保存データの保護
証跡ファイルなどのすべての顧客関連データに加え、バインドされたリカバリなどの依存/派生データ、ディスク上のオーバーフロー/ステージング・データは、Oracle GoldenGate環境で暗号化された形式で保持されます。
Oracle GoldenGateでは、様々な暗号化技術を使用して保存データを保護します。暗号化はマスター・キーを使用して行われ、複数のマスター・キーの使用をサポートしています。
証跡ファイル暗号化
-
ANSI X9.102は、カプセル化暗号化に使用されるキー・ラップ・アルゴリズムです。
-
各証跡ファイル(ローカル・キー)のデータ暗号化キー(DEK)が含まれます。
-
暗号化バージョンのローカル・キーが証跡ファイル・ヘッダーに含まれ、データ暗号化キーの暗号化にマスター・キーが使用されます。
-
暗号化レベルは、AES128、AES192、AES 256です。
Oracleキー管理サービス
-
ローカル・ウォレット: 暗号化マスター・キーはローカル・ウォレット・ファイルに格納されます。
-
Oracle Key Vault (OKV): 暗号化マスター・キーは、Oracle Key Vaultに格納されます。このOracle Key Vaultサービスは、Oracle GoldenGateとは異なるサーバーに配置できます。
OKV方法は、オンプレミスのOracle GoldenGate証跡暗号化にお薦めします。この方法はOracle GoldenGate Microservices Architectureで使用でき、Oracle GoldenGateで暗号化プロファイルを定義する必要があります。「Oracle GoldenGateでのOracle Key Vault証跡ファイルの暗号化の使用」を参照してください。
-
Oracle Cloud Infrastructure Key Management Service (OCI KMS): 暗号化マスター・キーはOCI KMSに格納されます。マスター・キーはOCI KMSから離れることはありません。Oracle GoldenGateデプロイメントがOCI KMSにアクセスできる場合にこの方法をお薦めします。
この方法はOracle GoldenGate Microservices Architectureで機能し、Oracle GoldenGateで暗号化プロファイルを定義する必要があります。「OCI KMS証跡ファイルの暗号化を有効にするためのOracle GoldenGateプロセスの構成」を参照してください。
Oracle GoldenGate暗号化キーの保管にKMSを使用する理由
Oracle GoldenGateの証跡ファイルの暗号化は、マスター・キーを保管するためのキー管理サービス(KMS)としてOKVまたはOCI KMSを使用することで強化されます。
Oracle GoldenGateで証跡ファイルが作成されるたびに、新しい暗号化キーが自動的に生成されます。この暗号化キーで証跡の内容を暗号化します。マスター・キーは、暗号化キーを暗号化します。この暗号化キーを暗号化するプロセスはキー・ラップと呼ばれています(詳細は、米国標準委員会のANS X9.102標準を参照してください)。
キー管理とは、企業内で暗号化キーを管理することを指します。また、必要に応じてキーの生成、交換、保管、使用および置換を処理します。KMSには、キー・サーバー、ユーザー・プロシージャおよびプロトコルも含まれます。企業のセキュリティは、キー管理の成否によって決まります。
-
マスター・キーの一元的なライフサイクル管理。カスタム属性を使用することでマスター・キーを作成してOracle Key Vaultに直接アップロードできます。また、KMS内でライフサイクル・メンテナンス・タスクを直接実行できます。
-
Oracle GoldenGateは、マスター・キーをローカルに保管する必要はなく、マスター・キーのライフサイクル管理には関与しません。
-
Oracle GoldenGateは、キー管理に複数のセキュリティ・レイヤーを提供する特別なKMS機能を利用できます。