1. ルート・オブ・トラストHSM構成ガイド
  2. Oracle Key Vault用のHSMの構成

2 Oracle Key Vault用のHSMの構成

HSMは、キーを保護するように構成することも、従来のプライマリ/スタンバイ構成やマルチマスター・クラスタで動作するように構成することもできます。

2.1 HSMによるOracle Key Vault TDEマスター・キーの保護

Oracle Key Vault管理コンソールを使用して、TDEマスター暗号化キーの保護を構成できます。

マルチマスター・クラスタを使用する場合は、クラスタ環境を構成する前にこの手順を実行することをお薦めします。必ず、このサーバーで次のステップを完了してから、別のOracle Key Vaultサーバーで次のステップを実行してください。
  1. nCipherハードウェア・セキュリティ・モジュール(HSM)を実装している場合は、ユーザーoracleとして、次のコマンドを実行します。
    oracle$ /opt/nfast/bin/rfs-sync --update
  2. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
    マルチマスター・クラスタ環境を使用している場合は、HSMを有効にするOracle Key Vaultノードにログインします。
  3. 「System」タブをクリックします。
    「Status」ページが表示されます。
  4. 左側のサイドバーで「Hardware Security Module」をクリックします。
    「Hardware Security Module」ページが表示されます。赤い下向き矢印は、初期化が済んでいないステータスを示します。「Type」フィールドには「None」と表示されます。


    hsm_page.pngの説明が続きます
    図hsm_page.pngの説明

  5. 「Initialize」をクリックします。
    「Initialize HSM」ダイアログ・ボックスが表示されます。


    hsm_init_bp3.pngの説明が続きます
    図hsm_init_bp3.pngの説明

  6. HSM資格証明を2回入力します。1回目は「HSM Credential」に、2回目は「Re-enter HSM Credential」に入力します。
    この資格証明については、HSMドキュメントを参照してください。SafeNet用のHSM資格証明は、SafeNetパーティション・パスワードです。nCipherの場合、資格証明はOperator Card Setのパスワードです。
  7. Oracle Key Vaultの「Recovery Passphrase」を入力します。
  8. 「Initialize」をクリックします。
    初期化操作が正常終了すると、「Hardware Security Module」ページが表示されます。初期化済の「Status」が緑色の上向き矢印で示されます。「Type」フィールドには、使用しているHSMの詳細が表示されます。


    hsm_post_init.pngの説明が続きます
    図hsm_post_init.pngの説明

  9. nCipher HSMを実装している場合は、ユーザーoracleとして、次のコマンドを実行します。
    oracle$ /opt/nfast/bin/rfs-sync --commit

    nCipherを使用している場合に初期化のたびにこのステップを実行しないと、バックアップのリストアやプライマリ/スタンバイ構成の使用を含め、複数の機能が中断されます。

  10. /var/okv/log/hsm/ディレクトリ内の最新の初期化ログ・ファイルをチェックして、操作が成功したことを確認します。
初期化操作が失敗した場合は、「Hardware Security Module」ページにリダイレクトされ、初期化が済んでいないことが「Status」に表示され、「Type」には「None」と表示されます。

ノート:

初期化後、HSMでHSM資格証明を変更した場合は、「Set Credential」コマンドを使用して、Oracle Key Vaultサーバー上のHSM資格証明も更新する必要があります。

親トピック: Oracle Key Vault用のHSMの構成

2.2 高可用性Key VaultインストールでのHSMの有効化

プライマリ/スタンバイOracle Key Vaultインストールでは、プライマリ・サーバーとスタンバイ・サーバーで別個にHSMを有効にする必要があります。

このタスクは、プライマリ/スタンバイ構成でこれらの2つのサーバーをペアにする前に実行する必要があります。プライマリ・サーバーまたはスタンバイ・サーバーのいずれか(あるいはその両方)でHSMがすでに有効になっているのにこれらのステップを実行していない場合、プライマリ/スタンバイのペアリングを実行すると、構成は失敗します。サーバーがすでにペアになっていても、どちらもHSMが有効になっていない場合は、それらのペアを解除して、スタンバイ・サーバーを再インストールしてから、次のステップを実行する必要があります。

