12 バックアップ暗号化の管理
バックアップ暗号化はオプションの簡単に構成できるメカニズムで、Oracle Secure Backupによってバックアップ・コンテナに書き込まれるクライアント・データがすべて暗号化されることを保証します。バックアップ暗号化は、ファイルシステム・データとRecovery Manager (RMAN)で生成されたバックアップのどちらに対しても実行できます。
ノート:
ボリュームの複製またはボリュームの移行時に、暗号化はサポートされません。ボリューム上の暗号化されていないバックアップ・セクションは、ボリュームの複製またはボリュームの移行操作時に暗号化されません。ボリュームの複製およびボリュームの移行の詳細は、「ボールティング」を参照してください。
この章の内容は次のとおりです。
バックアップ暗号化の概要
データは組織にとってきわめて重要なので、本番サーバーでアクティブな状態のデータ、またはバックアップ・テープに保存された状態のデータを、悪意から守る必要があります。データ・センター・セキュリティ・ポリシーによって、アクティブ・データへの物理的なアクセスを制限できます。テープに保存されているバックアップ・データのセキュリティを確保するために、Oracle Secure Backupではバックアップ暗号化が提供されています。
適切な暗号化ポリシーを設定することによって、グローバル・レベル、クライアント・レベルおよびジョブ・レベルでデータを暗号化できます。必要なアルゴリズムと暗号化オプションを選択して、暗号化処理を完了できます。
この項には、バックアップ暗号化の詳細を説明する、次の項目が含まれます。
バックアップ暗号化のタイプ
Oracle Secure Backupでは、次の種類の暗号化を実行できます。
-
ソフトウェア暗号化
ソフトウェア暗号化は、Oracle Secure Backupソフトウェアがインストールされているホストでサポートされます。NDMPホストまたはNASファイラでは、サポートされません。バックアップされたデータは、ネットワーク経由でバックアップ・ストレージ・メディアに送信される前に暗号化されます。
バックアップでソフトウェア暗号化を使用する場合、このバックアップに関連付けられたすべてのバックアップ・イメージ・インスタンスが暗号化されます。バックアップが作成された時点でソフトウェア暗号化が有効でなくても、元の未暗号化バックアップを使用して作成されたバックアップ・イメージ・インスタンスがハードウェア暗号化をサポートするテープ・デバイスに格納されていれば、そのバックアップ・イメージ・インスタンスを暗号化できます。
関連項目:
バックアップ・イメージ・インスタンスをコピーする際のバックアップ暗号化に関する詳細は、『Oracle Secure Backupリファレンス』を参照してください。
-
ハードウェア暗号化
ハードウェア暗号化は、LTO5テープ・ドライブなど暗号化をサポートするテープ・デバイスでのみサポートされます。テープ・デバイス・ハードウェアが、必要なデータ暗号化を実行します。
ハードウェア暗号化を使用するバックアップがディスク・プールにコピーされた場合、ディスク・プール上のバックアップ・イメージ・インスタンスは暗号化されていません。ただし、バックアップがソフトウェア暗号化を使用して作成された場合、このバックアップを使用して作成されるバックアップ・イメージ・インスタンスに対してハードウェア暗号化を使用することはできません。
関連項目:
バックアップ暗号化ポリシーについて
バックアップ暗号化は、容易に実装できるように設計されています。簡単な方法で1つのグローバル・ポリシーを変更することで、各クライアントのすべてのデータを確実に暗号化できます。また、バックアップ暗号化では、柔軟性の高い構成が可能です。
グローバル・レベルまたは特定のクライアントに暗号化を設定するには、暗号化ポリシーを次のいずれかの値に設定します。
-
requiredこのバックアップ・ドメインまたはクライアントで発生するデータはすべて暗号化されます。
-
allowedこのバックアップ・ドメインまたはクライアントで発生するすべてのデータは場合によって暗号化されます。暗号化の決定は、次の下位の優先順位レベルに従います。これはデフォルトの設定です。
バックアップ暗号化の設定レベルについて
暗号化設定は優先順位の高いものから低いもののまで、次のレベルで指定できます。暗号化ポリシーは、「バックアップ暗号化ポリシーについて」で説明されています
-
グローバル
バックアップ暗号化がグローバル・レベルで
