専用Exadataインフラストラクチャ上のAutonomous Databaseのマスター暗号化キー

デフォルトでは、専用Exadataインフラストラクチャ上のAutonomous Databaseによって、データの保護に使用されるすべてのマスター暗号化キーが作成および管理され、データベースが存在するのと同じExadataシステム上のセキュアなPKCS 12キーストアに格納されます。これらはOracle管理暗号化キーと呼ばれます。

Oracleマネージド・キーを使用すると、Oracleは、Oracleマネージド・メタ・データとしてキーの完全なライフサイクルを保証します。Exadata Cloud@Customerデプロイメントでは、バックアップへのアクセスは共有責任であり、Oracle APIが内部キー管理ライフサイクル操作と連携するには、データベース環境およびバックアップ・ファイルのアクセシビリティを確保する必要があります。

会社のセキュリティ・ポリシーで必要な場合、Autonomous Databaseでは、かわりにOracle Key Storeを使用して作成および管理するキーを使用できます。Oracle Public Cloudデプロイメントの場合、Oracle Cloud Infrastructure Vaultサービスを使用してキーを作成および管理することもできます。Oracle Cloudまたはサードパーティのクラウド・プレミスの外部にキーを格納するための規制コンプライアンスを持つお客様は、外部キー管理サービス(外部KMS)を使用できます。

OCI Vaultサービスを使用して顧客管理キーを作成する場合、Vaultサービスに内部でキー・マテリアルを生成させるのではなく、独自のキー・マテリアル(Bring Your Own KeyまたはBYOK)をインポートすることもできます。

注意:

Oracle Key Vault (OKV)に格納されている顧客管理キーはデータベース・ホストの外部にあるため、そのキーを使用してOKVがデータベースにアクセスできないようにする構成変更または中断によって、そのデータにアクセスできなくなります。

さらに、Oracle管理キーまたは顧客管理キーのどちらを使用するかに関係なく、会社のセキュリティ・ポリシーを遵守するために、既存のデータベースで使用されるキーを必要に応じてローテーションできます。詳細は、暗号化キーのローテーションを参照してください。

始める前に: コンパートメント階層のベスト・プラクティス

Oracleでは、次のように、専用インフラストラクチャ上のAutonomous Databaseデプロイメントのコンパートメント階層を作成することをお薦めします:
  • デプロイメント全体に対する「親」コンパートメント
  • 各種リソースそれぞれに対する「子」コンパートメント:
    • Autonomous Databases
    • Autonomous Container Databaseおよびインフラストラクチャ・リソース(ExadataインフラストラクチャおよびAutonomous Exadata VMクラスタ)
    • VCN (仮想クラウド・ネットワーク)およびそのサブネット
    • 顧客管理キーを含むボールト

キーへのアクセス権をAutonomous Databaseに付与するために作成するポリシー・ステートメントは、ボールトとそのキーを含むコンパートメントより上位のコンパートメント階層のポリシーに追加する必要があるため、顧客管理キーを使用する場合は、このベスト・プラクティスに従うことは特に重要です。

Vaultサービスで顧客管理キーを使用

Vaultサービスに格納された顧客管理キーを使用する前に、ボールトおよびマスター暗号化キーを作成する準備構成タスクをいくつか実行してから、そのボールトおよびそのキーをAutonomous Databaseで使用できるようにする必要があります。具体的には:

  1. Oracle Cloud Infrastructureドキュメント新しいボールトを作成するにはの手順に従って、Vaultサービスでボールトを作成します。これらの手順に従う場合、Oracleでは、コンパートメント階層のベスト・プラクティスで説明されているように、顧客管理キーを含むボールトを含めるために特別に作成されたコンパートメントにボールトを作成することをお薦めします。
    ボールトの作成後、Oracle Cloud Infrastructureドキュメント新しいマスター暗号化キーを作成するにはの手順に従って、ボールト内に少なくとも1つのマスター暗号化キーを作成できます。これらの手順に従う際には、次の選択を行います:
    • コンパートメントに作成: Oracleでは、マスター暗号化キーをボールトと同じコンパートメント(顧客管理キーを含むボールトを含めるために特別に作成されたコンパートメント)に作成することをお薦めします。
    • 保護モード: ドロップダウン・リストから適切な値を選択します:
      • HSM: ハードウェア・セキュリティ・モジュール(HSM)で格納および処理されるマスター暗号化キーを作成します。
      • ソフトウェア: Vaultサービスのソフトウェア・ファイル・システムに格納されるマスター暗号化キーを作成します。ソフトウェアで保護されたキーは、保存時にHSMベースのルート・キーを使用して保護されます。ソフトウェア・キーは、他のキー管理デバイスまたは別のOCIクラウド・リージョンにエクスポートできます。HSMキーとは異なり、ソフトウェアで保護されたキーはコストがかかりません。
    • キー・シェイプ・アルゴリズム: AES
    • キー・シェイプの長さ: 256ビット

    ノート:

    既存のボールトに暗号化キーを追加することもできます。
  2. ネットワーキング・サービスを使用して、Autonomous Databaseリソースが存在するVCN (Virtual Cloud Network)およびサブネットへのサービス・ゲートウェイ、ルート・ルールおよびエグレス・セキュリティ・ルールを作成します
  3. IAMサービスを使用して、Autonomous Databaseリソースを識別する動的グループを作成し、作成したマスター暗号化キーへのアクセス権をその動的グループに付与するポリシー・ステートメントを使用します。

ヒント :

これらの手順を示す「試してみる」方法については、セキュリティ管理者専用のOracle Autonomous Databaseラボ17: 顧客が制御するデータベース暗号化キーを参照してください。

前述のステップを使用して顧客管理キーを構成した後、Autonomous Container Database (ACD)のプロビジョニング中、またはACDまたはAutonomous Databaseの「詳細」ページから既存の暗号化キーをローテーションすることで、そのキーを構成できます。このACDでプロビジョニングされたAutonomous Databasesは、これらの暗号化キーを自動的に継承します。詳細は、Autonomous Container Databaseの作成またはAutonomous Container Databaseの暗号化キーのローテーションを参照してください。

リージョン間Autonomous Data Guardを有効にする場合は、まず、スタンバイ・データベースを追加するリージョンにOCIボールトをレプリケートする必要があります。詳細は、ボールトおよびキーのレプリケートを参照してください。

ノート:

リージョン間ボールト・レプリケーション機能が導入される前に作成された仮想ボールトは、リージョン間でレプリケートできません。別のリージョンでレプリケートする必要があるボールトがあり、そのボールトでレプリケーションがサポートされていない場合は、新しいボールトおよび新しいキーを作成します。ただし、すべてのプライベート・ボールトはリージョン間レプリケーションをサポートしています。詳細は、仮想ボールトのクロス・リージョン・レプリケーションを参照してください。

Vault Serviceでのキー持込み(BYOK)の使用

適用対象: 適用可能 Oracle Public Cloudのみ

OCI Vaultサービスを使用して顧客管理キーを作成する場合、Vaultサービスに内部でキー・マテリアルを生成させるのではなく、独自のキー・マテリアル(Bring Your Own KeyまたはBYOK)をインポートすることもできます。

