2 Oracle Key Vault用のHSMの構成

HSMは、キーを保護するように構成することも、従来のプライマリ/スタンバイ構成やマルチマスター・クラスタで動作するように構成することもできます。

• HSMによるOracle Key Vault TDEマスター・キーの保護
  Oracle Key Vault管理コンソールを使用して、TDEマスター暗号化キーの保護を構成できます。
• 高可用性Key VaultインストールでのHSMの有効化
  プライマリ/スタンバイOracle Key Vaultインストールでは、プライマリ・サーバーとスタンバイ・サーバーで別個にHSMを有効にする必要があります。
• マルチマスター・クラスタでのHSM
  マルチマスター・クラスタでのHSMは、単一ノードまたは複数ノードを使用して構成できます。
• HSMが有効になっているOracle Key Vaultインスタンスでのバックアップおよびリストア操作
  HSMが有効になっているOracle Key Vaultインスタンスをバックアップおよびリストアできます。
• ローカル・ウォレットへの逆移行操作
  HSMが有効になっているOracle Key Vaultサーバーの逆移行では、再びKey Vaultサーバーでリカバリ・パスフレーズが使用され始め、TDEウォレットが保護されます。

2.1 HSMによるOracle Key Vault TDEマスター・キーの保護

Oracle Key Vault管理コンソールを使用して、TDEマスター暗号化キーの保護を構成できます。

マルチマスター・クラスタを使用する場合は、クラスタ環境を構成する前にこの手順を実行することをお薦めします。必ず、このサーバーで次のステップを完了してから、別のOracle Key Vaultサーバーで次のステップを実行してください。

1. nCipherハードウェア・セキュリティ・モジュール(HSM)を実装している場合は、ユーザーoracleとして、次のコマンドを実行します。

   oracle$ /opt/nfast/bin/rfs-sync --update

2. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
   マルチマスター・クラスタ環境を使用している場合は、HSMを有効にするOracle Key Vaultノードにログインします。
3. 「System」タブをクリックします。
   「Status」ページが表示されます。
4. 左側のサイドバーで「Hardware Security Module」をクリックします。
   「Hardware Security Module」ページが表示されます。赤い下向き矢印は、初期化が済んでいないステータスを示します。「Type」フィールドには「None」と表示されます。

   
   
   図hsm_page.pngの説明
   

5. 「Initialize」をクリックします。
   「Initialize HSM」ダイアログ・ボックスが表示されます。

   
   
   図hsm_init_bp3.pngの説明
   

6. HSM資格証明を2回入力します。1回目は「HSM Credential」に、2回目は「Re-enter HSM Credential」に入力します。
   この資格証明については、HSMドキュメントを参照してください。SafeNet用のHSM資格証明は、SafeNetパーティション・パスワードです。nCipherの場合、資格証明はOperator Card Setのパスワードです。
7. Oracle Key Vaultの「Recovery Passphrase」を入力します。
8. 「Initialize」をクリックします。
   初期化操作が正常終了すると、「Hardware Security Module」ページが表示されます。初期化済の「Status」が緑色の上向き矢印で示されます。「Type」フィールドには、使用しているHSMの詳細が表示されます。

   
   
   図hsm_post_init.pngの説明
   

9. nCipher HSMを実装している場合は、ユーザーoracleとして、次のコマンドを実行します。

   oracle$ /opt/nfast/bin/rfs-sync --commit 

   nCipherを使用している場合に初期化のたびにこのステップを実行しないと、バックアップのリストアやプライマリ/スタンバイ構成の使用を含め、複数の機能が中断されます。

10. /var/okv/log/hsm/ディレクトリ内の最新の初期化ログ・ファイルをチェックして、操作が成功したことを確認します。

初期化操作が失敗した場合は、「Hardware Security Module」ページにリダイレクトされ、初期化が済んでいないことが「Status」に表示され、「Type」には「None」と表示されます。

注意:

初期化後、HSMでHSM資格証明を変更した場合は、「Set Credential」コマンドを使用して、Oracle Key Vaultサーバー上のHSM資格証明も更新する必要があります。

2.2 高可用性Key VaultインストールでのHSMの有効化

プライマリ/スタンバイOracle Key Vaultインストールでは、プライマリ・サーバーとスタンバイ・サーバーで別個にHSMを有効にする必要があります。

このタスクは、プライマリ/スタンバイ構成でこれらの2つのサーバーをペアにする前に実行する必要があります。プライマリ・サーバーまたはスタンバイ・サーバーのいずれか(あるいはその両方)でHSMがすでに有効になっているのにこれらのステップを実行していない場合、プライマリ/スタンバイのペアリングを実行すると、構成は失敗します。サーバーがすでにペアになっていても、どちらもHSMが有効になっていない場合は、それらのペアを解除して、スタンバイ・サーバーを再インストールしてから、次のステップを実行する必要があります。

1. 2つの異なるOracle Key Vaultインスタンスをインストールします。
2. 1つをプライマリ・ノードに選択し、もう1つをスタンバイ・ノードに選択します。
3. プライマリおよびスタンバイ・ノードの両方に、HSMクライアント・ソフトウェアをインストールします。
4. プライマリおよびスタンバイ・ノードをHSMクライアントとしてエンロールします。
5. プライマリでHSMの使用を初期化します。
   SSHを介して、ユーザーsupportとして指定のプライマリ・サーバーにログインし、ユーザーをrootに切り替え(su)、次に、ユーザーをoracleに切り替えます(su)。

   $ ssh support@okv_primary_instance_IP_address
   $ su root
   root# su oracle

6. プライマリ・サーバーで、ユーザーoracleとして次の手動によるステップを実行します。

   oracle$ cd /usr/local/okv/hsm/wallet
   oracle$ scp cwallet.sso support@okv_standby_instance_IP_address:/tmp
   oracle$ scp enctdepwd support@okv_standby_instance_IP_address:/tmp
   oracle$ cd /usr/local/okv/hsm/restore
   oracle$ scp ewallet.p12 support@okv_standby_instance_IP_address:/tmp

7. SSHを介して、ユーザーsupportとして指定のスタンバイ・サーバーにログインし、次に、ユーザーをrootに切り替えます(su)。

   $ ssh support@okv_standby_instance_IP_address
   $ su root
   

8. okv_security.confファイルを開きます。

   ノードでHSMを有効にする前のサンプルokv_security.confファイルは、次のようになります。

   SNMP_ENCRYPTION_PWD="snmp_encryption_password" 
   SNMP_AUTHENTICATION_PWD="snmp_auth_password" 
   SNMP_USERNAME="snmpuser" 
   SMTP_TRUSTSTORE_PWD="smtp_truststore_password" 
   HSM_ENABLED="0" 
   FIPS_ENABLED="fips_value" 
   HSM_FIPS_ENABLED="1"

   リリース18より前のOracle Key Vaultのバージョンでは、okv_security.confファイルにFIPS_ENABLEDまたはHSM_FIPS_ENABLEDパラメータが含まれていないことがあります。詳細は、以前のリリースのドキュメントを参照してください。

9. HSM関連ファイルを設定し、okv_security.confファイルで、HSM_ENABLEDおよびHSM_PROVIDERパラメータを設定します。

   $ cd /usr/local/okv/hsm/wallet
   $ mv /tmp/enctdepwd .
   $ mv /tmp/cwallet.sso .
   $ chown oracle *
   $ chgrp oinstall *
   $ cd /usr/local/okv/hsm/restore
   $ mv /tmp/ewallet.p12 .
   $ chown oracle *
   $ chgrp oinstall *
   $ vi /usr/local/okv/etc/okv_security.conf
      Set HSM_ENABLED="1"
      Set HSM_PROVIDER="provider_value"
   

