古いキーは、ウォレットで保護されたキー・ストアに保持されます。このようにしておくと、キーまたはウォレットおよび関連するバックアップ・テープが改ざんされても、古いデータだけは暗号化を解除できます。クライアントのデフォルトのrekeyfrequencyポリシーは、グローバルのrekeyfrequencyポリシーから継承されます。
暗号化アルゴリズムはグローバル・デフォルト・ポリシーから継承され、クライアント・レベルでオーバーライドできます。クライアントごとに異なる暗号化アルゴリズムを使用できます。たとえば、従業員名簿関連のコンピュータは試験研究所関連のコンピュータより高いレベルの暗号化を使用できます。サポートされている暗号化アルゴリズムは次のとおりです。
AES128
AES192
AES256
関連項目:
ハードウェア暗号化オプションの詳細は、「ハードウェア暗号化アルゴリズムについて」を参照してください
Oracle Secure Backupは、ユーザー・レベルのアクセス、ホスト認証およびキー管理を主に制御する、混合的な暗号化セキュリティ・モデルを提供します。バックアップ暗号化を有効化すると、定義された暗号化アルゴリズムを使用してすべてのデータが暗号化されます。データはクライアントから移動される前に暗号化されます。暗号化キーは、Oracle Secure Backupウォレットで保護されるメカニズムに格納されます。
管理サーバーは安全なホストとみなされます。すべてのクライアントのすべてのキーとウォレットで保護されるキー・ストアは、この保護されたコンピュータに格納されます。バックアップまたはリストア・ジョブが開始すると、暗号化キーは、データの暗号化または復号化を行うクライアントにSSL接続を介して渡されます。暗号化キーがメモリーに存在するのは、暗号化または復号化を実行するのに必要な間のみです。
暗号化キー・ストアによってすべてのテープの暗号化と復号化が可能になるため、暗号化キー・ストアは非常に重要です。キー・ストアが失われると、データもすべて失われます。ベスト・プラクティスは、提供されるOSB-CATALOG-DSデータセットを使用して、Oracle Secure Backup管理サーバーのカタログ・バックアップを頻繁にスケジュールすることです。これにはキー・ストアのバックアップが含まれるためです。暗号化キー・ストアの形式はプラットフォームに依存しません。
Oracle Secure Backupの管理データのバックアップは、自動生成キーで暗号化しないでください。自動生成キーで管理データを暗号化した場合、管理サーバーで障害が発生すると、暗号化キーの暗号化に使用された復号化キーを取り戻すのは困難だからです。このため、管理サーバー・ツリーの一時バックアップを作成することをお薦めします。
キーは、ランダムに(透過的なキー)、またはパスフレーズを使用して、生成できます。推奨操作モードおよびデフォルト値は自動生成です。新たに作成されるクライアントごとに、mkhostフェーズでキーが自動的に生成されます。この透過的なキーは、ウォレットで保護されたこのクライアント専用のキー・ストアに追加され、次の状況まで、暗号化で使用できます。
キーの更新イベントの発生
バックアップ管理者による自動生成キーの手動更新
バックアップ管理者によるキーからパスフレーズへの変更(異なるパスフレーズの提供時)
パスフレーズはどこにも格納されません。パスフレーズのハッシュとパスフレーズから生成されるキーは、暗号化されたストアに格納されます。Oracle Secure Backupではパスフレーズの最小長は強制されません。
新しいキーが作成されると、ウォレットで保護されたキー・ストアに追加され、アクティブな暗号化キーとしてマークが付けられます。古い暗号化キーはキー・ストアに残され、シームレスな自動データ復号化に使用されます。クライアントがバックアップ・ドメインから削除されても、そのキー・ストアは引き続き管理サーバーで保持されます。これにより、暗号化されたバックアップ・ボリューム・セットの古さにかかわらず、バックアップ管理者は常にデータをリストアできるようになります。
注意:
キーがキー・ストアに自動的に追加されない例外が1つあります。一時バックアップのキーは実質的に1回かぎりのキーであり、通常はキー・ストアに格納されません。コマンドライン・オプションを使用してこの動作を上書きできます。一時バックアップの詳細は、「一時バックアップ暗号化について」を参照してください。
