1. 管理者ガイド
  2. Oracle Key Vaultのこのリリースでの変更点

Oracle Key Vaultのこのリリースでの変更点

このOracle Key Vaultリリースでは、Oracle Key Vaultを使用してSSH公開キー認証を使用し、サーバーへのアクセスを一元的に制御して、SSHユーザー・キー管理をさらに簡素化する新機能が導入されています。

Oracle Key Vaultリリース21.7での変更点

Oracle Key Vaultリリース21.7には、いくつかの新機能が導入されています。

親トピック: Oracle Key Vaultのこのリリースでの変更点

Oracle Key VaultによるSSHサーバーへのアクセスの一元的な制御

このリリースから、Oracle Key Vaultを使用してエンタープライズ内のSSHサーバーへのアクセスを一元管理できるようになりました。

SSH公開キー認証は、多くの場合、運用および管理目的でリモート・ホストにアクセスする際に推奨の方法です。エンタープライズ設定では、複数の管理者が、ドメイン内にある多数のホストに対するエンタープライズ・ユーザーのアクセス権を付与または取り消します。この規模になると、アクセス制御アーキテクチャの分散化された性質はすぐに圧倒され、システムは一般的にエラーが発生しやすくなり、セキュリティ・リスクにさらされやすくなります。

Oracle Key VaultとOpenSSHの統合を使用することで、SSHサーバーへのアクセスを一元的に制御できます。一元化されたアクセス制御により、セキュリティが向上し、脅威への迅速な対応が可能になり、人為ミスが少なくなり、大規模なサーバーのアクセス管理が簡単になります。

リリース21.7では、Oracle Key Vaultに新しいタイプのエンドポイント(SSH Serverエンドポイント)が追加されました。OpenSSHとの統合を容易にするには、SSH Serverエンドポイント・タイプをSSHサーバーにデプロイする必要があります。

Oracle Key Vault 21.7では、ウォレット・タイプ – SSH ServerウォレットとGeneralウォレットが導入されました。SSH Serverウォレットは、SSHサーバー上のホスト・ユーザーに関連付けられており、ホスト・ユーザーの認可されたSSH公開キーを格納することを目的としています。SSHサーバーへのアクセスを許可または拒否するには、ユーザーのSSH公開キーをSSHサーバー・ウォレットに追加または削除します。

Oracle Key Vaultには、サーバー・アクセスの管理と監視を簡素化するために、SSHサーバー認可、SSHサーバー・アクセスおよびその他のレポートレポートが用意されています。

親トピック: Oracle Key Vaultリリース21.7での変更点

SSHユーザー・キー管理の向上

Oracle Key Vaultリリース21.7では、SSHユーザー・キーの一元管理がさらに向上しています。

Oracle Key Vault PKCS#11ライブラリはOpenSSHと統合され、Oracle Key VaultのSSHキー・ペアを使用したSSH公開キー認証をサポートします。

これにより、Oracle Key VaultでSSHユーザー・キーの一元管理が可能になります。ユーザーは、SSHキーを明示的に作成できるようになりました。以前のリリースでは、一般的な公開キーと秘密キーのペアがSSHキーとして使用されていたため、SSHキーとして使用されない他の公開キーとの区別が困難でした。

SSHユーザーをSSHキーに関連付けることができるようになり、キーの識別と監視が容易になりました。SSHユーザーは、SSHキー、人間、アプリケーションまたはマシンの実際のコンシューマを追跡することを目的としています。

Oracle Key Vaultには、SSH秘密キーの認可およびアクセス・レポートが用意されており、SSHキーの管理と監視が簡素化されています。ユーザーはSSHキーの失効アラートを個別に構成できます。

親トピック: Oracle Key Vaultリリース21.7での変更点

SSHキー管理をサポートするRESTfulサービス・ユーティリティの変更

リリース21.7以降では、Oracle Key Vault RESTfulサービス・ユーティリティを使用してSSHキーを作成および登録し、SSH ServerウォレットとSSH Serverエンドポイントを管理できます。

次のOracle Key Vault RESTfulサービス・ユーティリティ・コマンドが更新され、SSHキー・ペアの作成と、SSHの秘密キーと公開キーの登録がサポートされるようになりました:
  • okv managed-object key-pair create
  • okv managed-object private-key register
  • okv managed-object public-key register

これらのコマンドに新しいオプション--ssh-userが追加されました。このオプションを使用すると、基になる公開キー・オブジェクトと秘密キー・オブジェクトがSSHキーとして識別されます。

SSH ServerエンドポイントとSSH Serverウォレットの作成をサポートするために、次のコマンドが更新されました:
  • okv admin endpoint create
  • okv manage-access wallet create

親トピック: Oracle Key Vaultリリース21.7での変更点

Oracle Key Vault管理コンソールからのキー作成のサポート

リリース21.7以降では、Oracle Key Vault管理コンソールから新しいキーとキー・ペアを作成できるようになりました。これにより、Oracle Key Vaultユーザーがキーとキーペアを作成できます。以前は、エンドポイントだけがセキュリティ・オブジェクトを作成できました。

