1 HSMのスタート・ガイド
ハードウェア・セキュリティ・モジュール(HSM)をOracle Key Vaultと統合するには、HSMをインストールし、Key VaultをHSMクライアントとしてエンロールする必要があります。
- Oracle Key Vaultとハードウェア・セキュリティ・モジュールとの連携
このガイドでは、サポートされているハードウェア・セキュリティ・モジュール(HSM)を使用するようにOracle Key Vaultを構成する方法について説明します。 - Oracle Key VaultサーバーへのHSMクライアント・ソフトウェアのインストール
Oracle Key Vaultをインストールした後に、HSMクライアント・ソフトウェアをOracle Key Vaultサーバーにインストールできます。 - HSMのクライアントとしてのOracle Key Vaultのエンロール
Oracle Key VaultをHSMクライアントとしてエンロールして、HSMクライアントとHSM間の接続を確認する必要があります。
1.1 Oracle Key Vaultとハードウェア・セキュリティ・モジュールとの連携
このガイドでは、サポートされているハードウェア・セキュリティ・モジュール(HSM)を使用するようにOracle Key Vaultを構成する方法について説明します。
ハードウェア・セキュリティ・モジュール(HSM)には、HSM内に格納されているセキュリティ・オブジェクトを保護するために設計された、改ざん耐性を持つ専用ハードウェアが含まれています。HSMは、デジタル・キーを保護および管理し、クライアントに暗号化処理を提供する物理的なコンピューティング・デバイスです。HSMは、通常、セキュリティ・オブジェクトがHSMの暗号化境界から離れることを許可しません。
Oracle Key Vaultは、セキュリティ・オブジェクトを安全に格納、管理および共有するためのキー管理プラットフォームです。HSMとは異なり、Oracle Key Vaultでは、信頼できるクライアントが復号化キーなどのセキュリティ・オブジェクトを取得できます。Oracle Key Vaultは、オペレーティング・システム、データベースおよびキー管理アプリケーションを含むフルスタック・ソフトウェア・アプライアンスです。Oracle Key Vaultは、組織がキーと資格情報を格納および管理できるように設計されています。
組織によっては、暗号化キーを保護するためにHSMの使用が必要になる場合があります。それらはHSMの暗号化境界から離れることができないように設計されているため、ほとんどの場合、データベースをHSMに直接接続することは実用的ではありません。かわりに、データベースがOracle Key Vaultに接続し、HSMで保護されます。この構成により、HSMにOracle Key Vaultのルート・オブ・トラスト(RoT)が確立されます。HSMがOracle Key Vaultとともにデプロイされると、RoTはHSMに残ります。HSM RoTはウォレット・パスワードを保護し、これによりTDEマスター・キーを保護し、すべての暗号化鍵、証明書およびOracle Key Vaultサーバーで管理される他のセキュリティ・アーティファクトを保護します。このRoT使用シナリオにおけるHSMでは、顧客の暗号化キーが格納されないことに注意してください。顧客のキーは、Oracle Key Vaultサーバーによって直接格納および管理されます。
HSMをRoTとして使用することは、不正な環境で起動されたOracle Key Vaultサーバーからキーを回復する試みを減らすことを目的としています。施設からのOracle Key Vaultサーバーの物理的喪失が、このようなシナリオの一例です。権限のないユーザーが、紛失したり盗難にあったOracle Key VaultサーバーをHSMへのアクセスを認可されずに実行しようとすると、アプライアンスに格納されている暗号化キーをリカバリできなくなります。
Oracle Key Vaultでは、オペレーティング・システムの強化、データベースの暗号化、Database Vaultを使用したデータ・アクセスの実行などのセキュリティ・コントロールの階層を採用しています。これらのコントロールは、ユーザーが物理的にアクセス可能なシステムからキーや資格証明を抽出する潜在的なリスクを減らすように設計されています。管理者は、通常の日常的な業務のためにアプライアンスの内部コンポーネントにアクセスする必要はありません。Oracle Key Vaultは安全な場所にデプロイする必要があり、アプライアンスへの物理アクセスと論理アクセスを制御およびモニターする必要があります。
サイトでSafeNet、nCipher (Thales社)のHSMを使用している場合は、スタンドアロン、プライマリ/スタンバイおよびマルチマスター環境のOracle Key Vaultを使用してこれらのHSM製品を構成できます。
このガイドでは、Oracle Key Vaultがインストールおよび構成されていることを前提としています。また、構成する予定のHSM製品について十分な知識があることも前提としています。
Oracle Key Vaultを使用してHSMを構成するために従う必要がある一般的なプロセスは次のとおりです。
- HSMクライアント・ソフトウェアをOracle Key Vaultサーバーにインストールします。
- Oracle Key VaultをHSMクライアントとしてエンロールします。
- 次のように、さらに構成操作を実行します。
- HSMを使用してTDEマスター暗号化キーの保護を構成します。
- プライマリ/スタンバイOracle Key VaultインストールでHSMを有効にします。
- Oracle Key Vaultマルチマスター・クラスタ環境でHSMを有効化します。
- HSMが有効になっているOracle Key Vaultインスタンスでバックアップおよびリストア操作を実行します。
- 必要に応じて逆移行を実行し、Oracle Key Vault環境がHSM対応でなくなるようにします。
親トピック: HSMのスタート・ガイド
1.2 Oracle Key VaultサーバーへのHSMクライアント・ソフトウェアのインストール
Oracle Key Vaultをインストールした後に、HSMクライアント・ソフトウェアをOracle Key Vaultサーバーにインストールできます。