顧客管理暗号化キーの概要

専用環境の顧客管理暗号化キーについて学習します。

顧客管理暗号化キーの概要

Oracle NoSQL Database Cloud Service (NDCS)は、データ暗号化キーを使用してリスト内のデータを暗号化することで、セキュリティ侵害からデータを保護します。データ暗号化鍵は、マスター暗号化鍵を使用して暗号化されます。デフォルトでは、NDCSはOracle管理のマスター暗号化キーを使用します。

NDCSでは、顧客管理暗号化キー(CMEK)と呼ばれる独自のマスター暗号化キーを使用してデータ暗号化キーを暗号化することもできます。CMEKは、この機能を使用する前に、専用環境で有効にする必要があります。CMEK用に構成された専用環境を作成する場合、Oracle NoSQL DatabaseではOCIブロック・ボリュームを使用して、制御するマスター暗号化キーを使用してデータベース・データを格納および暗号化します。さらに、環境のデータのバックアップはOCIオブジェクト・ストレージに存在し、マスター・キーを使用しても暗号化されます。サービス・チケットを発行するには、専用ホスト環境のリクエストを参照してください。

独自のマスター暗号化キーを作成および管理します。NDCSでは、OCI Key Management Service (KMS)を使用して、マスター暗号化キーをボールト内に格納し、運用状態を管理します。

用語

• 顧客管理暗号化キー(CMEK):ブロック・ボリュームおよびオブジェクト・ストレージのキーの暗号化および復号化に使用されるマスター暗号化キー。

• Data-at-rest: Oracle NoSQL Databaseに格納されたデータを示します。

• CMEK専用の環境:テナンシ専用で、お客様が管理する暗号化キーを使用するように構成されたOracle NoSQL環境。

• キー管理サービス(KMS):ボールト内のキーを格納および管理するOCIサービス。KMSは、暗号化鍵の一元的な管理と制御を提供します。

• キー・ローテーション:キーが危険にさらされた場合にリスクを軽減するために、古い暗号化キーを新しいキーに置き換えるプロセス。

• ブロック・ボリューム・サービス:必要なアプリケーション要件を満たすようにブロック・ストレージを動的にプロビジョニングおよび管理できるOCIサービス。

• オブジェクト・ストレージ・サービス:データに対して完全にプログラム可能でスケーラブルで耐久性の高いクラウド・ストレージを提供するOCIサービス。

• OCI Vaultサービス:暗号化キーとシークレットを管理するためのセキュアで一元化された場所を提供するOCIサービス。

CMEKはどのように機能しますか?

OCI Vaultサービスでは、暗号化キーのコンテナとしてテナンシにボールトを作成できます。ボールトでCMEKを作成すると、一意のOracle Cloud ID (OCID)が割り当てられます。

CMEKは、OCIコンソールを使用して専用環境に割り当てます。Block VolumeサービスおよびObject Storageサービスは、CMEKを使用してBlock VolumeおよびObject Storageキーを暗号化します。

NDCSでは、新しいCMEKを割り当てることができるため、キー・ローテーションがサポートされています。最初にボールトに新しいキーを作成する必要があります。ローテーションをトリガーするには、OCIコンソールから専用環境の新しいキーを更新します。新しいCMEKにローテーションしても、ブロック・ボリュームまたはオブジェクト・ストレージに格納されたデータは再暗号化されません。ブロック・ボリュームおよびオブジェクト・ストレージのキーのみが再暗号化されます。

Block VolumeサービスおよびObject Storageサービスは、すべてのデータ操作を管理します。

CMEK作成

Oracle NoSQL Database Cloud Serviceは、ボールトを作成するためにOCI Vaultサービスのみとの統合をサポートし、KMSを使用してボールト内のCMEKを作成、格納および管理します。ボールトの詳細は、Oracle Cloud InfrastructureドキュメントのOCI Vaultのトピックを参照してください。