キーが期限切れになると、別のキーが自動的に生成されます。ただし、パスフレーズ生成キーの場合、バックアップ管理者に多少のオーバーヘッドがあり、管理者はパスフレーズ生成キーを使用するクライアントごとにパスフレーズを入力する必要があります。パスフレーズ生成キーが期限切れになると、バックアップ管理者が表示されたクライアントのパスフレーズを更新する必要があることを示す警告メッセージがOracle Secure Backupから表示されます。このメッセージは、Oracle Secure Backupログ・ファイル、ディスプレイへの出力およびバックアップ管理者への電子メールに示されます。
ファイルシステム・バックアップでは、管理ドメイン全体、特定のクライアント、または特定のバックアップ・ジョブに対して暗号化を選択できます。特定のファイルシステム・バックアップ・ジョブに暗号化を定義するには、ファイルシステム・バックアップ・ジョブに関連付けられているバックアップ・スケジュールに暗号化ポリシーを指定します。ファイルシステム・データのオンデマンド・バックアップに暗号化を構成することもできます。
関連項目:
Oracle Databaseバックアップでは、管理ドメイン全体、特定のクライアント、または特定のバックアップ・ジョブに対して暗号化を指定できます。特定のOracle Databaseバックアップ・ジョブに対する暗号化は、データベース・バックアップ記憶域セレクタまたはRecovery Manager (RMAN)メディア管理パラメータOB_ENCRYPTIONを使用して指定します。Oracle Secure Backupが使用する暗号化アルゴリズムは、Oracle Secure Backupに対して構成されたアルゴリズムに依存します。
関連項目:
バックアップ記憶域セレクタの詳細は、「データベース・バックアップ記憶域セレクタの追加」を参照してください
特定のOracle Databaseバックアップ・ジョブでは、OB_ENCRYPTIONパラメータを使用して行われた設定は、バックアップ・ジョブに関連付けられているデータベース記憶域セレクタを指定して行われた設定をオーバーライドします。
SBTからのRMANデータが暗号化されている場合、Oracle Secure Backupはそれ以上の暗号化は行いません。RMANの暗号化により、Oracle Secure Backup内のホストまたはグローバルのrequired暗号化設定が満たされます。たとえば、ホストの暗号化構成がrequiredで、バックアップがRMANによって暗号化された場合、ホストの暗号化構成のrequiredが満たされるため、Oracle Secure Backupはバックアップを再暗号化しません。RMAN暗号化バックアップでは、暗号化キーはデータベースによって管理され、Oracle Secure Backup内に構成されているホストの暗号化キー設定は適用されません。
ホストで暗号化がrequiredと構成されているが、RMANバックアップの暗号化が無効の場合、Oracle Secure Backupは、ホストの暗号化構成に基づいたOracle Secure Backup暗号化を使用してRMANバックアップを暗号化します。
RMANパラメータ OB_ENCRYPTIONの値
次の値をOB_ENCRYPTIONパラメータに設定できます。
ON
Oracle Secure Backupは、バックアップ・データがRMANによってまだ暗号化されていない場合、バックアップ・データを暗号化します。
OFF
ホストのポリシーまたはグローバル・ポリシーがrequiredに設定されていない場合、バックアップ・データは暗号化されません。OB_ENCRYPTIONをOFFに設定すると、値を指定しないのと同じことになります。
FORCEDOFF
Oracle Secure Backupはデータベース・バックアップを暗号化せず、requiredに設定されたホストまたはドメインの暗号化設定をオーバーライドします。FORCEDOFFの設定はRMANには影響しません。RMANはバックアップ・データを暗号化できます。
SWENCRYPTION
Oracle Secure Backupはハードウェア暗号化ではなくソフトウェア暗号化を使用します。このオプションは、状況によってハードウェア暗号化を使用しない場合に備えて提供されています。
関連項目:
詳細は、『Oracle Databaseバックアップおよびリカバリ・ユーザーズ・ガイド』を参照してください。
Oracle Secure Backupは、テープがオンサイトにあるか、オフサイトにあるか、それとも失われているかに関係なく、テープ上のバックアップ・データを保全する、ポリシーベースのバックアップ暗号化を提供します。この項では、暗号化ポリシーによって監視される様々なタイプのバックアップにおけるバックアップ暗号化について説明します。