requiredに設定されている場合、管理ドメイン内のすべてのバックアップ操作が暗号化されます。このグローバル・ポリシーは、Oracle Secure Backupのデフォルトおよびポリシーを使用して定義されます。 -
クライアント
ホストの暗号化設定が
requiredの場合、暗号化がバックアップ・レベルで構成されているどうかに関係なく、ホストでのすべてのバックアップ操作が暗号化されます。ホストの暗号化設定がallowedの場合、バックアップ・ジョブ自体の一部として構成されていないかぎり、あるいはグローバル暗号化ポリシーがrequiredに設定されている場合、ホストでのバックアップは暗号化されません。 -
ジョブ
ホストおよびグローバルの暗号化ポリシーが
allowedに設定されている場合、バックアップ暗号化は、バックアップ・レベルで構成されている場合のみ実行されます。
上位レベルで指定された暗号化設定は常に下位レベルでの設定より優先されます。たとえば、バックアップ暗号化をグローバル・レベルで有効にし、ファイルシステム・バックアップ・ジョブで暗号化を無効にした場合、上位レベル(グローバル・レベル)の設定が優先されるため、バックアップは暗号化されます。
バックアップ暗号化のオプションについて
バックアップ暗号化を有効化する場合、次のオプションの1つを選択できます。
-
はい
このオプションは、バックアップが暗号化されることを指定します。
-
いいえ
このオプションは、バックアップが暗号化されないことを指定します。これはデフォルトの設定です。
-
強制オフ
このオプションは、バックアップが暗号化されないことを指定し、ホストで必要な暗号化設定を上書きします。
-
一時
このオプションは、ユーザー指定の1回かぎりのパスフレーズを使用してOracle Secure Backupによってバックアップが暗号化されることを指定します。このオプションを選択した場合は、暗号化アルゴリズムのオプションを選択し、パスフレーズの指定フィールドにパスフレーズを入力することも必要です。
クライアントの
rekeyfrequencyポリシーによって、異なるキーがいつ生成されるかが定義されます。たとえば、ポリシーによって、異なるキーのセットを30日ごとに生成するように求められることがあります。古いキーは、ウォレットで保護されたキー・ストアに保持されます。このようにしておくと、キーまたはウォレットおよび関連するバックアップ・テープが改ざんされても、古いデータだけは暗号化を解除できます。クライアントのデフォルトのrekeyfrequencyポリシーは、グローバルのrekeyfrequencyポリシーから継承されます。
バックアップ暗号化のアルゴリズムについて
暗号化アルゴリズムはグローバル・デフォルト・ポリシーから継承され、クライアント・レベルでオーバーライドできます。クライアントごとに異なる暗号化アルゴリズムを使用できます。たとえば、従業員名簿関連のコンピュータは試験研究所関連のコンピュータより高いレベルの暗号化を使用できます。サポートされている暗号化アルゴリズムは次のとおりです。
-
AES128
-
AES192
-
AES256
関連項目:
ハードウェア暗号化オプションの詳細は、「ハードウェア暗号化アルゴリズムについて」を参照してください
バックアップ暗号化のセキュリティ制御について
Oracle Secure Backupは、ユーザー・レベルのアクセス、ホスト認証およびキー管理を主に制御する、混合的な暗号化セキュリティ・モデルを提供します。バックアップ暗号化を有効化すると、定義された暗号化アルゴリズムを使用してすべてのデータが暗号化されます。データはクライアントから移動される前に暗号化されます。暗号化キーは、Oracle Secure Backupウォレットで保護されるメカニズムに格納されます。
管理サーバーは安全なホストとみなされます。すべてのクライアントのすべてのキーとウォレットで保護されるキー・ストアは、この保護されたコンピュータに格納されます。バックアップまたはリストア・ジョブが開始すると、暗号化キーは、データの暗号化または復号化を行うクライアントにSSL接続を介して渡されます。暗号化キーがメモリーに存在するのは、暗号化または復号化を実行するのに必要な間のみです。
暗号化キー・ストアによってすべてのテープの暗号化と復号化が可能になるため、暗号化キー・ストアは非常に重要です。キー・ストアが失われると、データもすべて失われます。ベスト・プラクティスは、提供されるOSB-CATALOG-DSデータセットを使用して、Oracle Secure Backup管理サーバーのカタログ・バックアップを頻繁にスケジュールすることです。これにはキー・ストアのバックアップが含まれるためです。暗号化キー・ストアの形式はプラットフォームに依存しません。