   この指定では次のとおりです。

   • HSM_ENABLEDは、この例では1に設定し、このノードのHSMを有効にします。0に設定すると、HSMは無効になります。
   • HSM_PROVIDERは、HSMプロバイダを表します。SafeNetの場合は、この値を1に設定します。nCipherの場合は、2に設定します。
10. viファイルで文字列:wq!を入力して保存し、終了します。

    HSMを有効にすると、okv_security.confファイルは次のようになります。

    SNMP_ENCRYPTION_PWD="snmp_encryption_password" 
    SNMP_AUTHENTICATION_PWD="snmp_auth_password" 
    SNMP_USERNAME="snmpuser" 
    SMTP_TRUSTSTORE_PWD="smtp_truststore_password" 
    HSM_ENABLED="1" 
    FIPS_ENABLED="fips_value"
    HSM_PROVIDER="2"

    リリース18より前のOracle Key Vaultのバージョンでは、okv_security.confファイルにFIPS_ENABLEDまたはHSM_FIPS_ENABLEDパラメータが含まれていないことがあります。詳細は、以前のリリースのドキュメントを参照してください。

11. Oracle Key Vaultインスタンスを再起動せずに、プライマリおよびスタンバイのOracle Key Vault管理コンソールに移動して、プライマリ/スタンバイ環境を構成します。

2.3 マルチマスター・クラスタでのHSM

マルチマスター・クラスタでのHSMは、単一ノードまたは複数ノードを使用して構成できます。

• マルチマスター・クラスタでのHSMについて
  Oracle Key VaultのHSMでは、ルート・オブ・トラスト(RoT)として機能する最上位のマスター暗号化キーが格納されます。
• 単一ノードのマルチマスター・クラスタ用のHSMの構成
  HSMをマルチマスター・クラスタで使用するには、単一のHSM対応ノードから始めて、HSM対応ノードをさらに追加していく必要があります。
• 複数ノードのマルチマスター・クラスタ用のHSMの構成
  HSM対応ノードから非対応ノードに情報をコピーして、複数ノード用にHSMを構成できます。

2.3.1 マルチマスター・クラスタでのHSMについて

Oracle Key VaultのHSMでは、ルート・オブ・トラスト(RoT)として機能する最上位のマスター暗号化キーが格納されます。

このRoTにより、Oracle Key Vaultで使用されるマスター暗号化キーは保護されます。HSMは、標準的なサーバーよりアクセスが困難な、改ざんされにくい専用ハードウェアを使用して構築されています。これにより、RoTが保護され、暗号化されたデータの抽出が困難になるため、侵害のリスクが軽減されます。また、HSMはFIPS 140-2レベル3モードで使用でき、これにより特定のコンプライアンス要件を満たすことができます。

注意:

既存のOracle Key Vaultのデプロイメントを移行して、HSMをRoTとして使用することはできません。

マルチマスターOracle Key Vaultインストールでは、クラスタ内のどのKey Vaultノードでも任意のHSMを使用できます。マルチマスター・クラスタ内のノードでは、様々なTDEウォレット・パスワード、RoTキーおよびHSM資格証明を使用できます。

注意:

完全なセキュリティを確保するには、クラスタ内のすべてのOracle Key VaultノードでHSMを有効にする必要があります。

2.3.2 単一ノードのマルチマスター・クラスタ用のHSMの構成

HSMをマルチマスター・クラスタで使用するには、単一のHSM対応ノードから始めて、HSM対応ノードをさらに追加していく必要があります。

単一ノードのマルチマスター・クラスタ用にHSMを構成する場合は、次のステップをお薦めします。

1. クラスタの最初のノードを構成します。
2. 新しいノードを追加する前に、最初のノードでHSMを構成します。クラスタに複数のノードがすでにある場合は、複数ノードのマルチマスター・クラスタ用にHSMを構成します。
3. 候補ノードでHSMを有効にしてから、クラスタに追加します。
4. HSM対応の候補ノードを、同様にHSM対応のコントローラ・ノードを使用してクラスタに追加します。クラスタ内のすべてのノードがすでにHSM対応である場合、HSMに対応していない新しいノードを追加することはできません。