場合によっては、バックアップ・ドメイン・サイトAの一連のデータをバックアップして、別のドメイン・サイトBにリストアする必要があります。バックアップ・セットは、いくつかのクライアントのバックアップ・ファイルを含む場合があります。クライアント・バックアップ・ファイルのそれぞれは、クライアント固有の暗号化キー(サイトAでの最近のバックアップで使用された可能性が高い)で暗号化されます。サイトBでこのデータを復号化するために、サイトAでデータの暗号化に使用されたすべてのキーを収集してサイトBに送る必要があります。
これらのキーは他の最近のバックアップに使用されたため、このシナリオはセキュリティに対する重大な脅威となりえます。Oracle Secure Backupでは、特定のバックアップ・ジョブのボリューム・セット・レベルでデータを暗号化することで、このセキュリティの脅威を排除してサイト間バックアップ暗号化を行えます。ボリューム・セット暗号化のキーはパスフレーズに基づきます。このバックアップ・ジョブに含まれるすべてのクライアントでこのパスフレーズ生成キーに対してデータが暗号化されます。サイトAのバックアップ管理者は、使用されるパスフレーズと暗号化アルゴリズムをサイトBに渡します。サイトBのリストア操作時にパスフレーズと暗号化アルゴリズムが提供され、データが復号化されます。
これ以外のすべての場合、バックアップ暗号化の暗号化キーは、ウォレットで保護された対応するキー・ストアに自動的に追加されます。ただし、一時キーは、主としてデータをリモートの場所に移すために使用される1回かぎりのキーです。したがって、デフォルトでは、一時暗号化キーは保護されたキー・ストアには格納されません。Oracle Secure Backupでは、バックアップ管理者が一時暗号化キーをキー・ストアに格納するためのオプションはありません。
Oracle Secure Backupでは、ファイルシステム・バックアップとして一時パスフレーズ暗号化のみをサポートします。Oracle Databaseでは、RMANを使用して一時パスフレーズ暗号化バックアップを作成およびリストアしてください。
関連項目:
一時バックアップを暗号化する手順の詳細は、「一時バックアップ暗号化の有効化」を参照してください
パスワード・ベース暗号化を使用したOracle Databaseの暗号化バックアップの作成に関する詳細は、『Oracle Databaseバックアップおよびリカバリ・リファレンス』を参照してください。
RMANまたはOracle Secure Backupを使用したバックアップ・データの暗号化には、パフォーマンスに影響を与えるという短所があります。この影響を判定するのは難しく、その重要性も状況によって異なります。パフォーマンスに影響を与えずに暗号化を実行する場合、Oracle Secure Backupでは選択したLTOおよびT10000テープ・ドライブ形式でのハードウェアベースの暗号化を使用できます。
ハードウェア暗号化に対するLTOおよびT10000インタフェースは、ハードウェア暗号化のためのSCSI仕様を通じて実現できます。他のベンダーからも同様のハードウェアが提供されており、それらの製品はOracleによってテストおよび承認済として、Oracle Secure Backupに対応していることが動作保証されています。Oracle Secure Backup対応の各テープ・デバイスの詳細は、次のURLで入手できます。
http://www.oracle.com/technetwork/database/database-technologies/secure-backup/learnmore/index.html
ハードウェアベースの暗号化による、既存のOracle Secure Backup暗号化モデルに対する変更はありません。ハードウェアベースの暗号化で必要なものは、選択したテープ・ドライブ・ハードウェアを除けば、Oracle Secure Backup内のポリシー・レベル、ホスト・レベルまたはバックアップ・ジョブ・レベルで暗号化を有効にすることだけです。ハードウェアベースの暗号化に関するすべての暗号化の決定、ポリシー、キー管理および設定は、ソフトウェアベースの暗号化に関するものと同じです。
ハードウェアベースの暗号化を選択するには、バックアップ用のテープ・ドライブを選択するか、Oracle Secure Backup管理ドメインに選択したテープ・ドライブを含めるだけです。Oracle Secure BackupはSCSIコマンドを使用してテープ・ドライブ内の暗号化機能を有効にし、暗号化キーをテープ・ドライブに送信します。暗号化は、Oracle Secure Backupによるソフトウェアではなく、ハードウェアのLTOおよびT10000ドライブ形式で実行されます。ハードウェア暗号化をサポートするドライブがない場合、または互換性のあるテープがドライブにない場合、既存のOracle Secure Backupソフトウェア暗号化モデルが使用されます。