Oracle Secure Backupの管理データのバックアップは、自動生成キーで暗号化しないでください。自動生成キーで管理データを暗号化した場合、管理サーバーで障害が発生すると、暗号化キーの暗号化に使用された復号化キーを取り戻すのは困難だからです。このため、管理サーバー・ツリーの一時バックアップを作成することをお薦めします。
バックアップ暗号化キーの管理について
キーは、ランダムに(透過的なキー)、またはパスフレーズを使用して、生成できます。推奨操作モードおよびデフォルト値は自動生成です。新たに作成されるクライアントごとに、mkhostフェーズでキーが自動的に生成されます。この透過的なキーは、ウォレットで保護されたこのクライアント専用のキー・ストアに追加され、次の状況まで、暗号化で使用できます。
-
キーの更新イベントの発生
-
バックアップ管理者による自動生成キーの手動更新
-
バックアップ管理者によるキーからパスフレーズへの変更(異なるパスフレーズの提供時)
パスフレーズはどこにも格納されません。パスフレーズのハッシュとパスフレーズから生成されるキーは、暗号化されたストアに格納されます。Oracle Secure Backupではパスフレーズの最小長は強制されません。
新しいキーが作成されると、ウォレットで保護されたキー・ストアに追加され、アクティブな暗号化キーとしてマークが付けられます。古い暗号化キーはキー・ストアに残され、シームレスな自動データ復号化に使用されます。クライアントがバックアップ・ドメインから削除されても、そのキー・ストアは引き続き管理サーバーで保持されます。これにより、暗号化されたバックアップ・ボリューム・セットの古さにかかわらず、バックアップ管理者は常にデータをリストアできるようになります。
ノート:
キーがキー・ストアに自動的に追加されない例外が1つあります。一時バックアップのキーは実質的に1回かぎりのキーであり、通常はキー・ストアに格納されません。コマンドライン・オプションを使用してこの動作を上書きできます。一時バックアップについてさらに学習するには、「一時バックアップ暗号化について」を参照してください。
キーが期限切れになると、別のキーが自動的に生成されます。ただし、パスフレーズ生成キーの場合、バックアップ管理者に多少のオーバーヘッドがあり、管理者はパスフレーズ生成キーを使用するクライアントごとにパスフレーズを入力する必要があります。パスフレーズ生成キーが期限切れになると、バックアップ管理者が表示されたクライアントのパスフレーズを更新する必要があることを示す警告メッセージがOracle Secure Backupから表示されます。このメッセージは、Oracle Secure Backupログ・ファイル、ディスプレイへの出力およびバックアップ管理者への電子メールに示されます。
ファイルシステム・バックアップのバックアップ暗号化について
ファイルシステム・バックアップでは、管理ドメイン全体、特定のクライアント、または特定のバックアップ・ジョブに対して暗号化を選択できます。特定のファイルシステム・バックアップ・ジョブに暗号化を定義するには、ファイルシステム・バックアップ・ジョブに関連付けられているバックアップ・スケジュールに暗号化ポリシーを指定します。ファイルシステム・データのオンデマンド・バックアップに暗号化を構成することもできます。
関連項目:
Oracle Databaseバックアップのバックアップ暗号化について
Oracle Databaseバックアップでは、管理ドメイン全体、特定のクライアント、または特定のバックアップ・ジョブに対して暗号化を指定できます。特定のOracle Databaseバックアップ・ジョブに対する暗号化は、データベース・バックアップ記憶域セレクタまたはRecovery Manager (RMAN)メディア管理パラメータOB_ENCRYPTIONを使用して指定します。Oracle Secure Backupが使用する暗号化アルゴリズムは、Oracle Secure Backupに対して構成されたアルゴリズムに依存します。
関連項目:
バックアップ記憶域セレクタの詳細は、「データベース・バックアップ記憶域セレクタの追加」を参照してください
特定のOracle Databaseバックアップ・ジョブでは、OB_ENCRYPTIONパラメータを使用して行われた設定は、バックアップ・ジョブに関連付けられているデータベース記憶域セレクタを指定して行われた設定をオーバーライドします。