Oracle Key Vaultユーザーとして、一般的なキーまたはアプリケーション固有のキーとキー・ペアを作成できるようになりました。一般的なキーとして、Oracle Key Vaultでは対称キーと公開/秘密キーのペアの作成がサポートされています。

アプリケーション・キー・カテゴリでは、TDEマスター暗号化キー、Oracle GoldenGateマスター・キー、SSHキー・ペアの作成がサポートされます。アプリケーション・キーを作成したら、Oracle Key Vaultのキーを使用するように、対応するアプリケーションを構成する必要があります。

キーの作成時に、キー・アルゴリズムとキーの長さを選択し、キーの有効期限を設定し、Oracle Key Vaultクラスタ境界外でキーを抽出できるかどうかを制御できます。

ユーザーが作成したキーは、エンドポイントがアクセスできれば、通常どおりエンドポイントで使用できます。

親トピック: Oracle Key Vaultリリース21.7での変更点

マルチマスター・クラスタでのアラートのノードまたはクラスタ・スコープのサポート

Oracle Key Vaultリリース21.7以降では、マルチマスター・クラスタでは、ノードまたはクラスタ・スコープで特定のアラートの構成を設定できるようになりました。

以前のリリースでは、マルチマスター・クラスタで、常に同じアラート構成が各クラスタ・ノードに適用されていました。クラスタ・ノード間で同じアラート設定を使用することが、必ずしも理想的であるとはかぎりません。たとえば、特定のノードからバックアップを取得するようにシステムが構成されている場合に、他のノードがシステム・バックアップが実行されなかったというアラートを生成することは理想的ではありません。このようなノードに対しては、ノード・スコープを設定し、アラートをこれらのノードでのみオフにできます。

Oracle Key Vault 21.7では、次のアラートに対してノード固有の構成が可能になるため、アラート構成がさらに柔軟になります:

  • Fast Recovery Area Space Utilization
  • High CPU Usage
  • Failed System Backup
  • High Memory Usage
  • Disk Utilization
  • システム・バックアップ

ノード・レベルでこれらのアラートを有効または無効にすることもできます。特定のノードでは、ノード・スコープ構成が同じアラートのクラスタ・スコープ構成をオーバーライドします。

親トピック: Oracle Key Vaultリリース21.7での変更点

サポートおよびrootユーザーの初期パスワードの設定

リリース21.7以降では、インストール後のステップで、サポートおよびrootユーザーの初期パスワードをOracle Key Vault管理コンソールから設定できなくなりました。

リリース21.7では、rootユーザーのパスワードは、Oracle Key Vaultインストールの初期フェーズで指定されたパスワードのままです。

インストール直後にrootユーザーとしてOracle Key Vault端末コンソールにログインすることで、サポート・ユーザーの初期パスワードを設定できるようになりました。

親トピック: Oracle Key Vaultリリース21.7での変更点

Oracle Key Vaultリリース21.6での変更点

Oracle Key Vaultリリース21.6には、いくつかの新機能が導入されています。

親トピック: Oracle Key Vaultのこのリリースでの変更点

Oracle Key Vaultからの秘密暗号化キーの抽出を制限する機能

Oracle Key Vault 21.6では、Oracle Key Vaultにアップロードされた秘密キーは、Oracle Key Vaultデプロイメント境界を超えないように、抽出不可としてマークできます。

秘密キーおよび対称キーを制限し、抽出可能属性値をfalseに設定して抽出不可にできるようになりました。false属性値により、暗号オブジェクトがOracle Key Vault境界内に残ることが保証されます。

Oracle Key Vaultから秘密暗号化キーを取得(抽出)できるかどうかを制御するには、Oracle Key Vault管理コンソール、RESTfulサービス・ユーティリティ・コマンド、C SDK APIおよびJava SDK APIを使用できます。

関連トピック

親トピック: Oracle Key Vaultリリース21.6での変更点

Oracle Key Vaultで非対称キー・ペアを作成する機能

リリース21.6以降、Oracle Key Vaultで非対称キー・ペアを作成できるようになりました。

秘密キーを抽出不可として作成するか、後で抽出不可にして、秘密キーがOracle Key Vaultデプロイメント境界を決して超えないようにすることができます。

RESTfulサービス・ユーティリティ・コマンド、CおよびJAVA SDK APIを使用して非対称キー・ペアを作成できます。

抽出不可能な秘密キーとボード上のOracle Key Vaultの署名操作のサポートにより、ユーザーのSSH秘密キーがOracle Key Vaultから離れることがないように、opensshおよびOracle Key VaultのPKCS#11ライブラリを使用して公開キー認証を実装できるようになりました。公開キー認証中に、PKCS#11ライブラリはOracle Key Vault自体内で署名操作を実行するようになりました。これにより、一元化されたキー・ガバナンスを実施し、ローカルでダウンロードされた脆弱な秘密キーを排除できます。

親トピック: Oracle Key Vaultリリース21.6での変更点

Oracle Key Vault VMをクローニングする機能

Oracle Key Vault 21.6以降では、Oracle Key Vault VMゲストの新規インストールをテンプレートとして格納でき、VMプラットフォームのクローニング機能を使用してOracle Key Vaultクラスタ・ノードをクローニングできます。

