OCI APIゲートウェイを使用したThales CipherTrust Managerを使用したOCI Hold Your Own Keyの設定

はじめに

このチュートリアルでは、Oracle Cloud Infrastructure (OCI) API Gatewayオプションを使用して、Thales CipherTrust Manager (CTM)でHold Your Own Key (HYOK)を設定するステップバイステップの手順を示します。

イメージ

HYOKを使用すると、Oracleのインフラストラクチャ外部で暗号化鍵を外部でホストすることで、完全な所有権を維持し、暗号化鍵を制御できます。また、Oracle servicesは暗号化鍵を安全に使用できます。この設定では、OCI API Gatewayは、Oracle Cloud Infrastructure External Key Management Service (OCI External KMS)とThales CipherTrust Managerインスタンスとの間のセキュアで管理しやすいスケーラブルなブリッジとして重要な役割を果たします。

OCI API Gatewayを使用する理由

OCI External KMSとThales CipherTrust Managerの間にOCI API Gatewayを挿入すると、次のことが可能になります。

このチュートリアルのrestでは、ネットワーク、DNS、証明書管理、アイデンティティ・フェデレーションなど、必要なすべてのインフラストラクチャ・コンポーネントを構成し、最後に外部キーを使用したOCI VaultおよびOCIオブジェクト・ストレージとの統合を構成します。

イメージ

このチュートリアルは、OCIでの2つのThales CipherTrust Cloud Key Managerアプライアンスの設定、それらの間のクラスタの作成、および認証局としての1つの構成というチュートリアルで確立された技術基盤に基づいています。

Thales CipherTrust Manager (OCI APIゲートウェイなし)オプションを使用して独自のキー(HYOK)を保持を実装する場合は、次のチュートリアルに従います: APIゲートウェイなしでCipherTrust Managerを使用してOCI独自のキー(HYOK)を保持する設定

ノート:このチュートリアルでは、Thales CipherTrust Cloud Key Manager (CCKM)およびThales CipherTrust Manager (CTM)という用語は同じ意味で使用されます。どちらも同じ製品です。

目的

イメージ

次のイメージは、このチュートリアルのすべてのステップのコンポーネントおよび構成設定を示しています。

イメージ

タスク1: クラウド・ネットワーク・アーキテクチャの確認

Thales CipherTrust Managerを使用してHold Your Own Key (HYOK)を構成する技術的なステップに進む前に、このセットアップが存在するクラウド・ネットワーク・アーキテクチャを理解することが不可欠です。

このシナリオでは、次の3つのOCIリージョンが使用されます。

2つのシミュレートされたオンプレミス・データ・センター間の接続は、リモート・ピアリング接続(RPC)を使用して確立されます。ただし、このチュートリアルでは、VPN設定、RPC構成およびハブアンドスポークVCNアーキテクチャの詳細が範囲外とみなされるため、説明しません。

このチュートリアルでは、シミュレートされたオンプレミス・データ・センターの1つであるアムステルダム(AMS)リージョンにデプロイされたThales CipherTrust Managerを使用してHYOKを設定することに重点を置いています。すべてのキー管理操作は、このThales CipherTrust Managerインスタンスから実行されます。

外部キー・マネージャのプライベートにより、OCIは外部Thales CipherTrust Managerと安全に通信でき、プライマリOCIリージョンのスポークVCNsのいずれかにデプロイされます。これにより、パブリック・インターネットにトラフィックを公開することなく、OCIサービスと外部キー・マネージャの間のセキュアで直接的な通信パスが保証されます。

このアーキテクチャは、明確に定義された安全なネットワーク境界内でキー管理を分離することで、OCIの機密ワークロードに対する強力なセキュリティおよびコンプライアンス・ポスチャをサポートします。

次の図は、アーキテクチャ全体を示しています。

イメージ

タスク2: すべての場所に対するOCI DNSの構成

OCI、APIゲートウェイおよびThales CipherTrust Manager間の適切な通信を確保するには、OCIコンソールのプライベートDNSゾーンを使用して、すべての関連コンポーネントのDNS解決を構成する必要があります。

次の図は、このタスクのコンポーネントおよび構成設定を示しています。

イメージ

このチュートリアルでは、OCI DNS for AMSおよびASHの構成がすでに行われています。OCIでの2つのThales CipherTrust Cloud Key Managerアプライアンスの設定、それらの間のクラスタの作成および認証局としての1つの構成を参照してください。同じチュートリアルを使用して、FRAのハブVCNでDNSを構成します。

スポークA VCNからDNS解決を有効にし、スポークAに対して個別のプライベート・ビューを構成するか、ハブVCNのプライベート・ビューをスポークAに関連付けるには、2つのオプションがあります。