SBTからのRMANデータが暗号化されている場合、Oracle Secure Backupはそれ以上の暗号化は行いません。RMANの暗号化により、Oracle Secure Backup内のホストまたはグローバルのrequired暗号化設定が満たされます。たとえば、ホストの暗号化構成がrequiredで、バックアップがRMANによって暗号化された場合、ホストの暗号化構成のrequiredが満たされるため、Oracle Secure Backupはバックアップを再暗号化しません。RMAN暗号化バックアップでは、暗号化キーはデータベースによって管理され、Oracle Secure Backup内に構成されているホストの暗号化キー設定は適用されません。
ホストで暗号化がrequiredと構成されているが、RMANバックアップの暗号化が無効の場合、Oracle Secure Backupは、ホストの暗号化構成に基づいたOracle Secure Backup暗号化を使用してRMANバックアップを暗号化します。
RMANパラメータ OB_ENCRYPTIONの値
次の値をOB_ENCRYPTIONパラメータに設定できます。
-
ONOracle Secure Backupは、バックアップ・データがRMANによってまだ暗号化されていない場合、バックアップ・データを暗号化します。
-
OFFホストのポリシーまたはグローバル・ポリシーが
requiredに設定されていない場合、バックアップ・データは暗号化されません。OB_ENCRYPTIONをOFFに設定すると、値を指定しないのと同じことになります。 -
FORCEDOFFOracle Secure Backupはデータベース・バックアップを暗号化せず、
requiredに設定されたホストまたはドメインの暗号化設定をオーバーライドします。FORCEDOFFの設定はRMANには影響しません。RMANはバックアップ・データを暗号化できます。 -
SWENCRYPTIONOracle Secure Backupはハードウェア暗号化ではなくソフトウェア暗号化を使用します。このオプションは、状況によってハードウェア暗号化を使用しない場合に備えて提供されています。
関連項目:
詳細は、『Oracle Databaseバックアップおよびリカバリ・ユーザーズ・ガイド』を参照してください。
ソフトウェアベースの暗号化の概要
Oracle Secure Backupは、テープがオンサイトにあるか、オフサイトにあるか、それとも失われているかに関係なく、テープ上のバックアップ・データを保全する、ポリシーベースのバックアップ暗号化を提供します。この項では、暗号化ポリシーによって監視される様々なタイプのバックアップにおけるバックアップ暗号化について説明します。
一時バックアップ暗号化について
場合によっては、バックアップ・ドメイン・サイトAの一連のデータをバックアップして、別のドメイン・サイトBにリストアする必要があります。バックアップ・セットは、いくつかのクライアントのバックアップ・ファイルを含む場合があります。クライアント・バックアップ・ファイルのそれぞれは、クライアント固有の暗号化キー(サイトAでの最近のバックアップで使用された可能性が高い)で暗号化されます。サイトBでこのデータを復号化するために、サイトAでデータの暗号化に使用されたすべてのキーを収集してサイトBに送る必要があります。
これらのキーは他の最近のバックアップに使用されたため、このシナリオはセキュリティに対する重大な脅威となりえます。Oracle Secure Backupでは、特定のバックアップ・ジョブのボリューム・セット・レベルでデータを暗号化することで、このセキュリティの脅威を排除してサイト間バックアップ暗号化を行えます。ボリューム・セット暗号化のキーはパスフレーズに基づきます。このバックアップ・ジョブに含まれるすべてのクライアントでこのパスフレーズ生成キーに対してデータが暗号化されます。サイトAのバックアップ管理者は、使用されるパスフレーズと暗号化アルゴリズムをサイトBに渡します。サイトBのリストア操作時にパスフレーズと暗号化アルゴリズムが提供され、データが復号化されます。
これ以外のすべての場合、バックアップ暗号化の暗号化キーは、ウォレットで保護された対応するキー・ストアに自動的に追加されます。ただし、一時キーは、主としてデータをリモートの場所に移すために使用される1回かぎりのキーです。したがって、デフォルトでは、一時暗号化キーは保護されたキー・ストアには格納されません。Oracle Secure Backupでは、バックアップ管理者が一時暗号化キーをキー・ストアに格納するためのオプションはありません。