ハードウェア暗号化をサポートするドライブに互換性のあるテープが含まれてはいるが、バックアップを完了するために追加の互換性のあるテープが必要な場合、Oracle Secure Backupは追加のLTOまたはT10000テープを探します。見つかった場合は、そのサポートするテープがマウントされ、バックアップが続行されます。追加の互換性のあるテープをマウントできなかった場合、ジョブの状態はRunningと表示され、バックアップ・オペレータによる入力が必要となります。
注意:
ハードウェアベースの暗号化を使用してバックアップし、ソフトウェアベースの暗号化を使用してリストアすることはできません。また、ソフトウェアベースの暗号化を使用してバックアップし、ハードウェアベースの暗号化を使用してリストアすることもできません。
backupコマンドの--disablehardwareencryptionオプションを使用すると、一時バックアップでのハードウェアベースの暗号化を無効にできます。このオプションは、Oracle Secure Backupに、強制的にソフトウェアベースの暗号化を使用してバックアップさせます。
enablehardwareencryptionバックアップ暗号化ポリシーを「いいえ」に設定することによって、ハードウェア暗号化を無効にすることもできます。
関連項目:
backupコマンドの詳しい構文とセマンティックは、『Oracle Secure Backupリファレンス』を参照してください。
ハードウェアベースの暗号化では追加のレポートやログは生成されませんが、次の既存のレポートおよびログに影響を与えます。
ハードウェアベースの暗号化により、Oracle Secure Backupが暗号化設定on/off/forcedoff/rmanを示しているすべてのトランスクリプト、ログまたはレポートに、選択したテープ・ドライブによって暗号化されたデータのhardwareおよびtransient_hardware設定が追加されます。
ジョブ・トランスクリプトには暗号化のタイプとアルゴリズムが表示されます。
lssection -longコマンドの出力には暗号化タイプが含まれます。
lssectionコマンドの出力例を次に示します。
ob> lssection --long
Backup section OID: 114
Containing volume: passphrase-mf-000001
Containing volume OID: 119
File: 2
Section: 1
Backup level: 0
Client: storabck34
Encryption: hardware
Algorithm: aes256
Created: 2014/02/25.15:30
Size: 1.9 MB
lsvol --longコマンドの出力では、ボリュームを暗号化できるかどうかがテープの属性フィールドに表示されます。表示される可能性のある値は、unknown、hw encryptable、およびnot hw encryptableです。unknown値はテープがマウントされ、Oracle Secure Backupがハードウェアの暗号化をサポートするかどうかを判別できるまで保持されます。
lsdev --long --geometryコマンドは、ハードウェア暗号化を使用できるかどうかについてレポートします。
Oracle Secure Backupでは、ソフトウェアベースの暗号化について暗号化アルゴリズムAES128、AES192およびAES256がサポートされます。ホストベースのソフトウェア暗号化に加えて、Oracle Secure Backupでは、Oracle Secure Backupテープ・ドライブ互換性デバイス・マトリックスにリストされている、互換性のあるテープ形式(LTOおよびT10000など)のテープ・ドライブ・ハードウェア暗号化もサポートされます。Oracle Secure Backupは、テープ・ドライブ暗号化を実行する際に、自動的にAES256アルゴリズムを選択します。Oracle Secure Backupの暗号化キー管理は、ホストベースのソフトウェア暗号化とテープ・ドライブ暗号化のどちらを実行するかにかかわらず、同一です。
ハードウェア暗号化バックアップ・ジョブが完了すると、ジョブ・トランスクリプトおよびその他のすべてのレポートにAES256暗号化アルゴリズムが表示されます。アーカイブ・セクション・データベースおよびテープ・ヘッダーにも、AES256アルゴリズムが暗号化に使用されたことが示されます。
