2 HSMの構成

HSMは、鍵を保護するように構成することも、従来のプライマリ/スタンバイ設定で動作するように構成することも、マルチマスター・クラスタ内で構成することもできます。

• HSMによるOracle Key Vault TDEマスター・キーの保護
  
• プライマリ/スタンバイOracle Key VaultインストールでのHSMの有効化
  
• マルチマスター・クラスタでのHSM
  
• HSMモードでのバックアップおよびリストア
  
• ローカル・ウォレットへの逆移行
  

2.1 HSMによるOracle Key Vault TDEマスター・キーの保護

HSMを使用してTDEマスター・キーを保護するには、次の手順に従います。

1. システム管理権限を持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
   Oracle Key Vaultの「Home」ページが表示されます。
2. 「System」タブをクリックします。
   「Status」ページが表示されます。
3. 左側のサイドバーで「Hardware Security Module」をクリックします。
   「Hardware Security Module」ページが表示されます。赤い下向き矢印は、初期化未済を示す「Status」を示します。「Type」フィールドには何も表示されません。
   
   図hsm_page.pngの説明
   
4. 「Initialize」をクリックします。
   「Initialize HSM」画面が表示されます。
   
   図hsm_init_bp3.pngの説明
   
5. HSM資格証明を2回入力します。1回目は「HSM Credential」に、2回目は「Re-enter HSM Credential」に入力します。
6. Oracle Key Vaultの「Recovery Passphrase」を入力します。
7. 「Initialize」をクリックします。
   初期化操作が正常終了すると、「Hardware Security Module」ページが表示されます。初期化済の「Status」が緑色の上向き矢印で示されます。「Type」フィールドには、使用しているHSMの詳細が表示されます。
   
   図hsm_post_init.pngの説明
   
8. nCipher Hardware Security Module (HSM)を実装している場合は、ユーザーoracleとして、次のコマンドを実行します。

   oracle$ /opt/nfast/bin/rfs-sync --commit 

初期化操作が失敗した場合、「Hardware Security Module」ページにリダイレクトされ、初期化未済を示す「Status」が表示され、「Type」には「None」が表示されます。

注意:

初期化後、HSMのHSM資格証明を変更した場合は、「Set Credential」コマンドを使用して、Oracle Key Vaultサーバー上のHSM資格証明も更新する必要があります。

2.2 プライマリ/スタンバイOracle Key VaultインストールでのHSMの有効化

プライマリ/スタンバイOracle Key Vaultインストールでは、プライマリおよびスタンバイとして指定するサーバーで別々にHSMを有効化してから、プライマリ/スタンバイ構成でこれらをペアとする必要があります。

nCipher HSMを使用してプライマリ/スタンバイを有効にしている場合、詳細はベンダー固有の注意事項 - nCipherを参照してください。

プライマリ/スタンバイ・デプロイメントでHSMを有効にするには、次の手順を実行します。

1. 2つの異なるOracle Key Vaultインスタンスをインストールします。
2. 1つをプライマリ・ノードに選択し、もう1つをスタンバイ・ノードに選択します。
3. プライマリおよびスタンバイ・ノードの両方に、HSMクライアント・ソフトウェアをインストールします。
4. プライマリおよびスタンバイ・ノードをHSMクライアントとしてエンロールします。
5. プライマリでHSMの使用を初期化します。SSHを介して、ユーザーsupportとして指定のプライマリ・サーバーにログインし、ユーザーをrootに切り替え(su)、次に、ユーザーをoracleに切り替えます(su)。

   $ ssh support@okv_primary_instance
   <Enter password when prompted>
   $ su root
   root# su oracle

6. プライマリ・サーバーで、ユーザーoracleとして次の手動による手順を実行します。

   oracle$ cd /usr/local/okv/hsm/wallet
   oracle$ scp cwallet.sso support@okv_standby_instance:/tmp
   oracle$ scp enctdepwd support@okv_standby_instance:/tmp
   oracle$ cd /usr/local/okv/hsm/restore
   oracle$ scp ewallet.p12 support@okv_standby_instance:/tmp