  1. 2つの異なるOracle Key Vaultインスタンスをインストールします。
  2. 1つをプライマリ・ノードに選択し、もう1つをスタンバイ・ノードに選択します。
  3. プライマリおよびスタンバイ・ノードの両方に、HSMクライアント・ソフトウェアをインストールします。
  4. プライマリおよびスタンバイ・ノードをHSMクライアントとしてエンロールします。
  5. プライマリでHSMの使用を初期化します。
    SSHを介して、ユーザーsupportとして指定のプライマリ・サーバーにログインし、ユーザーをrootに切り替え(su)、次に、ユーザーをoracleに切り替えます(su)。
    $ ssh support@okv_primary_instance_ip_address
support$ su root
root# su oracle
  6. プライマリ・サーバーで、ユーザーoracleとして次の手動によるステップを実行します。
    oracle$ cd /usr/local/okv/hsm/wallet
oracle$ scp cwallet.sso support@okv_standby_instance_ip_address:/tmp
oracle$ scp enctdepwd support@okv_standby_instance_ip_address:/tmp
oracle$ cd /usr/local/okv/hsm/restore
oracle$ scp ewallet.p12 support@okv_standby_instance_ip_address:/tmp
  7. SSHを介して、ユーザーsupportとして指定のスタンバイ・サーバーにログインし、次に、ユーザーをrootに切り替えます(su)。
    $ ssh support@okv_standby_instance_ip_address
support$ su root
  8. okv_security.confファイルを開きます。

    ノードでHSMを有効にする前のサンプルokv_security.confファイルは、次のようになります。 

    SNMP_ENCRYPTION_PWD="snmp_encryption_password" 
SNMP_AUTHENTICATION_PWD="snmp_auth_password" 
SNMP_USERNAME="snmpuser" 
SMTP_TRUSTSTORE_PWD="smtp_truststore_password" 
HSM_ENABLED="0" 
FIPS_ENABLED="fips_value" 
HSM_FIPS_ENABLED="1"

    リリース18より前のOracle Key Vaultのバージョンでは、okv_security.confファイルにFIPS_ENABLEDまたはHSM_FIPS_ENABLEDパラメータが含まれていないことがあります。詳細は、以前のリリースのドキュメントを参照してください。

  9. HSM関連ファイルを設定し、okv_security.confファイルで、HSM_ENABLEDおよびHSM_PROVIDERパラメータを設定します。
    root# cd /usr/local/okv/hsm/wallet
root# mv /tmp/enctdepwd .
root# mv /tmp/cwallet.sso .
root# chown oracle *
root# chgrp oinstall *
root# cd /usr/local/okv/hsm/restore
root# mv /tmp/ewallet.p12 .
root# chown oracle *
root# chgrp oinstall *
root# vi /usr/local/okv/etc/okv_security.conf
   Set HSM_ENABLED="1"
   Set HSM_PROVIDER="provider_value"

    この指定では次のとおりです。

    • HSM_ENABLEDは、この例では1に設定し、このノードのHSMを有効にします。0に設定すると、HSMは無効になります。
    • HSM_PROVIDERは、HSMプロバイダを表します。SafeNetの場合は、この値を1に設定します。nCipherの場合は、2に設定します。
  10. viファイルで文字列:wq!を入力して保存し、終了します。

    HSMを有効にすると、okv_security.confファイルは次のようになります。 

    SNMP_ENCRYPTION_PWD="snmp_encryption_password" 
SNMP_AUTHENTICATION_PWD="snmp_auth_password" 
SNMP_USERNAME="snmpuser" 
SMTP_TRUSTSTORE_PWD="smtp_truststore_password" 
HSM_ENABLED="1" 
FIPS_ENABLED="fips_value"
HSM_PROVIDER="2"

    リリース18より前のOracle Key Vaultのバージョンでは、okv_security.confファイルにFIPS_ENABLEDまたはHSM_FIPS_ENABLEDパラメータが含まれていないことがあります。詳細は、以前のリリースのドキュメントを参照してください。