最初にOCIコンソールからボールトを作成し、次にボールトにCMEKを作成する必要があります。

詳細は、Oracle Cloud InfrastructureドキュメントのVaultの作成のトピックを参照してください。

図- OCI Vault

画像vault.pngの説明

CMEKの作成:

CMEKを作成するときは、その保護モード、アルゴリズム、および長さを指定します。

CMEKを作成するには、次のステップに従います。詳細は、Oracle Cloud Infrastructureドキュメンテーションのマスター暗号化キーの作成のトピックを参照してください。

前提条件

• ボールトの作成

プロシージャ

1. OCIコンソールにサインインしてください。

2. 左上隅にあるナビゲーション・メニューを開き、「アイデンティティとセキュリティ」、「Vault」の順に選択します。

3. ボールトを含むコンパートメントを選択します。

4. CMEKを作成するボールトの名前を選択します。

5. 「リソース」で、「マスター暗号化キー」、「キーの作成」の順に選択します。キーはボールトとは異なるコンパートメントに作成できることに注意してください。

6. 「保護モード」で、次のいずれかのオプションを選択します: HSMまたはソフトウェア。

7. CMEKを識別する名前を入力してください。

8. 「キー・シェイプ: アルゴリズム」で、「Advanced Encryption Standard (AES)」アルゴリズムを選択します。KMSは、AES、RSA、およびECDSAアルゴリズムをサポートしています。ただし、NDCSではCMEKの対称キー・シェイプのみが許可されます。したがって、対称キーを生成するAESオプションを選択する必要があります。

9. 「キー・シェイプ: 長さ」で、キーの長さを256ビットとして選択します。

10. 外部キーをインポートする場合は、「外部キーのインポート」チェック・ボックスを選択し、次の詳細を指定します:

    • ラップ・アルゴリズム: 「RSA_OAEP_AES_SHA256」を選択します。OCIは、公開ラップされたキーをインポートするためにこのアルゴリズムをサポートしています。

    • 外部キー・データ・ソース:ラップされたRSAキー・マテリアルを含むファイルをアップロードします。

11. 「キーの作成」を選択します。

図- VaultでのCMEK作成

画像createkey.pngの説明

ノート: Oracle NoSQL Database Cloud Serviceでは、単一バージョン・キーのみがサポートされています。

CMEKアクセス:

CMEKを作成した後、それを専用環境に割り当てます。専用環境のブロック・ボリューム・サービスおよびオブジェクト・ストレージ・サービスは、CMEKのOCIDを使用して内部的にCMEKにアクセスします。

図- CMEKの詳細

図key_ocid.pngの説明

VaultのCMEKライフサイクル:

ボールトは、次の操作をサポートします。

• 作成: ボールトにCMEKを作成します。

• 無効化/有効化: CMEKを無効化/有効化して、その使用を制御できます。

• 削除: ボールトからCMEKを削除できます。削除は、偶発的な削除を防ぐために待機期間を持つ2ステップのプロセスです。

ノート: CMEKのステータスは、この待機期間中は無効になります。

CMEKの有効化、無効化、および削除の詳細については、CMEK Key Management Workflowを参照してください。

CMEK管理操作

Oracle NoSQL Database Cloud Serviceは、CMEKの運用を専用環境で管理します。これには、CMEKの専用環境への割当て、CMEKのローテーション、削除、ボールトでの無効化、再有効化および削除が含まれます。

次の表では、CMEK管理に関連するタスクについて説明します。CMEK鍵管理タスクの詳細については、CMEK Key Management Workflowを参照してください。