7. SSHを介して、ユーザーsupportとして指定のスタンバイ・サーバーにログインし、次に、ユーザーをrootに切り替えます(su)。

   $ ssh support@okv_standby_instance
   <Enter password when prompted>
   $ su root
   

8. okv_security.confファイルを開きます。

   HSMモードを有効化する前のokv_security.confファイルの例:

   SNMP_ENCRYPTION_PWD="snmp_encryption_password" 
   SNMP_AUTHENTICATION_PWD="snmp_auth_password" 
   SNMP_USERNAME="snmpuser" 
   SMTP_TRUSTSTORE_PWD="smtp_truststore_password" 
   HSM_ENABLED="0" 
   FIPS_ENABLED="0" 
   HSM_FIPS_ENABLED="1"

   Oracle Key Vault 12.2.0.6.0以降では、okv_security.confファイルに FIPS_ENABLED="0"が含まれます。18.1.0.0.0以降では、ファイルokv_security.confにHSM_FIPS_ENABLED="1"が含まれます。12.2.0.6.0より前のバージョンでは、FIPS_ENABLEDオプションが存在しませんでした。

9. okv_security.confファイルでHSM_ENABLEDパラメータを有効化します。

   $ cd /usr/local/okv/hsm/wallet
   $ mv /tmp/enctdepwd .
   $ mv /tmp/cwallet.sso .
   $ chown oracle *
   $ chgrp oinstall *
   $ cd /usr/local/okv/hsm/restore
   $ mv /tmp/ewallet.p12 .
   $ chown oracle *
   $ chgrp oinstall *
   $ vi /usr/local/okv/etc/okv_security.conf
      Set HSM_ENABLED="1"
      Set HSM_PROVIDER="<provider value>"
   

   viファイルで文字列:wq!を入力して保存し、終了します。

   HSMを有効化した後、okv_security.confファイルは次のようになります。

   SNMP_ENCRYPTION_PWD="snmp_encryption_password" 
   SNMP_AUTHENTICATION_PWD="snmp_auth_password" 
   SNMP_USERNAME="snmpuser" 
   SMTP_TRUSTSTORE_PWD="smtp_truststore_password" 
   HSM_ENABLED="1" 
   HSM_PROVIDER="<provider value>"

   Oracle Key Vault 12.2.0.6.0以降のokv_security.confファイルには、追加のパラメータが含まれています。

   FIPS_ENABLED="0"

   Oracle Key Vault 12.2.0.6.0以降では、okv_security.confファイルに FIPS_ENABLED="0"が含まれます。18.1.0.0.0以降では、ファイルokv_security.confにHSM_FIPS_ENABLED="1"が含まれます。12.2.0.6.0より前のバージョンでは、FIPS_ENABLEDオプションが存在しませんでした。

   特定のプロバイダの値を使用するには、ベンダー固有の注意事項を確認します。

10. その後、OKVインスタンスを再起動せずに、プライマリおよびセカンダリ管理コンソールに移動して、プライマリ/スタンバイを構成します。

2.3 マルチマスター・クラスタでのHSM

HSMが有効なOracle Key Vaultインストールでは、HSMは最高レベルの暗号化鍵を格納することにより、OKVで使用される暗号化鍵を保護するルート・オブ・トラスト(RoT)として機能します。HSMは、標準的なサーバーよりアクセスが困難な、改ざんされにくい専用ハードウェアを使用して構築されています。これにより、RoTが保護され、抽出も困難になるため、侵害のリスクが軽減されます。また、HSMは、特定のコンプライアンス要件を満たすために役立つFIPS 140-2レベル3モードで使用できます。

注意:

既存のOracle Key Vaultのデプロイメントを移行しても、HSMをルート・オブ・トラストとして使用できません。

マルチマスターOKVインストールでは、クラスタ内のOKVノードが任意のHSMを使用できます。マルチマスター・クラスタのノードは、異なるTDEウォレット・パスワード、ルート・オブ・トラスト・キーおよびHSM資格証明を使用できます。

注意:

完全なセキュリティを確保するには、クラスタ内のすべてのOKVノードがHSM対応である必要があります。

• 単一ノードのマルチマスター・クラスタのHSMの設定
  
• 複数のノードのマルチマスター・クラスタのHSMの設定
  

2.3.1 単一ノードのマルチマスター・クラスタのHSMの設定

マルチマスター・クラスタでHSMを使用する場合は、この項で説明するとおり、単一のHSM対応ノードから開始してHSM対応ノードを追加することをお薦めします。

単一ノードのマルチマスター・クラスタ用にHSMを設定する手順は、次のとおりです。

• クラスタの最初のノードを構成します。
• 新しいノードを追加する前に、最初のノードでHSMを構成します。クラスタに複数のノードがすでに存在する場合は、次に説明する手順に従います。
• クラスタに追加するOracle Key VaultサーバーをHSM対応にします。
• HSM対応ノードをクラスタに追加します。クラスタ内のすべてのノードがすでにHSM対応である場合、HSMに対応していない新しいノードを追加することはできません。

2.3.2 複数のノードのマルチマスター・クラスタのHSMの設定

マルチマスター・クラスタ用にHSMを設定するには、単一ノードを使用したマルチマスター・クラスタのHSMの設定をお薦めします。

HSM対応の最初のノードが、複数のノードがすでにあるクラスタにある場合、他のノードを有効化する前に、そのHSM対応のOKVからクラスタ内の他のすべてのOKVに情報を手動でコピーする必要があります。

HSM対応の最初のノードにダウンストリーム・ピアがある場合、ダウンストリーム・ピアは、バンドルをコピーしてダウンストリーム・ピアに正常に適用するまで、HSM対応ノードからの情報を復号化できません。

複数のノードのマルチマスター・クラスタ用にHSMを設定する手順は、次のとおりです。

• クラスタのノードでHSMを構成します。

• HSM対応ノードで、「HSM」ページの「Create Bundle」をクリックします。

• SSHを介してユーザーsupportとしてHSMノードにログインします。

  ssh support@hsm_enabled_node
  <Enter password when prompted>

• rootユーザーに切り替えます。

  su root
  <Enter password when prompted>

• IPアドレスを使用して他の各ノードの/usr/local/okv/hsmの場所にバンドルをコピーする手順は、次のとおりです。

  scp /usr/local/okv/hsm/hsmbundle support@ip_address:/tmp

• IPアドレスを使用して、クラスタ内の各ノードにログインします(元のHSM対応ノードを除く)。

  ssh support@ip_address
  <Enter password when prompted>
  

• rootユーザーに切り替えます。

  su root
  <Enter password when prompted>

• 各ノードで次の手順を実行します。

  cp /tmp/hsmbundle /usr/local/okv/hsm/
  chown oracle:oinstall /usr/local/okv/hsm/hsmbundle

• 元のHSM対応ノードを除く各ノードで、「HSM」ページの「Apply Bundle」をクリックします。このノードを逆移行する前に、すべてのノードでバンドルをただちに適用する必要があります。最初のノードをHSM対応にしたのと同じ方法で、これらの各ノードをHSM対応にします。すべてのノードをHSM対応にして、すべてのノード間のレプリケーションを確認した後、すべてのノードからhsmbundleファイルを削除します。

2.4 HSMモードでのバックアップおよびリストア

HSMモードを有効にしてOracle Key Vaultをバックアップおよびリストアできます。

• HSMモードでのバックアップ
  
• HSMモードでのリストア
  

2.4.1 HSMモードでのバックアップ

Oracle Key VaultデータのHSMモードでのバックアップは、HSM以外のモードでのバックアップと同様です。したがって、通常の方法でバックアップを実行します。