この設定では、ハブ・プライベート・ビューをスポークA VCNに関連付けることで後者のアプローチを使用します。

正しいDNS設定は、OCIとThales CipherTrust Managerの間の相互TLS、OAuth認証および信頼性の高い接続のための重要な基盤です。

証明書の構成に進む前に、DNSゾーンの関連付けと名前解決を再確認してください。

タスク3: OCI APIゲートウェイの証明書の作成

OCIとThales CipherTrust Managerの間のセキュアなTLS通信を有効にするには、OCI API Gatewayが信頼できるSSL証明書を提示する必要があります。この設定では、最初にCTM1認証局(CA)証明書署名リクエスト(CSR)を生成し、その同じCAを使用して署名することで、証明書が作成されます。

証明書が署名されると、OCIにアップロードされ、OCI API Gatewayに添付されるため、内部システムによって信頼される暗号化されたトラフィックに対応できます。次の図は、OCI APIゲートウェイの署名付き証明書を作成するステップを示しています。 イメージ

これらのステップは、AMS CTMでのみ実行します。

個々のThales CipherTrust Manager証明書に署名するだけでなく、CAルート証明書はトラスト・チェーンの重要な部分です。このルート証明書は、認証局(CA)として機能するThales CipherTrust Managerによって発行されたすべての証明書の信頼の基盤を確立します。

この証明書は後でOCI API Gatewayデプロイメントにアタッチされるため、OCIは、環境内で発行され信頼できる証明書を使用して、HTTPSを介してThales CipherTrust Managerと安全に通信できます。

タスク4: CAバンドルを使用した署名済OCI APIゲートウェイ証明書のアップロード

CTM1認証局(CA)を使用してOCI APIゲートウェイ証明書を生成して署名した後、次のタスクは、OCI APIゲートウェイ・デプロイメントに関連付けるために、この証明書をOCIにアップロードすることです。

これにより、OCI External KMSからのリクエストなど、OCI API Gatewayとの通信は、内部認証局を使用した信頼できる暗号化されたTLS接続を介して行われます。

まず、ルートCA証明書のアップロードから始めましょう。

次に、OCI API Gatewayの署名付き証明書をアップロードします。

ノート:証明書のアップロードが失敗した場合、CSRの生成時に使用されるアルゴリズムが原因である可能性があります。ECDSAアルゴリズムを使用する証明書がOCIで受け入れられませんでした。これを解決するために、正常に動作したRSAアルゴリズムを使用してCSRを再生成しました。

アップロード後、この証明書をAPIゲートウェイ・デプロイメントにアタッチして、OCI外部KMSなどのOCIサービスに信頼できるアイデンティティを表示できるようになります。このタスクは、Oracleと外部キー・マネージャの間のセキュアな証明書ベースの信頼を実現するために重要です。

タスク5: プライベート・エンドポイントでファイアウォール/セキュリティ・リスト/ネットワーク・セキュリティ・グループからOCI APIゲートウェイとの通信が許可されていることの確認

OCI API Gatewayをデプロイするか、OCIとThales CipherTrust Managerの統合をテストする前に、OCI External KMSとOCI API Gatewayで使用されるプライベート・エンドポイント間でネットワーク接続が確立されていることを確認することが不可欠です。

ノート:

イメージ

ノート: OCI API Gatewayが、デプロイメント中にFQDNを介してThales CipherTrust Managerに到達できない場合、アクティブにならない可能性があります。したがって、プライベート・エンドポイントとOCI API Gatewayの間の明確で安全なネットワーク・パスを確保することは、HYOK統合を成功させるための重要な前提条件です。

タスク6: OCI APIゲートウェイの作成

署名付きTLS証明書がアップロードされた状態で、次のタスクは、OCIがThales CipherTrust Managerと通信するためのセキュアなエントリ・ポイントとして機能するOCI API Gatewayを作成することです。

このOCI APIゲートウェイは、後で、完全修飾ドメイン名(FQDN)を使用してリクエストをCTMにルーティングし、アップロードされたTLS証明書を使用してセキュアな通信を実施するように構成されます。

次の図は、このタスクのコンポーネントおよび構成設定を示しています。

イメージ

ノート: OCI API Gatewayデプロイメントは、構成されたバックエンドURLを介してThales CipherTrust Managerに到達できない場合、失敗することがあります。これを回避するには、次のことを確認します。

デプロイメント中にアクセスできないバックエンドにより、ヘルス・チェックが失敗し、デプロイメント・エラーまたは非アクティブ状態になります。

このOCI API Gatewayは、後でデプロイメントで使用され、OCI外部KMSがコールできるエンドポイントを公開します。ゲートウェイは、OCIとThales CipherTrust Managerの間のセキュアな認証済プロキシとして機能し、TLSおよびアイデンティティ検証を適用します。