  11. Oracle Key Vaultインスタンスを再起動せずに、プライマリおよびスタンバイのOracle Key Vault管理コンソールに移動して、プライマリ/スタンバイ環境を構成します。

関連項目

親トピック: Oracle Key Vault用のHSMの構成

2.3 マルチマスター・クラスタでのHSM

マルチマスター・クラスタでのHSMは、単一ノードまたは複数ノードを使用して構成できます。

親トピック: Oracle Key Vault用のHSMの構成

2.3.1 マルチマスター・クラスタでのHSMについて

Oracle Key VaultのHSMでは、ルート・オブ・トラスト(RoT)として機能する最上位のマスター暗号化キーが格納されます。

このRoTにより、Oracle Key Vaultで使用されるマスター暗号化キーは保護されます。HSMは、標準的なサーバーよりアクセスが困難な、改ざんされにくい専用ハードウェアを使用して構築されています。これにより、RoTが保護され、暗号化されたデータの抽出が困難になるため、侵害のリスクが軽減されます。また、HSMはFIPS 140-2レベル3モードで使用でき、これにより特定のコンプライアンス要件を満たすことができます。

ノート:

既存のOracle Key Vaultのデプロイメントを移行して、HSMをRoTとして使用することはできません。

マルチマスターOracle Key Vaultインストールでは、クラスタ内のどのKey Vaultノードでも任意のHSMを使用できます。マルチマスター・クラスタ内のノードでは、様々なTDEウォレット・パスワード、RoTキーおよびHSM資格証明を使用できます。

ノート:

完全なセキュリティを確保するには、クラスタ内のすべてのOracle Key VaultノードでHSMを有効にする必要があります。

親トピック: マルチマスター・クラスタでのHSM

2.3.2 単一ノードで開始するマルチマスター・クラスタ用のHSMの構成(推奨)

Oracleでは、マルチマスター・クラスタでHSMを使用するために、単一のHSM対応ノードから開始し、ノード・インダクション・プロセスを使用してHSM対応ノードを追加することをお薦めします。

単一ノードのマルチマスター・クラスタ用にHSMを構成する場合は、次のステップをお薦めします。

  1. Oracle Key Vaultサーバーをクラスタの最初のノードに変換します。
  2. 新しいノードを追加する前に、最初のノードをHSM対応にします。
  3. 候補ノードでHSMを有効にしてから、クラスタに追加します。
  4. HSM対応の候補ノードを、同様にHSM対応のコントローラ・ノードを使用してクラスタに追加します。

    次の点に注意してください。

    • クラスタ内のすべてのノードがすでにHSM対応である場合、HSMに対応していない新しいノードを追加することはできません。
    • Add Node to Clusterページには、コントローラ・ノードのHSM資格証明が必要です。

関連項目

親トピック: マルチマスター・クラスタでのHSM

2.3.3 複数ノードのマルチマスター・クラスタ用のHSMの構成

他のノード用のHSMを構成する前に、最初のHSM対応ノードからクラスタ内の他のノードにバンドルをコピーすることにより、複数ノード用のHSMを構成できます。

親トピック: マルチマスター・クラスタでのHSM

2.3.3.1 複数ノードのマルチマスター・クラスタ用のHSMの構成について

一般的な手順は、最初に元のノード上で、次にクラスタに追加するノード上でステップを実行することです。

単一ノードから開始してマルチマスター・クラスタ用のHSMを構成する手順は、クラスタの単一ノードから開始してマルチマスター・クラスタ用のHSMを構成する方法を説明しており、HSMを使用するようにクラスタを構成するお薦めの方法です。ただし、マルチマスター・クラスタをすでに構成している場合でも、HSMを使用するようにクラスタを構成できます。ただし、他のノードをHSM対応にする前に、最初のHSM対応ノードからクラスタ内の他のすべてのノードにバンドルを手動でコピーして適用する追加のステップが必要です。HSM対応にされた最初のノードに読取り/書込みピア・ノードがある場合、バンドルが読取り/書込みノードにコピーされて正常に適用されるまで、その読取り/書込みピアではHSM対応ノードから複製された情報を復号化できないことに注意してください。この結果、バンドルがすぐに正常に作成されて読取り/書込みピアに適用されないと、データが失われる可能性があります。