2.3.3 複数ノードのマルチマスター・クラスタ用のHSMの構成

HSM対応ノードから非対応ノードに情報をコピーして、複数ノード用にHSMを構成できます。

単一ノードのマルチマスター・クラスタ用のHSMの構成では、マルチマスター・クラスタ用にHSMを構成する方法について説明します。HSMが有効になっている最初のノードが、すでに複数のノードがあるクラスタ内に存在する場合、他のノードでHSMを有効にするには、そのHSMが有効になっているOracle Key Vaultからクラスタ内の他のOracle Key Vaultインストールに情報を手動でコピーする必要があります。HSMが有効になっている最初のノードに読取り/書込みピアがある場合、バンドルが読取り/書込みピアにコピーされて正常に適用されるまで、その読取り/書込みピアではHSM対応ノードからの情報を復号化できません。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブをクリックします。
3. 「System」ページの左側で、「Hardware Secure Module」をクリックします。

4. HSM対応ノードで、「HSM」ページの「Create Bundle」をクリックします。

5. SSHを介して、ユーザーsupportとしてHSM対応ノードにログインします。

   ssh support@hsm_enabled_node

6. rootユーザーに切り替えます。

   su root

7. IPアドレスを使用して他の各ノードの/usr/local/okv/hsmの場所にバンドルをコピーする手順は、次のとおりです。

   scp /usr/local/okv/hsm/hsmbundle support@ip_address:/tmp

8. IPアドレスを使用して、クラスタ内の各ノードにログインします(元のHSM対応ノードを除く)。

   ssh support@ip_address

9. rootユーザーに切り替えます。

   su root

10. 各ノードで次のステップを実行します。

    cp /tmp/hsmbundle /usr/local/okv/hsm/
    chown oracle:oinstall /usr/local/okv/hsm/hsmbundle

11. 元のHSM対応ノードを除く各ノードで、「HSM」ページの「Apply Bundle」をクリックします。

    すべてのノードにバンドルをすぐに適用してから、元のHSM対応ノードに逆移行する必要があります。

12. 最初のノードでHSMを有効にしたのと同じ方法で、これらの各ノードでHSMを有効にします。
13. すべてのノードでHSMを有効にし、すべてのノード間のレプリケーションを検証したら、すべてのノードからhsmbundleファイルを削除します。

2.4 HSMが有効になっているOracle Key Vaultインスタンスでのバックアップおよびリストア操作

HSMが有効になっているOracle Key Vaultインスタンスをバックアップおよびリストアできます。

• HSMが有効になっているOracle Key Vaultインスタンスでのバックアップ操作
  HSMが有効になっているインスタンスでのOracle Key Vaultデータのバックアップは、HSMが有効になっていないインスタンスのバックアップと同じです。
• HSMが有効になっているOracle Key Vaultインスタンスでのリストア操作
  HSMが有効になっているOracle Key Vaultインスタンスに対して作成されたバックアップのみ、HSMが有効になっているOracle Key Vaultインスタンスにリストアできます。

2.4.1 HSMが有効になっているOracle Key Vaultインスタンスでのバックアップ操作

HSMが有効になっているインスタンスでのOracle Key Vaultデータのバックアップは、HSMが有効になっていないインスタンスのバックアップと同じです。

Oracle Key Vault管理コンソールを使用してバックアップ操作を実行できます。

2.4.2 HSMが有効になっているOracle Key Vaultインスタンスでのリストア操作

HSMが有効になっているOracle Key Vaultインスタンスに対して作成されたバックアップのみ、HSMが有効になっているOracle Key Vaultインスタンスにリストアできます。