独自のキーをVaultサービスに移動する前に、ボールトを作成し、マスター暗号化キーをインポートするための準備構成タスクをいくつか実行してから、そのボールトとそのキーをAutonomous Databaseで使用できるようにする必要があります。特に:
  1. Oracle Cloud Infrastructureドキュメント新しいボールトを作成するにはの手順に従って、Vaultサービスでボールトを作成します。これらの手順に従う場合、Oracleでは、コンパートメント階層のベスト・プラクティスで説明されているように、顧客管理キーを含むボールトを含めるために特別に作成されたコンパートメントにボールトを作成することをお薦めします。
    ボールトの作成後、Oracle Cloud Infrastructureドキュメント新しいマスター暗号化キーを作成するにはの手順に従って、ボールト内に少なくとも1つのマスター暗号化キーを作成できます。顧客暗号化キーを既存のボールトにインポートすることもできます。これらの手順に従う際には、次の選択を行います:
    • コンパートメントに作成: Oracleでは、マスター暗号化キーをボールトと同じコンパートメント(顧客管理キーを含むボールトを含めるために特別に作成されたコンパートメント)に作成することをお薦めします。
    • 保護モード: ドロップダウン・リストから適切な値を選択します:
      • HSM: ハードウェア・セキュリティ・モジュール(HSM)で格納および処理されるマスター暗号化キーを作成します。
      • ソフトウェア: Vaultサービスのソフトウェア・ファイル・システムに格納されるマスター暗号化キーを作成します。ソフトウェアで保護されたキーは、保存時にHSMベースのルート・キーを使用して保護されます。ソフトウェア・キーは、他のキー管理デバイスまたは別のOCIクラウド・リージョンにエクスポートできます。HSMキーとは異なり、ソフトウェアで保護されたキーはコストがかかりません。
    • キー・シェイプ・アルゴリズム: AES
    • キー・シェイプの長さ: 256ビット
    • 外部キーのインポート:顧客暗号化キー(BYOK)を使用するには、「外部キーのインポート」を選択し、次の詳細を指定します:
      • ラッピング・キー情報このセクションは読取り専用ですが、公開ラッピング・キーの詳細を表示できます。
      • ラッピング・アルゴリズムドロップダウン・リストからラッピング・アルゴリズムを選択します。
      • 外部キーのデータ・ソースラップされたRSAキー・マテリアルを含むファイルをアップロードします。

    ノート:

    キー・マテリアルを新しい外部キー・バージョンとしてインポートするか、既存のマスター暗号化キーの名前をクリックして新しいキー・バージョンにローテーションできます。

    詳細については、Importing Key Material as an External Key Versionを参照してください。

  2. ネットワーキング・サービスを使用して、Autonomous Databaseリソースが存在するVCN (Virtual Cloud Network)およびサブネットへのサービス・ゲートウェイ、ルート・ルールおよびエグレス・セキュリティ・ルールを作成します
  3. IAMサービスを使用して、Autonomous Databaseリソースを識別する動的グループを作成し、作成したマスター暗号化キーへのアクセス権をその動的グループに付与するポリシー・ステートメントを使用します。

前述のステップを使用して顧客管理BYOKを構成した後、Autonomous Container DatabaseまたはAutonomous Databaseの「詳細」ページから既存の暗号化キーをローテーションすることで、これを使用できます。詳細は、Autonomous Container Databaseの暗号化キーのローテーションを参照してください。

OCI外部キー管理サービス(OCI EKMS)からの外部キーの使用

適用対象: 適用可能 Oracle Public Cloudのみ

OCI EKMSの外部キーを使用する前に、いくつかの準備構成タスクを実行してボールトを作成してから、そのボールトとそのキーをAutonomous Databaseで使用できるようにする必要があります。