Oracle Secure Backupでは、ファイルシステム・バックアップとして一時パスフレーズ暗号化のみをサポートします。Oracle Databaseでは、RMANを使用して一時パスフレーズ暗号化バックアップを作成およびリストアしてください。
関連項目:
-
一時バックアップを暗号化するステップの詳細は、「一時バックアップ暗号化の有効化」を参照してください
-
パスワード・ベース暗号化を使用したOracle Databaseの暗号化バックアップの作成に関する詳細は、『Oracle Databaseバックアップおよびリカバリ・リファレンス』を参照してください。
ハードウェアベースの暗号化の概要
Oracle Secure Backupでは、コマンドまたはRMANを使用したバックアップ・データの暗号化がサポートされていますが、システム・パフォーマンスに影響する可能性があります。
パフォーマンスに影響を与えない暗号化の場合、Oracle Secure Backupでは選択したLTOおよびT10000テープ・ドライブ形式でのハードウェアベースの暗号化を使用できます。
ハードウェア暗号化に対するLTOおよびT10000インタフェースは、ハードウェア暗号化のためのSCSI仕様を通じて実現できます。他のベンダーからも同様のハードウェアが提供されており、それらの製品はOracleによってテストおよび承認済として、Oracle Secure Backupに対応していることが動作保証されています。Oracle Secure Backupでサポートされているすべてのテープ・デバイスに関する情報は、次のURLで入手できます。
http://www.oracle.com/technetwork/database/database-technologies/secure-backup/learnmore/index.html
ハードウェアベースの暗号化による、既存のOracle Secure Backup暗号化モデルに対する変更はありません。ハードウェアベースの暗号化は、Oracle Secure Backup内のポリシー・レベル、ホスト・レベルまたはバックアップ・ジョブ・レベルで有効にできます。ハードウェアベースの暗号化の決定、ポリシー、キー管理および設定は、ソフトウェアベースの暗号化に似ています。
ハードウェアベースの暗号化を選択するには、バックアップ用のテープ・ドライブを選択するか、Oracle Secure Backup管理ドメインに選択したテープ・ドライブを含るだけです。Oracle Secure BackupはSCSIコマンドを使用してテープ・ドライブ内の暗号化機能を有効にし、暗号化キーをテープ・ドライブに送信します。暗号化は、Oracle Secure Backupによって、ソフトウェアではなくハードウェアでLTOおよびT10000ドライブ形式で実行されます。ハードウェア暗号化をサポートするドライブがない場合、または互換性のあるテープがドライブにない場合、既存のOracle Secure Backupソフトウェア暗号化モデルが使用されます。
ノート:
IBMライブラリ内のドライブの場合、IBM固有のプロトコルであるアプリケーション管理暗号化(AME)を有効にしたあとで、ハードウェアベースの暗号化を使用できます。詳細は、ライブラリ・ベンダーに問い合せてください。ライブラリ管理の暗号化や鍵管理システムなど、別の暗号化方式を使用するようにドライブがすでに構成されている場合、そのドライブにAMEは必要ありません。
ハードウェア暗号化をサポートするドライブに互換性のあるテープが含まれてはいるが、バックアップを完了するために追加の互換性のあるテープが必要な場合、Oracle Secure Backupは追加のLTOまたはT10000テープを探します。見つかった場合は、そのサポートするテープがマウントされ、バックアップが続行されます。Oracle Secure Backupで互換性のある追加のテープをマウントできない場合、ジョブの状態はRunningと表示され、バックアップ・オペレータによる介入が必要になります。
ノート:
ハードウェアベースの暗号化を使用してバックアップを実行する場合、ソフトウェアベースの暗号化を使用してリストアすることはできません。同様に、ソフトウェアベースの暗号化を使用してバックアップを実行した場合、ハードウェアベースの暗号化を使用してリストアすることはできません。
ハードウェア暗号化による一時バックアップについて