クラスタ内の最初のノードをHSM対応にした後、他のノードをHSM対応にする前に、次のステップを使用してHSM対応ノード上にバンドルを作成し、クラスタ内の他のすべてのノードにコピーして適用します。

2.3.3.2 ステップ1: 最初のHSM対応ノードの構成

マルチマスター・クラスタの最初のノードにHSMを構成したら、バンドルを作成し、それをクラスタ内の他のノードにコピーする必要があります。

  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. Oracle Key Vault管理者ガイドの手順に従って、クラスタの最初の(初期)ノードを作成したことを確認します。
  3. 「System」タブをクリックします。
  4. 「System」ページの左側で、「Hardware Secure Module」をクリックします。
  5. HSM対応ノードで、「HSM」ページの「Create Bundle」をクリックします。
  6. SSHを介して、ユーザーsupportとしてHSM対応ノードにログインします。
    $ ssh support@hsm_enabled_node
  7. rootユーザーに切り替えます。
    support$ su root
  8. IPアドレスを使用して他の各ノードの/usr/local/okv/hsmの場所にバンドルをコピーするには、SCPを使用します。
    クラスタ内の他のすべてのノードのIPアドレスを使用してこのステップを実行します。 
    root# scp /usr/local/okv/hsm/hsmbundle support@ip_address:/tmp
2.3.3.3 ステップ2: 残りのノードの構成

最初のノードを構成したら、残りのノードにバンドルをインストールする準備ができます。

最初のノードをHSM対応にしてバンドルを他のすべてのノードにコピーした後、できるだけ早くこの手順を実行します。
  1. IPアドレスを使用して、クラスタ内の各ノードにログインします(元のHSM対応ノードを除く)。
    $ ssh support@ip_address
  2. 各ノードで、rootユーザーに切り替えます。
    support$ su root
  3. 各ノードで次のステップを実行します。
    root# cp /tmp/hsmbundle /usr/local/okv/hsm/
root# chown oracle:oinstall /usr/local/okv/hsm/hsmbundle
  4. 元のHSM対応ノードを除く各ノードで、「HSM」ページの「Apply Bundle」をクリックします。
    すべてのノードにバンドルをすぐに適用してから、元のHSM対応ノードに逆移行する必要があります。
  5. 最初のノードでHSMを有効にしたのと同じ方法で、これらの各ノードでHSMを有効にします。
  6. すべてのノードでHSMを有効にし、すべてのノード間のレプリケーションを検証したら、すべてのノードからhsmbundleファイルを削除します。

2.4 HSMが有効になっているOracle Key Vaultインスタンスでのバックアップおよびリストア操作

HSMが有効になっているOracle Key Vaultインスタンスをバックアップおよびリストアできます。

親トピック: Oracle Key Vault用のHSMの構成

2.4.1 HSMが有効になっているOracle Key Vaultインスタンスでのバックアップ操作

HSMが有効になっているインスタンスでのOracle Key Vaultデータのバックアップは、HSMが有効になっていないインスタンスのバックアップと同じです。

Oracle Key Vault管理コンソールを使用してバックアップ操作を実行できます。

関連項目

親トピック: HSMが有効になっているOracle Key Vaultインスタンスでのバックアップおよびリストア操作

2.4.2 HSMが有効になっているOracle Key Vaultインスタンスでのリストア操作

HSMが有効になっているOracle Key Vaultインスタンスに対して作成されたバックアップのみ、HSMが有効になっているOracle Key Vaultインスタンスにリストアできます。