Oracle Key Vaultクラスタでは、クローニングされたテンプレートを使用して、システム管理者は、個々のクラスタ・ノードの完全インストールの実行と比較して、プロビジョニング時間を大幅に短縮できます。

Oracle Key Vaultは、基礎となる仮想化プラットフォームのクローニング機能をサポートします。これにより、個々のクラスタ・ノードごとに完全なインストール・プロセスを実行する必要がなくなります。インストールの完了後、インストール後のタスクを実行する前に、Oracle Key Vaultシステム(VMとしてインストール済)をクローニングできます。クローンは、初めて起動されると、システム固有の構成を再生成する一連の手順を実行して、このクローンを一意にします(その他すべてのクローンとは別になります)。仮想化プラットフォームによって提供される(リモート)クローニング機能では、Oracle Key Vaultテンプレートからクローニングできます。これは、このOracle Key Vaultを一意にする前に停止されるOracle Key Vaultインストールです。すべてのシステム固有の構成が再生成されます。クローンは、残りのインストール手順を完了することによって一意になります。

親トピック: Oracle Key Vaultリリース21.6での変更点

代替ホスト名またはIPアドレスを指定する機能のサポート

Oracle Key Vault 21.6以降は、クラウド・インフラストラクチャ環境で実行されているシステムのパブリックIPアドレスなど、完全修飾ドメイン名またはIPアドレスを使用してOracle Key Vaultを構成できます。

Oracle Key Vaultでは、2つの代替ホスト名を指定する機能が提供されます。Oracle Key Vaultサーバーまたはノードとの通信時にエンドポイントでこれらの代替ホスト名のいずれかを使用するかどうかを選択できます。各ノードに代替ホスト名を指定する必要があります。また、マルチマスター・クラスタ環境で指定したホスト名をエンドポイントが使用するかどうかも選択できます。

この機能は(非推奨の)プライマリ・スタンバイ・デプロイメントではサポートされません。

親トピック: Oracle Key Vaultリリース21.6での変更点

Oracle Key VaultのSAMLv2ベースのシングル・サインオン(SSO)認証のサポート

Oracle Key Vaultリリース21.6以降、Oracle Key VaultはSAMLベースのシングル・サインオン(SSO)認証をサポートします。

Oracle Key Vault 21.6ではSSOがサポートされるようになりました。SSO機能はSAMLベースで、ユーザーはアイデンティティ・プロバイダ(IdP)を介して認証されます。IdPでサポートされているシングル・サインオン(SSO)認証により、マルチファクタ認証(MFA)が提供されます。これにより、1つの資格証明セットへのログイン試行を最小限に抑えることができるため、エンタープライズ・セキュリティが向上します。シングル・サインオン(SSO)認証は、アイデンティティおよびアクセス管理(IAM)ソリューションの一部であり、より詳細なレベルでリソースへのユーザー・アクセスを制御する中央ディレクトリを使用します。これにより、組織は、適切な権限をユーザーにプロビジョニングする必要がある規制に準拠できるようになります。また、SSOソリューションは、ユーザーを迅速にプロビジョニング解除します。これは、以前の従業員、パートナーなどが機密データにアクセスできないようにするための別の一般的なコンプライアンス要件です。

関連トピック

親トピック: Oracle Key Vaultリリース21.6での変更点

統合されたアプリケーションレベルのトレースと簡易診断収集のサポート

Oracle Key Vaultリリース21.6以降、統合されたアプリケーションレベルのトレースが導入され、トレース・レベルを一元的に制御できるようになりました。診断のダウンロード・プロセスも簡略化されています。

以前は、診断を収集するために、システム管理者がOracle Key Vault管理コンソールにログオンし、readmeをダウンロードし、Oracle Key Vaultサーバーにrootユーザーとしてログオンし、コマンドを手動で実行して診断ユーティリティをインストールし、選択したログ・オプションを有効にしていました。次に、システム管理者はOracle Key Vault管理コンソールに再度ログインし、診断バンドルをダウンロードしていました。

Oracle Key Vaultリリース21.6では、プロセスが簡素化されています。システム管理者はOracle Key Vault管理コンソールにログオンし、ダウンロードに必要な診断を選択してダウンロード・ボタンをクリックします。

さらに、トレースの一元的な生成を容易にするために、Oracle Key Vaultリリース21.6ではコンポーネント・ベースのトレースが導入され、システム管理者はOracle Key Vault管理コンソールから特定のOracle Key Vaultコンポーネントのトレース・レベルを調整できるようになりました。これらのトレース・レベル(重大度のレベルの高さの順)は、MANDATORY、ERROR、WARNING、INFOおよびDEBUGです。

関連トピック

親トピック: Oracle Key Vaultリリース21.6での変更点

Oracle Key VaultとのOracle Audit Vault統合の中断

Oracle Key Vault 21.6以降、統合が成功しない場合、Oracle Key VaultとOracle Audit Vault統合を中断できます。

Oracle Key Vault管理コンソールから、AVDFの統合を中断できるようになりました。これは、AVDFの統合がOracle Key Vaultとの統合に通常よりも長い時間がかかる場合に役立ちます。