backupコマンドの--disablehardwareencryptionオプションを使用すると、一時バックアップでのハードウェアベースの暗号化を無効にできます。このオプションは、Oracle Secure Backupに、強制的にソフトウェアベースの暗号化を使用してバックアップさせます。
enablehardwareencryptionバックアップ暗号化ポリシーを「いいえ」に設定することによって、ハードウェア暗号化を無効にすることもできます。
関連項目:
-
backupコマンドの詳しい構文とセマンティックは、『Oracle Secure Backupリファレンス』
を参照してください。
ハードウェア暗号化のレポートおよびロギングについて
ハードウェアベースの暗号化では追加のレポートやログは生成されませんが、次の既存のレポートおよびログに影響を与えます。
-
ハードウェアベースの暗号化により、Oracle Secure Backupが暗号化設定
on/off/forcedoff/rmanを示しているすべてのトランスクリプト、ログまたはレポートに、選択したテープ・ドライブによって暗号化されたデータのhardwareおよびtransient_hardware設定が追加されます。 -
ジョブ・トランスクリプトには暗号化のタイプとアルゴリズムが表示されます。
-
lssection-longコマンドの出力には暗号化タイプが含まれます。lssectionコマンドの出力例を次に示します。ob> lssection --long Backup section OID: 114 Containing volume: passphrase-mf-000001 Containing volume OID: 119 File: 2 Section: 1 Backup level: 0 Client: storabck34 Encryption: hardware Algorithm: aes256 Created: 2014/02/25.15:30 Size: 1.9 MB -
lsvol--longコマンドの出力では、ボリュームを暗号化できるかどうかがテープの属性フィールドに表示されます。表示される可能性のある値は、unknown、hwencryptable、およびnothwencryptableです。unknown値はテープがマウントされ、Oracle Secure Backupがハードウェアの暗号化をサポートするかどうかを判別できるまで保持されます。 -
lsdev--long--geometryコマンドは、ハードウェア暗号化を使用できるかどうかについてレポートします。
ハードウェア暗号化のアルゴリズムについて
Oracle Secure Backupでは、ソフトウェアベースの暗号化について暗号化アルゴリズムAES128、AES192およびAES256がサポートされます。ホストベースのソフトウェア暗号化に加えて、Oracle Secure Backupでは、Oracle Secure Backupテープ・ドライブ互換性デバイス・マトリックスにリストされている、互換性のあるテープ形式(LTOおよびT10000など)のテープ・ドライブ・ハードウェア暗号化もサポートされます。Oracle Secure Backupは、テープ・ドライブ暗号化を実行する際に、自動的にAES256アルゴリズムを選択します。Oracle Secure Backupの暗号化キー管理は、ホストベースのソフトウェア暗号化とテープ・ドライブ暗号化のどちらを実行するかにかかわらず、同一です。
ハードウェア暗号化バックアップ・ジョブが完了すると、ジョブ・トランスクリプトおよびその他のすべてのレポートにAES256暗号化アルゴリズムが表示されます。アーカイブ・セクション・データベースおよびテープ・ヘッダーにも、AES256アルゴリズムが暗号化に使用されたことが示されます。
この動作は、ハードウェア暗号化による一時バックアップを実行する場合にのみ問題となり、キーは格納されません。この場合は、リストアを実行するときにAES256アルゴリズムを提供する必要があります。ハードウェア暗号化一時バックアップでbackup --storeオプションを使用した場合、アルゴリズムは不要です。
関連項目:
-
backupコマンドの詳しい構文とセマンティックは、『Oracle Secure Backupリファレンス』
を参照してください。
ハードウェア暗号化のポリシーについて
Oracle Secure Backupでのハードウェアベースの暗号化は、次の2つの暗号化ポリシーによって制御されます。
-