この動作は、ハードウェア暗号化による一時バックアップを実行する場合にのみ問題となり、キーは格納されません。この場合は、リストアを実行するときにAES256アルゴリズムを提供する必要があります。ハードウェア暗号化一時バックアップでbackup --storeオプションを使用した場合、アルゴリズムは不要です。
関連項目:
backupコマンドの詳しい構文とセマンティックは、『Oracle Secure Backupリファレンス』を参照してください。
Oracle Secure Backupでのハードウェアベースの暗号化は、次の2つの暗号化ポリシーによって制御されます。
enablehardwareencryption
デフォルトで、Oracle Secure Backupは、自動的にテープ・ドライブ暗号化を活用してホストベースの暗号化を行います。このポリシーの値がnoに変更されると、Oracle Secure Backupはハードウェアベースの暗号化ではなくソフトウェアベースの暗号化を実行します。
requireencryptablemedia
このポリシーがデフォルト値のnoに設定された場合、Oracle Secure Backupは最初にハードウェア暗号化に対応したテープをマウントしようとします。マウントできない場合、Oracle Secure Backupはソフトウェア暗号化に切り替えます。このポリシーの値がyesに変更されると、Oracle Secure Backupはハードウェア暗号化に対応したテープが使用可能になるまで、ジョブを保留状態にします。
テープ・ドライブがハードウェア暗号化に対応していない場合や、暗号化に対応しているテープを特定できない場合、このポリシーは無視されます。
関連項目:
ハードウェア暗号化を有効化する手順の詳細は、「ハードウェア暗号化の有効化」を参照してください。
Oracle Secure Backupでは、バックアップ管理者がグローバルまたはクライアントの暗号化設定を変更せずに、1回かぎりの非暗号化バックアップを実行することができます。
バックアップ管理者が、あるホストのすべてのホーム・ディレクトリを別のホストに移動する予定であるが、これらの2つのホスト間で直接ファイルをコピーしないとします。かわりに、バックアップ管理者は、データセットに対応するデータをテープにバックアップし、別のホストにリストアします。転送後、ただちにテープまたはテープの中身を破棄します。バックアップ管理者は、処理のオーバーヘッドの点から、暗号化を使用しません。
このような特殊な場合に、バックアップ管理者はbackup --encryption forcedoffコマンドを使用できます。このコマンドは、グローバルおよびクライアントの暗号化設定を上書きし、暗号化されないバックアップを実行します。このジョブのトランスクリプトと他のすべてのレポートには、このバックアップ・セットで暗号化が強制的に無効化されたことが記述されます。RMANバックアップでもRMANのOB_ENCRYPTION変数を使用する同様の機能があります。
関連項目:
obtoolのbackupコマンドの詳しい構文とセマンティックは、『Oracle Secure Backupリファレンス』を参照してください。
デフォルトでは、グローバルおよびクライアントの最初のバックアップ暗号化ポリシー設定はallowedです。暗号化キーは、デフォルトのAES192暗号化アルゴリズムで自動的に生成されます。デフォルト構成が企業にとって十分であるとバックアップ管理者が判断すれば、構成を行う必要はありません。この項では、それよりも複雑なケースの構成について説明します。
次に示す少し複雑な企業では、3つのクラスのホストがあり、それぞれが異なるタイプとレベルの暗号化を必要としています。
開発者用
これらのクライアントでは、sourcecodeと呼ばれるデータセットのソース・コード・バックアップ操作のみで暗号化が必要です。
給与計算用
このクライアントでは、毎週異なる暗号化キーを使用するAES256暗号化が必要です。
CEO用
このクライアントでは、パスフレーズ生成キーを使用してすべてのデータを暗号化する必要があります。
開発者用クライアントではオプションを変更する必要はありません。バックアップ管理者は、開発者用コンピュータのバックアップに使用されるバックアップ・ジョブをsourcecodeデータセットのために更新します。バックアップ・スケジュールがまだない場合、バックアップ管理者はmkschedコマンドを使用してバックアップ・スケジュールをバックアップします。
mksched --dataset sourcecode --type backup --encryption yes SourceCode