親トピック: Oracle Key Vaultリリース21.6での変更点

監査レコードでのイベントIDのサポート

Oracle Key Vaultリリース21.6以降、すべての操作イベントがイベントIDを使用して分類されるようになりました。

この機能により、Oracle Key Vault監査レコードに新しいフィールド「Event ID」が追加されます。イベントIDは、監査される操作(タイプ)に一意に関連付けられている安定したIDを表します。

  • 同じ監査操作に対して複数の監査レコードが同じイベントIDを使用します。
  • イベントIDは静的にOracle Key Vaultソース・コードに設定されるため、イベントIDは変更されず、同じ操作に永久にマップされたままになります。
  • ただし、操作のテキスト説明は、引き続きリリース間で変更される可能性があります。
  • 新機能の一部として追加された新しい操作には、新しい一意のイベントIDが付与されます。

関連トピック

親トピック: Oracle Key Vaultリリース21.6での変更点

Oracle Key Vaultメトリック・フレームワークでのディスクおよびネットワークのI/Oおよびアプリケーション・メトリックのサポート

Oracle Key Vaultリリース21.6以降、Oracle Key Vaultはメトリック・フレームワークが拡張され、ディスクおよびネットワークのI/Oメトリックおよびアプリケーション・メトリックが含まれます。

この機能により、ディスク、ネットワークI/O、アプリケーション・メトリックにメトリックが追加されます。Oracle Key Vaultで現在いつでも使用可能なメトリックは、システム機能およびリソース使用率の決定に役立ちます。

  • ディスクI/O: Oracle Key Vaultアクティビティの大部分がデータベースから行われることを前提として、データベース・キャッシュに関するインサイトを提供します。
  • ネットワークI/O: 特定の時間間隔中に受信/送信されたバイト数に関するインサイトを提供します。データと履歴日付を比較して、エンドポイントの使用状況およびアクティビティを分析できます。また、データは平均値として提供されます。
  • アプリケーション: 一定の間隔で接続を処理するために受け入れられたKMIP接続の数に関するインサイトを提供します。

関連トピック

親トピック: Oracle Key Vaultリリース21.6での変更点

署名操作および署名検証操作のサポート

リリース21.6以降、Oracle Key Vault CとJava SDKに、署名および検証機能が用意されました。

RESTfulサービス・ユーティリティ・コマンド、okvutilまたはCおよびJava SDKを使用して、署名操作および署名検証操作を実行できます。

C SDK API

  • KMIP暗号操作は次のとおりです。
    • okvSign
    • okvSignVerify
  • 暗号ユーティリティ操作は次のとおりです。
    • okvCryptoContextGetCryptoAlgo
    • okvCryptoContextGetHashingAlgo
    • okvCryptoContextGetDigitalSignAlgo
    • okvCryptoContextSetHashingAlgo
    • okvCryptoContextSetCryptoAlgo
    • okvCryptoContextSetDigitalSignAlgo
    • okvCryptoResponseGetSignatureData
    • okvCryptoResponseGetRecoveredData
    • okvCryptoResponseGetValidity
    • okvSignResponseCreate
    • okvSignVerifyResponseCreate
    • okvSignResponseFree
    • okvSignVerifyResponseFree

Java SDK API

  • KMIP暗号操作は次のとおりです。
    • okvSign
    • okvSignVerify
  • 暗号ユーティリティ操作は次のとおりです。
    • getCryptoAlgo
    • getHashingAlgo
    • getDigitalSignAlgo
    • setCryptoAlgo
    • setHashingAlgo
    • setDigitalSignAlgo
    • getSignatureData
    • getRecoveredData
    • getValidity

関連トピック

親トピック: Oracle Key Vaultリリース21.6での変更点

Microsoft AzureとAmazon AWSでのOracle Key Vaultデプロイメント

Oracle Key Vaultリリース21.6以降、Microsoft AzureおよびAmazon AWSクラウド・プラットフォームにOracle Key Vaultをデプロイできます。

オンプレミスのデータ・センターとOracle Cloud Infrastructure (OCI)に加えて、Oracle Key Vault 21.6をMicrosoft AzureとAmazon AWSにもデプロイできます。

親トピック: Oracle Key Vaultリリース21.6での変更点

endpoint get RESTfulコマンドに追加されたエンドポイントIPアドレス属性

Oracle Key Vaultは、endpoint get RESTfulコマンドでエンドポイントIPアドレスをサポートします。

登録時に使用されたエンドポイントIPアドレスが記録され、okv admin endpoint get --endpoint endpoint_nameコマンドで表示されるようになりました。