システムにバックアップをリストアする前に、HSMとバックアップを作成するために使用されたルート・オブ・トラスト(RoT)の両方に、システムからアクセスできることを確認する必要があります。そのため、このステップの前に、Oracle Key VaultサーバーにHSMをインストールし、Oracle Key VaultをHSMのクライアントとしてエンロールしておく必要があります。バックアップがHSM対応のクラスタ・ノードで作成された場合、そのバックアップをスタンドアロン・サーバーにリストアする際に、サーバーがバックアップが作成されたノードと同じHSMにアクセスできることを確認する必要があります。
  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
    Oracle Key Vaultの「Home」ページが表示されます。
  2. 「System」タブをクリックします。
    「Status」ページが表示されます。
  3. 左側のサイドバーで「Hardware Security Module」をクリックします。
    「Hardware Security Module」ページが表示されます。リストア時に、まず「Status」が無効化され、リストの終了後に有効化されます。
  4. 「Set Credential」をクリックします。
    「Prepare for HSM Restore」画面が表示されます。


    hsm_set_cred_bp3.pngの説明が続きます
    図hsm_set_cred_bp3.pngの説明

  5. HSM資格証明を2回入力します。1回目は「HSM Credential」に、2回目は「Re-enter HSM Credential」に入力します。
    この資格証明については、HSMドキュメントを参照してください。SafeNet用のHSM資格証明は、SafeNetパーティション・パスワードです。nCipherの場合、資格証明はOperator Card Setのパスワードです。
  6. 「Set Credential」をクリックします。

    注意:

    HSMに誤った資格証明を入力した場合、以前の資格証明が引き続き格納されて使用されます。ノードでHSMが有効になっておらず、HSMに誤った資格証明を入力した場合、その誤った資格証明は格納されません。

    HSM資格証明は、システムに格納されます。このHSM資格証明は、バックアップ自体に格納されていないため、HSMリストアを実行するために手動で入力する必要があります。
  7. Oracle Key Vault管理コンソールで、「Restore」ページに移動してバックアップをリストアします。

関連項目

親トピック: HSMが有効になっているOracle Key Vaultインスタンスでのバックアップおよびリストア操作

2.5 逆移行操作

HSMが有効になっているOracle Key Vaultサーバーの逆移行では、再びKey Vaultサーバーでリカバリ・パスフレーズが使用され始め、TDEウォレットが保護されます。

この操作は、Oracle Key Vaultを保護するHSMを廃止する必要がある場合に必要です。

親トピック: Oracle Key Vault用のHSMの構成

2.5.1 スタンドアロン・デプロイメントの逆移行

Oracle Key Vault管理コンソールを使用して、スタンドアロン・デプロイメントを逆移行できます。

  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
    Oracle Key Vaultの「Home」ページが表示されます。
  2. 「System」タブをクリックします。
    「Status」ページが表示されます。
  3. 左側のサイドバーで「Hardware Security Module」をクリックします。
    「Hardware Security Module」ページが表示されます。
  4. 「Reverse Migrate」をクリックします。

    「HSM Reverse Migrate」画面が表示されます。


    hsm_reverse_migrate.pngの説明が続きます
    図hsm_reverse_migrate.pngの説明

    「HSM Reverse Migrate」画面で、次の詳細を入力します。

    • HSM資格証明を「HSM Credential」フィールドに入力します。この資格証明については、HSMドキュメントを参照してください。SafeNet用のHSM資格証明は、SafeNetパーティション・パスワードです。nCipherの場合、資格証明はOperator Card Setのパスワードです。

    • 「Old Recovery Passphrase」フィールドに、古いリカバリ・パスフレーズを入力します。

    • 「New Recovery Passphrase」フィールドおよび「Re-enter New Recovery Passphrase」フィールドに新しいリカバリ・パスフレーズを入力します。

  5. 「Reverse Migrate」をクリックします。
    「Hardware Security Module」ページが表示されます。赤い下向き矢印が「Status」を示します。