OCI EKMSでは、マスター暗号化キーを(外部キーとして)OCIの外部でホストされているサードパーティのキー管理システムに格納および制御できます。これを使用すると、データ・セキュリティを強化したり、Oracle Public Cloudまたはサードパーティのクラウド・プレミスの外部にキーを格納するための規制コンプライアンスがある場合に使用できます。サードパーティ・キー管理システムに存在する実際のキーでは、OCIでキー参照のみを作成します。
  1. OCI EKMSでキー参照を保持するボールトを作成および管理できます。OCI EKMSのキーは、Oracle Public Cloudにデプロイされた専用Exadataインフラストラクチャ上のAutonomous Databaseで使用できます。詳細は、OCI EKMSでのボールトの作成を参照してください。これらの手順に従う際には、次の選択を行います:
    • コンパートメントに作成: OCI EKMSボールトのコンパートメントを選択します。
    • IDCSアカウント名URL: KMSサービスへのアクセスに使用する認証URLを入力します。コンソールはサインイン画面にリダイレクトされます。
    • キー管理ベンダー: キー管理サービスをデプロイするサードパーティ・ベンダーを選択します。現在、OCI KMSは外部キー管理ベンダーとしてThalesのみをサポートしています。
    • クライアント・アプリケーションID: Oracle Identity Domainに機密クライアント・アプリケーションを登録したときに生成されるOCI KMSクライアントIDを入力します。
    • クライアント・アプリケーション・シークレット: Oracleアイデンティティ・ドメインに登録されている機密クライアント・アプリケーションのシークレットIDを入力します。
    • コンパートメント内のプライベート・エンドポイント: 外部キー管理のプライベート・エンドポイントGUIDを選択します。
    • 外部Vault URL: 外部キー管理でボールトを作成したときに生成されたボールトURLを入力します。
  2. ネットワーキング・サービスを使用して、Autonomous Databaseリソースが存在するVCN (Virtual Cloud Network)およびサブネットにサービス・ゲートウェイ、ルート・ルールおよびエグレス・セキュリティ・ルールを作成します。
  3. IAMサービスを使用して、Autonomous Databaseリソースを識別する動的グループを作成し、作成したマスター暗号化キーへのアクセス権をその動的グループに付与するポリシー・ステートメントを使用します。

サービス・ゲートウェイ、ルート・ルールおよびエグレス・セキュリティ・ルールの作成

Oracle Cloud Infrastructure (OCI) Service Gatewayは、インターネットを横断することなく、仮想クラウド・ネットワーク(VCN)内またはオンプレミス・ネットワークから複数のOracle Cloudサービスへのプライベートで安全なアクセスを単一のゲートウェイ経由で同時に提供します。

Oracle Cloud Infrastructureドキュメントタスク1: サービス・ゲートウェイの作成の手順に従って、Autonomous Databaseリソースが存在するVCN (仮想クラウド・ネットワーク)内にサービス・ゲートウェイを作成します。

サービス・ゲートウェイの作成後、ルート・ルールおよびエグレス・セキュリティ・ルールをVCN内の各サブネットに追加し(Autonomous Databaseリソースが存在するため)、これらのリソースがそのゲートウェイを使用してVaultサービスにアクセスできるようにします:
  1. サブネットの「サブネットの詳細」ページに移動します。
  2. Subnet Information」タブで、サブネットの「Route Table」の名前をクリックして、その「Route Table Details」ページを表示します。
  3. 既存のルート・ルールの表で、次の特性を持つルールがすでに存在します:
    • 宛先: Oracle Services NetworkのすべてのIADサービス
    • ターゲット・タイプ: サービス・ゲートウェイ
    • ターゲット: VCN内に作成したサービス・ゲートウェイの名前

    このようなルールが存在しない場合は、「ルート・ルールの追加」をクリックし、これらの特性を持つルート・ルールを追加します。

  4. サブネットの「サブネットの詳細」ページに戻ります。
  5. サブネットの「セキュリティ・リスト」表で、サブネットのセキュリティ・リストの名前をクリックして、その「セキュリティ・リストの詳細」ページを表示します。
  6. サイド・メニューの「リソース」で、「エグレス・ルール」をクリックします。
  7. 既存のエグレス・ルールの表で、次の特性を持つルールがすでに存在します:
    • ステートレス: いいえ
    • 宛先: Oracle Services NetworkのすべてのIADサービス
    • IPプロトコル: TCP
    • ソース・ポート範囲: すべて
    • 宛先ポート範囲: 443

    そのようなルールが存在しない場合は、「エグレス・ルールの追加」をクリックし、これらの特性を持つエグレス・ルールを追加します。

動的グループおよびポリシー・ステートメントの作成

顧客管理キーにアクセスする権限をAutonomous Databaseリソースに付与するには、これらのリソースを識別するIAM動的グループを作成してから、Vaultサービスで作成したマスター暗号化キーへのアクセス権をこの動的グループに付与するIAMポリシーを作成します。