親トピック: Oracle Key Vaultリリース21.6での変更点

署名および署名検証API

Oracle Key Vault Client SDKリリース21.6では、署名操作および署名検証操作のサポートが追加されます。

RESTfulサービス・ユーティリティ・コマンドを使用して、署名操作および署名検証操作を実行できます。

  • KMIP暗号操作は次のとおりです。
    • okvSign
    • okvSignVerify
  • 暗号ユーティリティ操作は次のとおりです。
    • okvCryptoContextGetCryptoAlgo
    • okvCryptoContextGetHashingAlgo
    • okvCryptoContextGetDigitalSignAlgo
    • okvCryptoContextSetHashingAlgo
    • okvCryptoContextSetCryptoAlgo
    • okvCryptoContextSetDigitalSignAlgo
    • okvCryptoResponseGetSignatureData
    • okvCryptoResponseGetRecoveredData
    • okvCryptoResponseGetValidity
    • okvSignResponseCreate
    • okvSignVerifyResponseCreate
    • okvSignResponseFree
    • okvSignVerifyResponseFree

親トピック: Oracle Key Vaultリリース21.6での変更点

監査レコード・メッセージの改善

Oracle Key Vaultリリース21.6では、一貫性とスタイルを向上させるために監査レコード・メッセージが変更されます。

監査レコードのオブジェクト情報は、監査レコード・メッセージ(操作テキスト)に含まれなくなりました。かわりに、オブジェクト情報はオブジェクト列にあります。

親トピック: Oracle Key Vaultリリース21.6での変更点

Oracle Key Vaultリリース21.5での変更点

Oracle Key Vaultリリース21.5には、いくつかの新機能が導入されています。

親トピック: Oracle Key Vaultのこのリリースでの変更点

Oracle Key VaultからのSSHユーザー・キーを使用したSSH公開キー認証のサポート

Oracle Key Vaultリリース21.5以降では、Oracle Key Vaultのみに格納されているキー・ペアにより、SSHキーベースの認証を使用できます。

Oracle Key VaultのPKCS#11ライブラリでは、Oracle Key VaultにアップロードされているSSHキー・ペアを使用した、SSH公開キー認証がサポートされています。Oracle Key VaultでSSHユーザー・キーを一元管理することで、キーのライフサイクルの管理が簡略化され、キー管理が可能になり、ポリシーの適用がさらに簡単になります。キーのローテーションや必要に応じたそれらの破棄などのアクションを一元的に実行できます。また、ローカル・ディスク上のSSHユーザー・キーのフットプリントに関連するリスクを最小限に抑えることができます。

関連トピック

親トピック: Oracle Key Vaultリリース21.5での変更点

保存方針に基づく監査レコードの自動パージ

Oracle Key Vaultリリース21.5以降では、保存方針に基づいて古い監査レコードを自動的にパージできるようになりました。

Oracle Key Vault監査レコードによって使用されるディスク領域をより効率的に管理できるようになりました。また、それらが不要になったとみなされたときに手動で削除する必要はありません。保存方針に基づいて古い監査レコードを自動的にパージするように、Oracle Key Vaultを構成できます。たとえば、180日より前の監査レコードを自動的にパージする方針を構成し適用できます。

親トピック: Oracle Key Vaultリリース21.5での変更点

エンドポイント証明書をローテーションする機能

Oracle Key Vaultリリース21.5以降では、エンドポイントをローテーションして、エンドポイントの停止時間なしでその証明書の有効期限を延長できます。

Oracle Key Vaultリリース21.5では、エンドポイントをローテーションして、エンドポイントの停止時間なしでその証明書の有効期限を延長できます。以前は、これはエンドポイントを再エンロールすることでのみ実現できていました。必要に応じて、一度に複数のエンドポイントをローテーションすることもできます。この方法でのエンドポイント証明書のローテーションは、CAまたはサーバー/ノードの証明書ローテーション・プロセスとは無関係です。

関連トピック

親トピック: Oracle Key Vaultリリース21.5での変更点

LDAPユーザーのエンドポイント権限およびエンドポイント・グループ権限のサポート

Oracle Key Vaultリリース21.5以降では、LDAPグループ・マッピングによってLDAPユーザーにエンドポイント権限およびエンドポイント・グループ権限を付与できます。

LDAPユーザーへの権限の付与は、LDAPグループ・マッピングを通じて実現されます。LDAPグループにエンドポイント権限またはエンドポイント・グループ権限をマップします。このグループのメンバーであるLDAPユーザーは、ログイン時に、マップされたエンドポイント権限またはエンドポイント・グループ権限を付与されます。

関連トピック

親トピック: Oracle Key Vaultリリース21.5での変更点

ユーザー・アカウント管理

Oracle Key Vaultリリース21.5以降では、Oracle Key Vaultユーザーに対して、企業のユーザー管理セキュリティ・ポリシーを満たすようにユーザー・アカウント・プロファイル・パラメータを構成できます。

ユーザー・アカウント・プロファイル・パラメータにより、ユーザー・パスワードのルールと要件、およびOracle Key Vaultユーザーのアカウント・ロックアウト動作を管理します。これらの設定は、ローカルで作成されるOracle Key Vaultユーザーに適用されます。LDAPユーザーについては、ユーザー・アカウント管理ポリシーはLDAPディレクトリ・サーバーにおいて管理されます。