2.4.2 HSMモードでのリストア

HSMモードで取得されたバックアップのみが、HSMを有効化したOracle Key Vaultにリストアできます。システムにバックアップをリストアする前に、次の2つのものにシステムからアクセスできることを確認する必要があります。

• HSM

• バックアップの取得に使用したルート・オブ・トラスト

そのため、この手順の前に、Oracle Key VaultサーバーにHSMをインストールし、HSMクライアントとしてOracle Key Vaultをエンロールしている必要があります。バックアップがHSM対応クラスタ・ノードで行われた場合、そのバックアップをスタンドアロン・サーバーにリストアする場合、サーバーはバックアップが行われたノードと同じHSMにアクセスできる必要があります。

リストアのためにシステムを準備するには、次の手順を実行します。

1. システム管理権限を持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
   Oracle Key Vaultの「Home」ページが表示されます。
2. 「System」タブをクリックします。
   「Status」ページが表示されます。
3. 左側のサイドバーで「Hardware Security Module」をクリックします。
   「Hardware Security Module」ページが表示されます。リストア時に、まず「Status」が無効化され、リストの終了後に有効化されます。
4. 「Set Credential」をクリックします。
   「Prepare for HSM Restore」画面が表示されます。
   
   図hsm_set_cred_bp3.pngの説明
   
5. HSM資格証明を2回入力します。1回目は「HSM Credential」に、2回目は「Re-enter HSM Credential」に入力します。
6. 「Set Credential」をクリックします。

   注意:

   Oracle Key Vault 12.2.0.5.0以前では、HSMを正常にリストアするために、HSM資格証明を正しく入力する必要があります。HSMの資格証明を正しく入力しないと、HSMが無効化されます。この場合、すぐに資格証明を適切な値に再設定するには、正しいHSM資格証明を再入力し、「Set Credential」をクリックする必要があります。資格証明を再設定する前にOracle Key Vaultを再起動した場合、Oracle Key Vaultは操作できなくなり、バックアップからリストアする必要があります。

   HSMモードが有効な状態のOracle Key Vault 12.2.0.6.0以降で、HSMに対して正しくない資格証明を入力すると、以前の資格証明が引き続き格納されて使用されます。HSMモードが無効な状態で、正しくないHSMの資格証明を入力すると、その不正な資格証明は格納されません。

   HSM資格証明は、システムに格納されます。このHSM資格証明は、バックアップそのものには格納されないため、これを手動で入力してHSMリストアを実行する必要があります。
7. Oracle Key Vaultユーザー・インタフェースを使用して「Restore」ページに移動し、バックアップを通常どおりにリストアします。

2.5 ローカル・ウォレットへの逆移行

HSMの逆移行の手順を実行すると、HSMが無効化され、リカバリ・パスフレーズで保護されたローカル・ウォレットに戻ります。逆移行の目的は、リカバリ・パスフレーズで保護されたローカル・ウォレットに戻すことです。現在Oracle Key Vaultを保護しているHSMを廃止する必要がある場合、この作業が必要になります。

• スタンドアロン・デプロイメントの逆移行
  
• プライマリ/スタンバイ・デプロイメントの逆移行
  
• マルチマスター・クラスタの逆移行
  

2.5.1 スタンドアロン・デプロイメントの逆移行

スタンドアロン・デプロイメントを逆移行するには、次の手順を実行します。

1. システム管理権限を持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
   Oracle Key Vaultの「Home」ページが表示されます。
2. 「System」タブをクリックします。
   「Status」ページが表示されます。
3. 左側のサイドバーで「Hardware Security Module」をクリックします。
   「Hardware Security Module」ページが表示されます。
4. 「Reverse Migrate」をクリックします。

   「HSM Reverse Migrate」画面が表示されます。

   
   
   図hsm_reverse_migrate.pngの説明
   

   「HSM Reverse Migrate」画面で、次の詳細を入力します。

   • HSM資格証明を入力します。

   • 古いリカバリ・パスフレーズを入力します。

   • 「New Recovery Passphrase」フィールドと「Re-enter New Recovery Passphrase」フィールドに新しいリカバリ・パスフレーズを入力します。