表- CMEK管理タスク

ユーザー・タスク	NDCSタスク
CMEKの割当て: CMEKをOCIコンソールから専用環境に割り当てます。	専用環境のBlock VolumesおよびObject Storage内のキーの暗号化をトリガーします。 CMEK割当の開始および完了に関する通知を表示します。
CMEKローテーション: 専用環境でCMEKを更新します。	専用環境のブロック・ボリュームおよびオブジェクト・ストレージ内のキーの再暗号化をトリガーします。 更新プロセスの開始と完了に関する通知を表示します。
CMEK disable: ボールトからCMEKを無効にします。	専用環境に関連付けられたCMEKのメタデータおよび現在のステータスをチェックします 専用環境を使用不可にします。CMEKを使用するデータまたはリソースは、すべて使用できなくなります。 専用環境のすべてのアラームを無効にします。 ボールトでCMEKが無効になっていることを知らせる適切な通知を表示します。
CMEKを再有効化: ボールトから無効化されたCMEKを再度有効にします。	自動サービス復元はできません。サービスの復元を要求するCAMチケットを発行する必要があります。 サービス復元は、CAMチケットを介して明示的にリクエストすることによってのみ可能です。
CMEK削除: ボールトからCMEKを削除します。	2段階の削除プロセスをサポートします。CMEKには削除保留状態が割り当てられます。これは、無効状態と同等です。削除日に達すると、CMEKは完全に削除されます。 専用環境を使用不可にします。削除されたCMEKで暗号化されたすべてのデータは、削除日以降に完全にアクセスできなくなります。 ボールトでのCMEKの削除を通知するための適切な通知を表示します。
CMEK削除: CMEKを専用環境から割り当て解除します。	専用環境をOracle管理キーに戻し、専用環境のBlock VolumesおよびObject Storage内のキーの再暗号化をトリガーします。 CMEK削除の開始と完了に関する通知を表示します。

CMEKアクセス制御

Oracle NoSQL Database Cloud Serviceは、Oracle Cloud Infrastructure Identity and Access Management (IAM)を使用して、Oracleクラウドへのセキュアなアクセスを提供します。OCI IAMでは、アクセス制御を実装してKMS機能を使用できます。

必要なすべての操作について、ボールト、ブロック・ボリュームおよびオブジェクト・ストレージ内のCMEKにアクセスするポリシーを作成する必要があります。ポリシーの詳細は、Oracle Cloud Infrastructureドキュメンテーションのポリシーの仕組みを参照してください。

CMEK使用のためのテナンシの基本的なIAMポリシー要件を次に示します:

1. 必要なコンパートメントでCMEKを使用するためのブロック・ボリューム・アクセス権を付与するには:

   allow service blockstorage to use keys in compartment <name_of_compartment> where target.key.id = <key-ocid>

   ここで、

   専用環境内のname_of_compartment:コンパートメント名。

   key-ocid: CMEKのOCID。

2. CMEKを使用するためのリージョンおよびコンパートメント・アクセス権のオブジェクト・ストレージを付与するには:

   allow service objectstorage-<region> to use keys in compartment <name_of_compartment> where target.key.id = <key-ocid>

   ここで、

   オブジェクト・ストレージが存在するregion:リージョン。

   専用環境内のname_of_compartment:コンパートメント名。

   key-ocid: CMEKのOCID。

3. Oracle NoSQL Database Cloud Serviceにキー委任CMEKへのアクセス権を付与するには:

   NDCSなどの統合サービスで特定のコンパートメント内のキーを使用できるようにする場合は、キー委任権限を追加します。

   allow service nosql-database-cloud to use key-delegate in compartment <name_of_compartment> where target.key.id = <key-ocid>

   ここで、

   専用環境内のname_of_compartment:コンパートメント名。

   key-ocid: CMEKのOCID。

4. CMEKを読み取るためのアクセス権をOracle NoSQL Database Cloud Serviceに付与するには:

   allow service nosql-database-cloud to read keys in compartment <name_of_compartment> where target.key.id = <keyocid>

   ここで、

   専用環境内のname_of_compartment:コンパートメント名。

   key-ocid: CMEKのOCID。図- CMEKポリシー

図cmek_policy.pngの説明

CMEKのモニタリングとロギング

Oracle NoSQL Database Cloud Serviceでは、専用環境内のすべてのCMEK関連イベントのロギングと、適切な通知によるアラートがサポートされています。