Oracle Key Vaultでは、パスワード・リセットによるユーザー・アカウントのロック解除もサポートされるようになりました。Oracle Key Vault管理者は、ユーザーのパスワードをリセットすることでユーザー・アカウントのロックを解除できます。

関連トピック

親トピック: Oracle Key Vaultリリース21.5での変更点

重大度に基づくアラート分類

Oracle Key Vaultリリース21.5以降では、アラートは、管理しやすくなるように、それらの重大度レベルに基づいて分類されます。

Oracle Key Vaultでは、複数のタイプのアラートがサポートされています。Oracle Key Vaultにより、これらのアラートが、重大度レベル(CRITICAL、HIGH、MEDIUMおよびLOW)のいずれかに分類されるようになりました。Oracle Key Vault管理コンソールのホーム・ページに、未解決のアラートが重大度順に表示されるようになりました。Oracle Key Vault管理者が、運用継続のために早急な対処が必要な最重要アラートを、簡単に特定できるようになりました。

関連トピック

親トピック: Oracle Key Vaultリリース21.5での変更点

「Endpoint Metadata Report」での「Endpoint Group Membership」列の表示

Oracle Key Vaultリリース21.5以降では、「Endpoint Metadata Report」に、「Endpoint Group Membership」の列が追加されました。

「Endpoint Metadata Report」には、エンドポイント情報およびデプロイメント構成の詳細が表示されます。このメタデータ・レポートに、「Endpoint Group Membership」列が表示されるようになりました。

エンドポイント・グループ・メンバーシップ情報は、次の場合に役立ちます。
  • エンドポイント・グループへの権限の付与
  • エンドポイント・ローテーションの実行

親トピック: Oracle Key Vaultリリース21.5での変更点

最後のエンドポイント・アクティビティの時間を特定する機能


Oracle Key Vaultリリース21.5以降では、Oracle Key Vault管理コンソールで「Endpoints」ページを確認することで、エンドポイントがいつまでアクティブだったかをすばやく特定できます。

Oracle Key Vaultリリース21.5以降では、Oracle Key Vault管理コンソールから、「Endpoints」ページに移動しエンドポイントの「Last Active Time」列を確認することで、そのエンドポイントがいつまでアクティブだったかを特定できます。この情報は、どのエンドポイントが使用されていないかをすばやく特定するために役立ちます。以前は、この情報は、エンドポイント・アクティビティ・レポートからのみ(具体的には、マルチマスター・クラスタにおいて、クラスタのすべてのノードからのすべてエンドポイント・アクティビティ・レポートを統合することで)入手できていました。

関連トピック

親トピック: Oracle Key Vaultリリース21.5での変更点

OCIマーケットプレイス・イメージのUEFIサポート

Oracle Key Vaultリリース21.5以降では、Oracle Key Vault OCIマーケットプレイス・イメージはUEFIモードでのみ入手できます。

旧バージョンのOracle Key VaultのOCIマーケットプレイス・イメージでは、引き続き、BIOSモードが使用されています。

親トピック: Oracle Key Vaultリリース21.5での変更点

CA証明書の有効期限とサーバー/ノード証明書の有効期限のアラートの分離

Oracle Key Vaultリリース21.5以降では、CA証明書の有効期限、およびサーバー/ノード証明書の有効期限について、アラートを別々に構成できます。

これらのアラートに対して別々のしきい値を構成できます。デフォルトのしきい値は、CA証明書の有効期限については90日であり、サーバー/ノード証明書の有効期限については60日です。別々のアラートにすることで、サーバー/ノード証明書のローテーションをいつ実行する必要があるかを判断しやすくなります。サーバー/ノード証明書のローテーションは、CA証明書のローテーション(Oracle Key Vaultデプロイメント全体に影響し、複数の段階からなる)とは対照的に、ノードごとに実行される短時間のプロセスです。以前は、CA証明書またはサーバー/ノード証明書の有効期限が、構成されているサーバー証明書有効期限しきい値以内になったときに発生するアラートの種類は、「Oracle Key Vault Server Certificate expiration」の1つのみでした。

親トピック: Oracle Key Vaultリリース21.5での変更点

Oracle Key Vaultリリース21.4での変更点

Oracle Key Vaultリリース21.4には、このガイドに影響する新機能が導入されています。

親トピック: Oracle Key Vaultのこのリリースでの変更点

Oracle Key Vaultからの対称暗号化キーの抽出を制御する機能

Oracle Key Vaultリリース21.4以降では、対称キーの保護を強化するために、これらのキーがOracle Key Vaultから離れるのを制限できるようになりました。

この制限は、対称キーのキー・マテリアルに適用されますが、そのメタデータには適用されません。たとえば、透過的データベース暗号化(TDE)マスター暗号化キーはOracle Key Vaultに格納されます。エンドポイントでキーを復号化する必要がある場合、PKCS#11ライブラリは、Oracle Key VaultからTDEマスター暗号化キーをフェッチして復号化を実行します。対称キーがOracle Key Vaultから離れないことがサイトで必要とされる場合は、操作中にこれらのキーがOracle Key Vault内にとどまるように構成できます。この場合、PKCS#11ライブラリは、暗号化されたデータ暗号化キーをOracle Key Vaultに送信します。続いて、Oracle Key Vault内で復号化が実行され、その後、平文のデータ暗号化キーがPKCS#11ライブラリに返されます。TDEマスター暗号化キーがOracle Key Vaultからの持ち出しを制限されている場合、つまり、そのキーがOracle Key Vaultから抽出できない場合、Oracle Key VaultのPKCS#11ライブラリは、Oracle Key Vault内で暗号化と復号化の操作を実行します。