システムにバックアップをリストアする前に、HSMとバックアップを作成するために使用されたルート・オブ・トラスト(RoT)の両方に、システムからアクセスできることを確認する必要があります。そのため、このステップの前に、Oracle Key VaultサーバーにHSMをインストールし、Oracle Key VaultをHSMのクライアントとしてエンロールしておく必要があります。バックアップがHSM対応のクラスタ・ノードで作成された場合、そのバックアップをスタンドアロン・サーバーにリストアする際に、サーバーがバックアップが作成されたノードと同じHSMにアクセスできることを確認する必要があります。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
   Oracle Key Vaultの「Home」ページが表示されます。
2. 「System」タブをクリックします。
   「Status」ページが表示されます。
3. 左側のサイドバーで「Hardware Security Module」をクリックします。
   「Hardware Security Module」ページが表示されます。リストア時に、まず「Status」が無効化され、リストの終了後に有効化されます。
4. 「Set Credential」をクリックします。
   「Prepare for HSM Restore」画面が表示されます。

   
   
   図hsm_set_cred_bp3.pngの説明
   

5. HSM資格証明を2回入力します。1回目は「HSM Credential」に、2回目は「Re-enter HSM Credential」に入力します。
   この資格証明については、HSMドキュメントを参照してください。SafeNet用のHSM資格証明は、SafeNetパーティション・パスワードです。nCipherの場合、資格証明はOperator Card Setのパスワードです。
6. 「Set Credential」をクリックします。

   注意:

   HSMに誤った資格証明を入力した場合、以前の資格証明が引き続き格納されて使用されます。ノードでHSMが有効になっておらず、HSMに誤った資格証明を入力した場合、その誤った資格証明は格納されません。

   HSM資格証明は、システムに格納されます。このHSM資格証明は、バックアップ自体に格納されていないため、HSMリストアを実行するために手動で入力する必要があります。
7. Oracle Key Vault管理コンソールで、「Restore」ページに移動してバックアップをリストアします。

2.5 ローカル・ウォレットへの逆移行操作

HSMが有効になっているOracle Key Vaultサーバーの逆移行では、再びKey Vaultサーバーでリカバリ・パスフレーズが使用され始め、TDEウォレットが保護されます。

この操作は、Oracle Key Vaultを保護するHSMを廃止する必要がある場合に必要です。

• スタンドアロン・デプロイメントの逆移行
  Oracle Key Vault管理コンソールを使用して、スタンドアロン・デプロイメントを逆移行できます。
• プライマリ/スタンバイ・デプロイメントの逆移行
  プライマリ/スタンバイ・デプロイメントを逆移行するには、Oracle Key Vault管理コンソールとコマンドラインの両方を使用します。
• マルチマスター・クラスタの逆移行
  Oracle Key Vault管理コンソールを使用して、マルチマスター・クラスタを逆移行できます。

2.5.1 スタンドアロン・デプロイメントの逆移行

Oracle Key Vault管理コンソールを使用して、スタンドアロン・デプロイメントを逆移行できます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
   Oracle Key Vaultの「Home」ページが表示されます。
2. 「System」タブをクリックします。
   「Status」ページが表示されます。
3. 左側のサイドバーで「Hardware Security Module」をクリックします。
   「Hardware Security Module」ページが表示されます。
4. 「Reverse Migrate」をクリックします。

   「HSM Reverse Migrate」画面が表示されます。

   
   
   図hsm_reverse_migrate.pngの説明
   

   「HSM Reverse Migrate」画面で、次の詳細を入力します。

   • HSM資格証明を「HSM Credential」フィールドに入力します。この資格証明については、HSMドキュメントを参照してください。SafeNet用のHSM資格証明は、SafeNetパーティション・パスワードです。nCipherの場合、資格証明はOperator Card Setのパスワードです。

   • 「Old Recovery Passphrase」フィールドに、古いリカバリ・パスフレーズを入力します。

   • 「New Recovery Passphrase」フィールドおよび「Re-enter New Recovery Passphrase」フィールドに新しいリカバリ・パスフレーズを入力します。

5. 「Reverse Migrate」をクリックします。
   「Hardware Security Module」ページが表示されます。赤い下向き矢印が「Status」を示します。