5. 「Reverse Migrate」をクリックします
   「Hardware Security Module」ページが表示されます。赤い下向き矢印が「Status」を示します。

2.5.2 プライマリ/スタンバイ・デプロイメントの逆移行

プライマリ/スタンバイ・デプロイメント(Oracle Key Vault 12.2.0.6.0以降)を逆移行するには、次の手順を実行します。

プライマリ/スタンバイ・デプロイメント(Oracle Key Vault 12.2.0.6.0以降)を逆移行するには、次の手順を実行します。

1. プライマリ・サーバーで、システム管理権限を持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
   Oracle Key Vaultの「Home」ページが表示されます。
2. 「System」タブをクリックします。
   「Status」ページが表示されます。
3. 左側のサイドバーで「Hardware Security Module」をクリックします。
   「Hardware Security Module」ページが表示されます。
4. 「Reverse Migrate」をクリックします。

   「HSM Reverse Migrate」画面が表示されます。

   
   図hsm_reverse_migrate.pngの説明

   「HSM Reverse Migrate」画面で、次の詳細を入力します。

   • HSM資格証明を入力します。

   • リカバリ・パスフレーズを入力します。

5. 「Reverse Migrate」をクリックします
   「Hardware Security Module」ページが表示されます。赤い下向き矢印が「Status」を示します。
6. スタンバイ・サーバーで、SSHを介して、ユーザーsupportとしてOracle Key Vaultサーバーにログインし、次に、ユーザーをrootに切り替えます(su)。

   $ ssh support@okv_standby_instance
   <Enter password when prompted> 
   $ su root

7. okv_security.confファイルを変更します。

   $ vi /usr/local/okv/etc/okv_security.conf

   • 行HSM_PROVIDER="<provider value>"を削除します。

   • パラメータHSM_ENABLEDの値を"0"に変更します。

   viファイルで文字列:wq!を入力して保存し、終了します。

8. スタンバイ・サーバーで、次のファイルを削除します。

   $ cd /usr/local/okv/hsm/wallet
   $ rm -f cwallet.sso enctdepwd
   $ cd /usr/local/okv/hsm/restore
   $ rm -f cwallet.sso ewallet.p12
   $ cd /mnt/okvram
   $ rm -f cwallet.sso ewallet.p12
   $ cd /mnt/okvram/restore
   $ rm -f cwallet.sso ewallet.p12
   $ cd /usr/local/okv/tde
   $ rm -f cwallet.sso

9. ユーザーをoracleに切り替えます(su)。

   $ su oracle

10. 次のコマンドを実行します。

    /var/lib/oracle/dbfw/bin/orapki wallet create -wallet /usr/local/okv/tde -auto_login

11. ステップ4で指定した新しいリカバリ・パスフレーズを入力します。

プライマリ/スタンバイ・デプロイメントが正常に逆移行されます。

2.5.3 マルチマスター・クラスタの逆移行

マルチマスター・クラスタ内のノードを逆移行するには、次の手順を実行します。

1. システム管理権限を持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
   Oracle Key Vaultの「Home」ページが表示されます。
2. 「System」タブをクリックします。
   「Status」ページが表示されます。
3. 左側のサイドバーで「Hardware Security Module」をクリックします。
   「Hardware Security Module」ページが表示されます。
4. 「Reverse Migrate」をクリックします。

   「HSM Reverse Migrate」画面が表示されます。

   
   
   図hsm_reverse_migrate_mmc.pngの説明
   

   「HSM Reverse Migrate」画面で、次の詳細を入力します。

   • HSM資格証明を入力します。

   • リカバリ・パスフレーズを入力します。

5. 「Reverse Migrate」をクリックします
   「Hardware Security Module」ページが表示されます。赤い下向き矢印が「Status」を示します。