Oracle Key Vaultから対称暗号化キーを取得(抽出)できるかどうかを制御するには、Oracle Key Vault管理コンソール、RESTfulサービス・ユーティリティ・コマンド、C SDK APIおよびJava SDK APIを使用できます。

関連トピック

親トピック: Oracle Key Vaultリリース21.4での変更点

証明書管理の機能拡張

Oracle Key Vaultリリース21.4以降、証明書の管理に加えられたいくつかの機能拡張を利用できます。

機能拡張は次のとおりです。

  • 外部証明書署名機関によって署名されたOracle Key Vault認証局(CA)証明書の使用のサポート: サード・パーティの署名機関によって発行されたCA証明書を持つことを選択できます。このオプションを実施するには、最初に証明書署名リクエスト(CSR)を生成し、そのCSRが外部署名機関によって署名された後、その署名済CAをOracle Key Vaultにアップロードします。その後、Oracle Key Vault上のすべての証明書(エンドポイント証明書、およびOracle Key Vaultマルチマスター・クラスタ・ノード間の通信に使用されるもの)が新しいCAによって再発行されるように、CA証明書のローテーションを実行する必要があります。以前のリリースでは、Oracle Key Vault CA証明書は常に自己署名されていました。
  • Oracle Key Vault自己署名ルートCA証明書の有効期間を構成する機能: Oracle Key Vault自己署名CAの証明書の有効期間を構成できます。新しい有効期間は、CA証明書のローテーションが次に実行されたときに有効になります。以前は、この値は固定されていて変更できませんでした。
  • マルチマスター・クラスタ環境で、Oracle Key Vault CA証明書のローテーション・プロセス中にエンドポイントがローテーションされる順序を設定する機能: この機能拡張により、CA証明書のローテーション中にエンドポイントがローテーションされる順序を構成できます。このリリース以降、エンドポイントはデフォルトで、エンドポイント証明書の有効期限の順にローテーションされます(つまり、最も早く期限切れになるものが最初にローテーションされます)。CA証明書のローテーションを開始する前に、クラスタ・サブグループの優先度リストを指定してエンドポイントのローテーションを順序付けすることもできます。これにより、CA証明書のローテーション・プロセス中に、優先度リストの上位のクラスタ・サブグループに属するエンドポイントが、優先度の低いクラスタ・サブグループのエンドポイントよりも前にローテーションされます。以前のリリースでは、CA証明書のローテーションが実行されるときに、エンドポイントはランダムにローテーションされていました。
  • Oracle Key Vault CA証明書のローテーション中にローテーションされるエンドポイントのバッチ番号を構成する機能: CA証明書のローテーション・プロセスの特定の時点でUpdating to current certificate issuer状態になることができるエンドポイントの数を構成できます。この値は、Oracle Key Vault構成のエンドポイント数に基づいて構成できます。以前は、この値は静的であり、リリースによって異なりました(たとえば、Oracle Key Vaultリリース21.3では最大15個のエンドポイントがこの状態になることができました)。
  • Oracle Key Vaultサーバー証明書およびノード証明書をローテーションする機能: このリリース以降、Oracle Key Vaultシステム(マルチマスター・クラスタ環境のクラスタ・ノード、またはプライマリ環境とスタンバイ環境)間の通信、およびOracle Key Vaultシステムとそのエンドポイントの間の通信に使用される証明書は、サーバー証明書(スタンドアロン環境またはプライマリ/スタンバイ環境の場合)およびノード証明書(マルチマスター・クラスタ環境の場合)と呼ばれるようになりました。この機能拡張により、Oracle Key Vault CA証明書、サーバー証明書およびノード証明書について異なる有効期間を選択できるようになったため、操作の柔軟性が向上しています。これにより、CA証明書のローテーション・プロセス全体を実行しなくても、サーバー証明書とノード証明書を必要に応じて何度でもローテーションできます。

関連トピック

親トピック: Oracle Key Vaultリリース21.4での変更点

古いOracle Key Vaultバックアップのポリシー・ベースの自動パージのサポート

Oracle Key Vaultリリース21.4以降では、ローカルのOracle Key Vaultバックアップを手動で削除することも、1つ以上のリモート・バックアップの削除をスケジュールするポリシーを作成することもできます。

リモート・バックアップ先のサーバーでOracle Key Vaultバックアップによって消費されるディスク領域をより効率的に管理できるようになり、それらが不要になったとみなされたときに手動で削除する必要はありません。ポリシーに基づいてリモート・バックアップ先から古いバックアップを自動的にパージするようにOracle Key Vaultを構成できます。たとえば、バックアップが最新の10個のバックアップに含まれないかぎり、30日より古いバックアップを自動的にパージするポリシーを構成してリモート・バックアップ先に適用できます。さらに、ローカルのOracle Key Vaultバックアップを手動で削除できるようになりました。