2.5.2 プライマリ/スタンバイ・デプロイメントの逆移行

プライマリ/スタンバイ・デプロイメントを逆移行するには、Oracle Key Vault管理コンソールとコマンドラインの両方を使用します。

1. プライマリ・サーバーで、システム管理権限を持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
   Oracle Key Vaultの「Home」ページが表示されます。
2. 「System」タブをクリックします。
   「Status」ページが表示されます。
3. 左側のサイドバーで「Hardware Security Module」をクリックします。
   「Hardware Security Module」ページが表示されます。
4. 「Reverse Migrate」をクリックします。

   「HSM Reverse Migrate」画面が表示されます。

   
   図hsm_reverse_migrate.pngの説明

   「HSM Reverse Migrate」画面で、次の詳細を入力します。

   • HSM資格証明を「HSM Credential」フィールドに入力します。この資格証明については、HSMドキュメントを参照してください。SafeNet用のHSM資格証明は、SafeNetパーティション・パスワードです。nCipherの場合、資格証明はOperator Card Setのパスワードです。

   • 「Old Recovery Passphrase」フィールドに、古いリカバリ・パスフレーズを入力します。

   • 「New Recovery Passphrase」フィールドおよび「Re-enter New Recovery Passphrase」フィールドに新しいリカバリ・パスフレーズを入力します。

5. 「Reverse Migrate」をクリックします。
   「Hardware Security Module」ページが表示されます。赤い下向き矢印が「Status」を示します。
6. スタンバイ・サーバーで、SSHを介して、ユーザーsupportとしてOracle Key Vaultサーバーにログインした後、ユーザー(su)をrootに切り替えます。

   $ ssh support@okv_standby_instance
   $ su root

7. okv_security.confファイルを変更します。

   $ vi /usr/local/okv/etc/okv_security.conf

   • 行HSM_PROVIDER="provider_value"を削除します。

   • パラメータHSM_ENABLEDの値を"0"に変更します。

   viファイルで文字列:wq!を入力して保存し、終了します。

8. スタンバイ・サーバーで、次のファイルを削除します。

   $ cd /usr/local/okv/hsm/wallet
   $ rm -f cwallet.sso enctdepwd
   $ cd /usr/local/okv/hsm/restore
   $ rm -f cwallet.sso ewallet.p12
   $ cd /mnt/okvram
   $ rm -f cwallet.sso ewallet.p12
   $ cd /mnt/okvram/restore
   $ rm -f cwallet.sso ewallet.p12
   $ cd /usr/local/okv/tde
   $ rm -f cwallet.sso

9. ユーザーをoracleに切り替えます(su)。

   $ su oracle

10. 次のコマンドを実行します。

    /var/lib/oracle/dbfw/bin/orapki wallet create -wallet /usr/local/okv/tde -auto_login

11. ステップ4で指定した新しいリカバリ・パスフレーズを入力します。

プライマリ/スタンバイ・デプロイメントが正常に逆移行されます。

2.5.3 マルチマスター・クラスタの逆移行

Oracle Key Vault管理コンソールを使用して、マルチマスター・クラスタを逆移行できます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
   Oracle Key Vaultの「Home」ページが表示されます。
2. 「System」タブをクリックします。
   「Status」ページが表示されます。
3. 左側のサイドバーで「Hardware Security Module」をクリックします。
   「Hardware Security Module」ページが表示されます。
4. 「Reverse Migrate」をクリックします。

   「HSM Reverse Migrate」ダイアログ・ボックスが表示されます。

   
   
   図hsm_reverse_migrate_mmc.pngの説明
   

   「HSM Reverse Migrate」ダイアログ・ボックスに、次の詳細を入力します。

   • HSM資格証明を入力します。この資格証明については、HSMドキュメントを参照してください。SafeNet用のHSM資格証明は、SafeNetパーティション・パスワードです。nCipherの場合、資格証明はOperator Card Setのパスワードです。

   • リカバリ・パスフレーズを入力します。

5. 「Reverse Migrate」をクリックします。
   「Hardware Security Module」ページが表示されます。赤い下向き矢印が「Status」を示します。