バックアップ・スケジュールが存在している場合は、同じオプションを指定してchschedコマンドを使用します。
給与計算用ホストでは、デフォルトのクライアント・ポリシーと、暗号化アルゴリズム、キー生成時間およびクライアント暗号化フラグの設定を変更する必要があります。バックアップ管理者は、次のようにchhostコマンドを使用してこのような変更を行うことができます。
chhost -algorithm aes256 -encryption required -rekeyfrequency 1week Payroll
これにより、給与計算用クライアントのすべてのデータが、毎週異なる暗号化キーを使用して常にAES256アルゴリズムで暗号化されるようになります。
CEO用クライアントはデフォルトの暗号化で十分ですが、バックアップ管理者は暗号化キーのタイプをパスフレーズ生成に変更する必要があります。これは、次のようにchhostコマンドをもう1回使用して設定します。
chhost --keytype passphrase TheBoss
パスフレーズの入力を要求されます。初期構成が一度実行された後は、バックアップ暗号化を管理するための追加作業はほとんどありません。
キーはOracle Secure Backup内部のキーストアで管理されるため、バックアップをリストアする際に、コマンドラインにパスフレーズを入力しないでください。restoreコマンドはこのパスフレーズを参照せず、キー管理は透過的です。
ホスト・ベースのパスフレーズと透過的な暗号化では、暗号化の処理方法は同じです。暗号化鍵が作成された方法のみが異なります。
暗号化の状態は、ファイルシステムとRMANのバックアップの両方で、バックアップ操作中にジョブのトランスクリプトにされます。
Oracle Secure Backupを使用すると、異なるドメインで暗号化されたバックアップをリストアできます。たとえば、ドメインAでバックアップを暗号化し、ドメインBでこのバックアップをリストアすることができます。
ob> backup --level full --at 2013/09/17.21:00 --priority 10 --privileged --encryption transient --algorithm aes128 --passphrase transient --dataset mydatasets1/test.ds --go Info: backup request 1 (dataset mydatasets1/test.ds) submitted; job id is admin/3.
データはクライアント・レベルで暗号化されます。各クライアントには独自のキーのセットがあります。1つのキーが、バックアップの暗号化に使用されるアクティブ・キーです。古いキーは、それらを使用して作成された古いバックアップをシームレスにリストアするために使用されます。
注意:
Oracle Secure Backupでは、NASデバイスのバックアップは暗号化されません。Oracle Secure Backupの暗号化は、Oracle Secure Backupソフトウェアがインストールされたクライアント・ホストで実行されます。バックアップ・ソフトウェアをNASデバイスに直接インストールできないため、バックアップおよびリストア操作にはNDMPを使用します。
関連項目:
バックアップ・カタログ・データの暗号化の詳細は、「カタログ・インポート暗号化について」を参照してください
バックアップ・レベルで暗号化を有効化できます。バックアップ・レベルの暗号化設定は、グローバル暗号化ポリシー設定を上書きします。
ハードウェア暗号化ポリシーの値を変更するには、次のようにします。
「Oracle Secure Backup Webツール・ホームページの表示」の手順に従います。
Oracle Secure Backupのホームページで「構成」をクリックします。
「構成」ページが表示されます。
「拡張」セクションの「デフォルトとポリシー」をクリックします。
「構成: デフォルトとポリシー」ページが表示されます。
「ポリシー」列で、backupencryptionをクリックします。
図12-1に示すように、「構成: デフォルトとポリシー > backupencryption」ページが表示されます。
暗号化対応テープが互換性のあるテープ・ドライブにロードされない場合にバックアップ・ジョブを保留状態にするには、「暗号化対応メディアが必要」リストで「はい」を選択します。
「OK」をクリックします。
「構成: デフォルトとポリシー」ページに正常終了のメッセージが表示されます。