関連トピック

親トピック: Oracle Key Vaultリリース21.4での変更点

Oracle Key Vaultの管理ロールの付与を制限する機能

Oracle Key Vaultリリース21.4以降、Oracle Key Vaultの管理ロールの権限受領者が他のOracle Key Vaultユーザーにそのロールを付与できるかどうかを制御できます。

以前のリリースでは、Oracle Key Vaultの管理ロール(システム管理者、キー管理者および監査マネージャ)を、そのロールを現在持っているユーザーが別のOracle Key Vaultユーザーに付与できました。このリリース以降、管理者がそのロールを別のユーザーに付与するときに、管理者は、権限受領ユーザーがさらにそのロールを他のユーザーに付与できるかどうかを制限できます。この機能拡張により、全体的なユーザー・セキュリティが向上するとともに、最小権限に関する適切な手法に従うことができます。

関連トピック

親トピック: Oracle Key Vaultリリース21.4での変更点

Oracle Key Vault監査証跡のクライアントIPアドレス

Oracle Key Vaultリリース21.4以降、Oracle Key Vault監査証跡には、Client IPという1つの新しいフィールドがあります。

Oracle Key Vault監査証跡には、操作を実行したエンティティの名前とタイプ、操作が実行された時刻、操作が実行されたノード、操作の結果などの情報を取得するフィールドが含まれています。Client IPフィールドの追加により、ユーザーが、操作が実行された場所(特にクラウド環境内)をより適切に検索できます。

関連トピック

親トピック: Oracle Key Vaultリリース21.4での変更点

SNMPによる追加のモニタリング情報のサポート

Oracle Key Vaultリリース21.4以降、SNMP nsExtendOutputFull MIBベース変数を使用して追加のモニタリング情報を参照できます。

nsExtendOutputFull MIBベース変数は、次の値を返すようになりました。

  • Oracle Audit Vaultモニター・ステータス
  • Oracle Audit Vaultエージェント・ステータス
  • サーバーまたはCA証明書の有効期限情報(どちらの証明書が早く期限切れになるか)

関連トピック

親トピック: Oracle Key Vaultリリース21.4での変更点

Oracle Key Vaultリリース21.3での変更点

Oracle Key Vaultリリース21.3には、このガイドに影響する新機能が導入されています。

親トピック: Oracle Key Vaultのこのリリースでの変更点

Oracle Audit VaultとOracle Key Vaultの統合のための機能拡張

Oracle Key Vaultリリース21.3以降、Oracle Audit VaultとOracle Key VaultのOracle Audit Vaultコンポーネントの統合は、より安全で簡単に実現できるようになりました。

この機能拡張には、次の機能の変更が含まれています。

  • システム管理者ロールおよび監査マネージャ・ロールの変更: システム管理者ロールを持つユーザーは、Oracle Audit Vault統合を実行できなくなりました。かわりに、職務をより適切に分離するために、監査マネージャ・ロールが付与されているユーザーのみが統合を実行できます。以前のリリースでは、システム管理者ロールを持つユーザーのみが統合を実行できました。ただし、システム管理者ロールを持つユーザーは、Audit Vaultのモニタリング・プロセスがアクティブかどうかを確認できます。
  • 簡単な統合プロセス: 監査マネージャ・ロールを持つユーザーは、Oracle Key Vault管理コンソールを使用してすべてのOracle Audit Vault統合ステップを実行できるようになりました。以前のリリースでは、この統合を実行するために、Oracle Key Vault管理者はAudit Vaultエージェントのダウンロードやインストールなどのステップを手動で実行する必要がありました。

関連トピック

親トピック: Oracle Key Vaultリリース21.3での変更点

高速リカバリ領域の領域使用状況のアラート

Oracle Key Vaultリリース21.3以降、Oracle Key Vaultの埋込みデータベースの高速リカバリ領域の領域使用状況が、構成されたしきい値を超えると、アラートが生成されます。

デフォルトでは、構成されたしきい値は70%で、スタンドアロン、マルチマスター・クラスタおよびプライマリ/スタンバイ環境でアラートを使用できます。新しいアラートを使用すると、Oracle Key Vaultの組込みデータベースの高速リカバリ領域の領域使用率をより適切に監視できます。

関連トピック

親トピック: Oracle Key Vaultリリース21.3での変更点

「Cluster Redo Shipping Status」のアラート・メッセージの変更

Oracle Key Vaultリリース21.3から、「Cluster Redo Shipping Status」のアラート通知メッセージが変更されています。

以前のリリースでは、REDO送信ステータスがアクティブ(稼働中)または非アクティブ(停止中)の場合にのみ、ユーザーにアラートが表示されていました。この情報に加えて、このメッセージで、クラスタ内のノードが読取り専用モードで動作しているのか、読取り専用モードでなくなったのかが示されるようになりました。

関連トピック

親トピック: Oracle Key Vaultリリース21.3での変更点