動的グループを定義する場合、Exadataインフラストラクチャ・リソースを含むコンパートメントのOCIDを指定することで、Autonomous Databaseリソースを識別します。
  1. Exadataインフラストラクチャ・リソースを含むコンパートメントのOCIDをコピーします。このOCIDは、コンパートメントの「コンパートメントの詳細」ページにあります。
  2. Oracle Cloud Infrastructureドキュメント動的グループを作成するにはの手順に従って、動的グループを作成します。これらの手順に従う場合、次の形式の一致ルールを入力します:
    ALL {resource.compartment.id ='<compartment-ocid>'}

    ここで、<compartment-ocid>は、Autonomous Exadata VMクラスタ・リソースを含むコンパートメントのOCIDです。

動的グループを作成した後、ボールトおよびキーを含むコンパートメントより上位のコンパートメント階層にあるコンパートメントのIAMポリシーに移動(または作成)します。その後、次の形式のポリシー・ステートメントを追加します:
allow dynamic-group <dynamic-group-name>
to manage keys
in compartment <vaults-and-keys-compartment>
where all {
target.key.id='<key_ocid>',
request.permission!='KEY_MOVE',
request.permission!='KEY_IMPORT'
}
Autonomous Data Guardデプロイメントにレプリケートされた仮想ボールトまたはレプリケートされた仮想プライベート・ボールトを使用している場合は、次の形式の追加ポリシー・ステートメントを追加します:
allow dynamic-group <dynamic-group>
to read vaults
in tenancy | compartment <vaults-and-keys-compartment>

<dynamic-group>は作成した動的グループの名前で、<vaults-and-keys-compartment>はボールトおよびマスター暗号化キーを作成したコンパートメントの名前です。

Oracle Key Vault内の顧客管理キーの使用

Oracle Key Vault (OKV)は、企業内のキーおよびセキュリティ・オブジェクトを集中管理するために構築された、フルスタックのセキュリティ強化型ソフトウェア・アプライアンスです。オンプレミスのOKVデプロイメントをOracle Autonomous Databaseと統合して、独自のマスター・キーを作成および管理します。

OKVに格納されている顧客管理キーを使用する前に、Oracle Key Vaultを使用するための準備の説明に従って、多数の準備構成タスクを実行する必要があります。

準備構成タスクが完了したら、Autonomous Container Database (ACD)のプロビジョニング中にOKVでカスタマ・マネージャ・キーを関連付けることができ、このACDでプロビジョニングされたすべてのAutonomous Databaseはこれらの暗号化キーを自動的に継承します。詳細は、自律型コンテナ・データベースの作成を参照してください。

ノート:

リージョン間Autonomous Data Guardを有効にする場合は、OKVクラスタの接続IPアドレスをキー・ストアに追加していることを確認してください。

OKVエンドポイント・グループは、ACDの「詳細」ページから更新できます。オプションで、ACD以降のプロビジョニング中にOKVキーストアを使用してOKVエンドポイント・グループ名を追加することもできます。

ACDのOKVエンドポイント・グループを更新するには、次のことを確認する必要があります:
  • OKVエンドポイント・グループ名には、対応するOKVウォレットへのアクセス権があります。
  • ACDに対応するOKVエンドポイントは、OKVエンドポイント・グループの一部です。
  • OKVエンドポイント・グループには、エンドポイントのデフォルト・ウォレットへの読取りアクセス権があります。
OKVエンドポイント・グループ名を更新するには:
  • ACDの「詳細」ページに移動します。手順については、Autonomous Container Databaseの詳細の表示を参照してください。
  • 「暗号化」の下のOKVエンドポイント・グループ名の横にある「編集」をクリックします。
  • リストからキー・ストアを選択し、OKVエンドポイント・グループの名前を入力します。エンドポイント・グループ名はすべて大文字で、数字、ハイフン(-)およびアンダースコア(_)を含み、大文字で始めることができます。
  • 「保存」をクリックします。