親トピック: 逆移行操作

2.5.2 プライマリ/スタンバイ・デプロイメントの逆移行

プライマリ/スタンバイ・デプロイメントを逆移行するには、Oracle Key Vault管理コンソールとコマンドラインの両方を使用します。

  1. プライマリ・サーバーで、システム管理権限を持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
    Oracle Key Vaultの「Home」ページが表示されます。
  2. 「System」タブをクリックします。
    「Status」ページが表示されます。
  3. 左側のサイドバーで「Hardware Security Module」をクリックします。
    「Hardware Security Module」ページが表示されます。
  4. 「Reverse Migrate」をクリックします。

    「HSM Reverse Migrate」画面が表示されます。

    hsm_reverse_migrate.pngの説明が続きます
    図hsm_reverse_migrate.pngの説明

    「HSM Reverse Migrate」画面で、次の詳細を入力します。

    • HSM資格証明を「HSM Credential」フィールドに入力します。この資格証明については、HSMドキュメントを参照してください。SafeNet用のHSM資格証明は、SafeNetパーティション・パスワードです。nCipherの場合、資格証明はOperator Card Setのパスワードです。

    • 「Old Recovery Passphrase」フィールドに、古いリカバリ・パスフレーズを入力します。

    • 「New Recovery Passphrase」フィールドおよび「Re-enter New Recovery Passphrase」フィールドに新しいリカバリ・パスフレーズを入力します。

  5. 「Reverse Migrate」をクリックします。
    「Hardware Security Module」ページが表示されます。赤い下向き矢印が「Status」を示します。
  6. スタンバイ・サーバーで、SSHを介して、ユーザーsupportとしてOracle Key Vaultサーバーにログインした後、ユーザー(su)をrootに切り替えます。
    $ ssh support@okv_standby_instance
support$ su root
  7. okv_security.confファイルを変更します。
    root# vi /usr/local/okv/etc/okv_security.conf

    • HSM_PROVIDER="provider_value"を削除します。

    • パラメータHSM_ENABLEDの値を"0"に変更します。

    viファイルで文字列:wq!を入力して保存し、終了します。

  8. スタンバイ・サーバーで、次のファイルを削除します。
    root# cd /usr/local/okv/hsm/wallet
root# rm -f cwallet.sso enctdepwd
root# cd /usr/local/okv/hsm/restore
root# rm -f cwallet.sso ewallet.p12
root# cd /mnt/okvram
root# rm -f cwallet.sso ewallet.p12
root# cd /mnt/okvram/restore
root# rm -f cwallet.sso ewallet.p12
root# cd /usr/local/okv/tde
root# rm -f cwallet.sso
  9. ユーザーをoracleに切り替えます(su)。
    root# su oracle
  10. 次のコマンドを実行します。
    oracle$ /var/lib/oracle/dbfw/bin/orapki wallet create -wallet /usr/local/okv/tde -auto_login
  11. ステップ4で指定した新しいリカバリ・パスフレーズを入力します。
プライマリ/スタンバイ・デプロイメントが正常に逆移行されます。

親トピック: 逆移行操作

2.5.3 マルチマスター・クラスタの逆移行

Oracle Key Vault管理コンソールを使用して、マルチマスター・クラスタを逆移行できます。

  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
    Oracle Key Vaultの「Home」ページが表示されます。
  2. 「System」タブをクリックします。
    「Status」ページが表示されます。
  3. 左側のサイドバーで「Hardware Security Module」をクリックします。
    「Hardware Security Module」ページが表示されます。
  4. 「Reverse Migrate」をクリックします。

    「HSM Reverse Migrate」ダイアログ・ボックスが表示されます。


    hsm_reverse_migrate_mmc.pngの説明が続きます
    図hsm_reverse_migrate_mmc.pngの説明

    「HSM Reverse Migrate」ダイアログ・ボックスに、次の詳細を入力します。

    • HSM資格証明を入力します。この資格証明については、HSMドキュメントを参照してください。SafeNet用のHSM資格証明は、SafeNetパーティション・パスワードです。nCipherの場合、資格証明はOperator Card Setのパスワードです。

    • リカバリ・パスフレーズを入力します。

  5. 「Reverse Migrate」をクリックします。
    「Hardware Security Module」ページが表示されます。赤い下向き矢印が「Status」を示します。

親トピック: 逆移行操作