OCI監査ログ

Oracle NoSQL Database Cloud Serviceは、OCI Auditサービスを使用して、すべてのキー状態の変更を記録します。監査ログ情報には次のものが含まれます。

• 状態変更が検出された時点のタイムスタンプ。

• CMEKの新旧CMEKライフサイクル管理の詳細については、CMEK Key Management Workflowを参照してください。

• 影響を受けるエンドポイント。

• 実施された特別な措置

OCIアラーム

Oracle NoSQL Database Cloud Serviceは、OCI Monitoringサービスを使用して、メトリックおよびアラーム機能を使用してクラウド・リソースをアクティブおよびパッシブに監視します。次のメトリックに基づいてOCIアラームを設定できます:

表- CMEKメトリックおよびアラーム

メトリック	Display name	単位	説明
EncryptionKeyStatus	暗号化キーのステータス	整数	Oracle NoSQL Database Cloud Serviceに表示される暗号化キーのステータス。 値が0の場合、暗号化キーは無効になります。 値が1の場合、暗号化キーは有効化され、暗号化/復号化を実行できます。 Oracle管理キーは常に1を返します。
暗号化キー・タイプ	暗号化キー・タイプ	整数	Oracle NoSQL Database Cloud Serviceに割り当てられた現在の暗号化キーの種類。 値が0の場合、Oracle管理キーが使用されています。 値が1の場合、代わりにCMEKが使用されます。

OCIコンソール

Oracle NoSQL Database Cloud Serviceは、OCI通知サービスを使用して、影響を受ける専用環境のクリティカル・アラートをOCIコンソールに表示します。

次のCMEK関連イベントについて通知されます。

• 新しいCMEKが専用環境に割り当てられます。

• CMEKは、専用の環境で変更されます。

• CMEKは専用環境から削除されます。

• CMEKはボールトから削除されており、待機中です。

• CMEKがボールトから削除されます。

• ボールトでCMEKが再有効化されます。

• 暗号化プロセスは、専用環境で開始されます。

• 暗号化プロセスは、専用環境で完了します。

アラートには次のものが含まれます。

• CMEKの現在のステータス。

• 専用環境が使用できない場合、使用できない理由。

CMEKサービス可用性

Oracle NoSQL Database Cloud Serviceは、ボールト内のCMEKサービスの可用性を監視し、CMEKが無効になっているか削除されている場合に適切なアクションを実行します。NDCSは、CMEKの問題により専用環境が使用できなくなったり、リカバリ不能になったりしたときに、明確なエラー・メッセージとログを提供します。

CMEKが無効になっている場合、Oracle NoSQL Database Cloud Serviceによって次のアクションがトリガーされます。

• 専用環境へのすべてのアクセスをただちに無効化します。

• 専用環境のインスタンスを停止します。

• 専用環境のすべての監視を無効にします。

• 専用環境のBlock VolumesおよびObject Storageのデータにアクセスできないことを確認します。

CMEKの無効化の詳細については、CMEK Disableを参照してください。

CMEKが削除されると、Oracle NoSQL Database Cloud Serviceによって次のアクションがトリガーされます。

• 専用環境をすぐにリカバリ不可としてマークします。

• 専用環境のインスタンスを停止します。

• 専用環境のすべての監視を無効にします。

• 恒久的な終了のために専用環境をスケジュールします。

CMEKの削除の詳細は、CMEK Deleteを参照してください。

CMEKが再有効化された場合、Oracle NoSQL Database Cloud Serviceは次のアクションを提案します。

• ボールトでCMEKが再度有効になったら、環境をオンラインに戻すためにCAMチケットを上げる必要があります。

CMEKの再有効化の詳細については、CMEK Restoreを参照してください。

関連トピック

• 専用のホスト環境
• 専用ホスト環境のリクエスト