enablehardwareencryptionデフォルトで、Oracle Secure Backupは、自動的にテープ・ドライブ暗号化を活用してホストベースの暗号化を行います。このポリシーの値が
noに変更されると、Oracle Secure Backupはハードウェアベースの暗号化ではなくソフトウェアベースの暗号化を実行します。 -
requireencryptablemediaこのポリシーがデフォルト値の
noに設定された場合、Oracle Secure Backupは最初にハードウェア暗号化に対応したテープをマウントしようとします。マウントできない場合、Oracle Secure Backupはソフトウェア暗号化に切り替えます。このポリシーの値がyesに変更されると、Oracle Secure Backupはハードウェア暗号化に対応したテープが使用可能になるまで、ジョブを保留状態にします。テープ・ドライブがハードウェア暗号化に対応していない場合や、暗号化に対応しているテープを特定できない場合、このポリシーは無視されます。
関連項目:
ハードウェア暗号化を有効化するステップの詳細は、「ハードウェア暗号化の有効化」を参照してください。
例: ワンタイム非暗号化バックアップの実行
Oracle Secure Backupでは、バックアップ管理者がグローバルまたはクライアントの暗号化設定を変更せずに、1回かぎりの非暗号化バックアップを実行することができます。
バックアップ管理者が、あるホストのすべてのホーム・ディレクトリを別のホストに移動する予定であるが、これらの2つのホスト間で直接ファイルをコピーしないとします。かわりに、バックアップ管理者は、データセットに対応するデータをテープにバックアップし、別のホストにリストアします。転送後、ただちにテープまたはテープの中身を破棄します。バックアップ管理者は、処理のオーバーヘッドの点から、暗号化を使用しません。
このような特殊な場合に、バックアップ管理者はbackup --encryption forcedoffコマンドを使用できます。このコマンドは、グローバルおよびクライアントの暗号化設定を上書きし、暗号化されないバックアップを実行します。このジョブのトランスクリプトと他のすべてのレポートには、このバックアップ・セットで暗号化が強制的に無効化されたことが記述されます。RMANバックアップでもRMANのOB_ENCRYPTION変数を使用する同様の機能があります。
関連項目:
obtoolのbackupコマンドの詳しい構文とセマンティックは、『Oracle Secure Backupリファレンス』を参照してください。
例: 日常的なバックアップ暗号化の実行
暗号化キーは、デフォルトのAES256暗号化キー・アルゴリズムで自動的に生成されます。デフォルトのグローバルおよびクライアント初期バックアップ暗号化ポリシー設定は、allowedに設定されます。
デフォルト構成が企業にとって十分であるとバックアップ管理者が判断すれば、構成を行う必要はありません。この項では、それよりも複雑なケースの構成について説明します。
次に、開発者用、給与計算用およびCEO用の3つのホスト・クラスを示します。これらのホストごとに異なるタイプと量の暗号化が必要です。
-
開発者用
これらのクライアントでは、
SourceCodeと呼ばれるデータセットのソース・コード・バックアップ操作のみで暗号化が必要です。 -
給与計算用
このクライアントでは、毎週異なる暗号化キーを使用するAES256暗号化が必要です。
-
CEO用
このクライアントでは、パスフレーズ生成キーを使用してすべてのデータを暗号化する必要があります。
開発者用のクライアントでは、設定を変更する必要はありません。バックアップ管理者は、開発者用コンピュータのバックアップに使用されるバックアップ・ジョブをSourceCodeデータセットのために更新します。バックアップ・スケジュールがまだない場合、バックアップ管理者はmkschedコマンドを使用してバックアップ・スケジュールをバックアップします。
mksched --dataset sourcecode --type backup --encryption yes SourceCode
バックアップ・スケジュールが存在している場合は、同じオプションを指定してchschedコマンドを使用します。
給与計算用ホストでは、デフォルトのクライアント・ポリシーと、暗号化アルゴリズム、キー生成時間およびクライアント暗号化フラグの設定を変更する必要があります。バックアップ管理者は、次のようにchhostコマンドを使用してこのような変更を行うことができます:
chhost -algorithm aes256 -encryption required -rekeyfrequency 1week Payroll
これにより、給与計算用クライアントのすべてのデータが、毎週異なる暗号化キーを使用して常にAES256アルゴリズムで暗号化されるようになります。
CEOクライアントの場合、デフォルトの暗号化で十分ですが、必要な暗号化鍵のタイプはパスフレーズ生成です。これを行うには、バックアップ管理者がchhostコマンドを実行します:
chhost --keytype passphrase TheBoss
パスフレーズの入力を求められます。初期構成の実行後、バックアップ暗号化の管理に追加のオーバーヘッドは最小限になります。
キーはOracle Secure Backup内部のキーストアで管理されるため、バックアップをリストアする際に、コマンドラインにパスフレーズを入力しないでください。restoreコマンドはこのパスフレーズを参照せず、キー管理は透過的です。
ホストベースのパスフレーズと透過的な暗号化では、暗号化の処理方法は同じです。暗号化キーが作成された方法のみが異なります。
暗号化の状態は、ファイル・システムとRMANのバックアップの両方で、バックアップ操作中にジョブのトランスクリプトに表示されます。
例: 一時バックアップ暗号化の実行
Oracle Secure Backupを使用すると、異なるドメインで暗号化されたバックアップをリストアできます。たとえば、ドメインAでバックアップを暗号化し、ドメインBでこのバックアップをリストアすることができます。
ob> backup --level full --at 2013/09/17.21:00 --priority 10 --privileged --encryption transient --algorithm aes128 --passphrase transient --dataset mydatasets1/test.ds --go Info: backup request 1 (dataset mydatasets1/test.ds) submitted; job id is admin/3.
バックアップ暗号化の有効化
データはクライアント・レベルで暗号化されます。各クライアントには独自のキーのセットがあります。1つのキーが、バックアップの暗号化に使用されるアクティブ・キーです。古いキーは、それらを使用して作成された古いバックアップをシームレスにリストアするために使用されます。
ノート:
Oracle Secure Backupでは、NASデバイスのバックアップは暗号化されません。Oracle Secure Backupの暗号化は、Oracle Secure Backupソフトウェアがインストールされたクライアント・ホストで実行されます。バックアップ・ソフトウェアをNASデバイスに直接インストールできないため、バックアップおよびリストア操作にはNDMPを使用します。
関連項目:
バックアップ・カタログ・データの暗号化の詳細は、「カタログ・インポート暗号化について」を参照してください
バックアップのデータ暗号化
バックアップ・レベルで暗号化を有効化できます。バックアップ・レベルの暗号化設定は、グローバル暗号化ポリシー設定を上書きします。
スケジュール済バックアップでの暗号化の有効化
- 「バックアップ・スケジュールの追加」のステップ1から5を実行します。
- 「暗号化」では、「はい」を選択します。
- 「バックアップ・スケジュールの追加」のステップ6から8を実行します。
- 「適用」をクリックし、「OK」をクリックします。
ハードウェア暗号化の有効化
ハードウェア暗号化ポリシーの値を変更するには:
-
「Oracle Secure Backup Webツール・ホームページの表示」のステップに従います。
-
Oracle Secure Backupのホームページで「構成」をクリックします。
「構成」ページが表示されます。
-
「拡張」セクションの「デフォルトとポリシー」をクリックします。
「構成: デフォルトとポリシー」ページが表示されます。
-
「ポリシー」列で、backupencryptionをクリックします。
図12-1に示すように、「構成: デフォルトとポリシー > backupencryption」ページが表示されます。
-
暗号化対応テープが互換性のあるテープ・ドライブにロードされない場合にバックアップ・ジョブを保留状態にするには、「暗号化対応メディアが必要」リストで「はい」を選択します。
-
「OK」をクリックします。
「構成: デフォルトとポリシー」ページに正常終了のメッセージが表示されます。