タスク7: FQDN詳細を使用したAPIデプロイメントの作成

OCI API Gatewayが作成され、証明書が整ったので、次のタスクはAPIデプロイメントを作成することです。これにより、ゲートウェイのルーティング動作、特にOCI External KMSからの受信リクエストを、内部FQDNを使用してThales CipherTrust Managerに転送する方法が定義されます。

デプロイメントは、OCIとThalesのCipherTrust Managerをブリッジし、インバウンド・リクエストのパスベースのルーティングとTLS終了を処理します。

次の図は、このタスクのコンポーネントおよび構成設定を示しています。

イメージ

デプロイメントがアクティブになると、OCI API Gatewayは認証済リクエストをOCIからThales CipherTrust Managerに安全に転送できます。FQDN構成は、Thales CipherTrust Manager証明書の共通名(CN)またはSANと一致し、DNSを介して正しく解決されることを確認するために重要です。

このデプロイメントは、OCI External KMSがThales CipherTrust Managerでホストされている外部キーと対話するために呼び出すキー・エンドポイントとして機能します。

タスク8: 機密リソース・アプリケーションの作成、機密クライアント・アプリケーションの関連付け(アプリケーション統合)およびOCIでのクライアントとシークレットの収集

Thales CipherTrust ManagerとのHYOK統合を有効にするには、OCIと外部キー・マネージャとの間の信頼を確立する必要があります。

これを行うには、OCI Identity and Access Management (OCI IAM)に2つの主要なコンポーネント(機密リソース・アプリケーション機密クライアント・アプリケーション)を登録します。これらは、OCIとThales CipherTrust Managerの間の通信を認証および認可するために不可欠です。

この設定により、Thales CipherTrust Managerは、OAuth 2.0を介してOCI IAMで認証できます。機密クライアントは外部キー・マネージャのかわりに動作し、機密リソースはアクセスおよび信頼構成の範囲を定義します。OCIは、これらのコンポーネントがないと、外部キー・ソースを検証したり、安全に通信することはできません。

次の図は、このステップのコンポーネントおよび構成設定を示しています。

イメージ

ノート:

タスク9: OCIからのアイデンティティ・ドメインURLの収集

OCIとThales CipherTrust Managerの間のOAuthベースの通信を有効にするには、Thales CipherTrust Managerでのアイデンティティ・プロバイダの構成中にアイデンティティ・ドメインURLを指定する必要があります。

タスク10: Thales CipherTrust Managerでのアイデンティティ・プロバイダの作成

このタスクでは、Thales CipherTrust Managerでアイデンティティ・プロバイダを構成します。この設定により、Thales CipherTrust Managerは、タスク3で作成したOAuth 2.0資格証明を使用してOCIで認証できます。

次の図は、このタスクのコンポーネントおよび構成設定を示しています。

イメージ

タスク11: Thales CipherTrust ManagerでのOCIテナンシの追加

Thales CipherTrust Managerでアイデンティティ・プロバイダを構成した後、次のタスクはOCIテナンシの登録です。これにより、Thales CipherTrust Managerは、以前に構成されたOAuth資格証明を使用して、OCI環境にかわって外部ボールトおよびキーを管理できます。

次の図は、このタスクのコンポーネントおよび構成設定を示しています。

イメージ

タスク12: OCIでの外部キー・マネージャ・サービスのプライベート・エンドポイントの作成

パブリック・インターネットへのトラフィックを公開せずにOCIをThales CipherTrust Managerに安全に接続するには、OCI外部キー管理サービスのプライベート・エンドポイントを作成する必要があります。

これにより、OCIとThales CipherTrust Managerの間のすべての通信が、制御されたプライベート・ネットワーク・パスを介して行われます。

次の前提条件が満たされていることを確認します。

次の図は、このタスクのコンポーネントおよび構成設定を示しています。

イメージ

タスク13: Thales CipherTrust Managerでの外部ボールトの追加

OCIテナンシおよびプライベート・エンドポイントを配置すると、次のタスクは、Thales CipherTrust Managerに外部Vaultを追加することです。Thales CipherTrust Managerの外部vaultは、OCIの外部キー管理vaultにマップする論理コンテナで、Thales CipherTrust ManagerはHYOK暗号化に使用されるキーを管理できます。

次の図は、このタスクのコンポーネントおよび構成設定を示しています。

イメージ

構成すると、このvaultは、OCIサービスが参照する外部キーを格納するためのターゲットの場所になります。OCI環境とCipherTrust管理キーを連結し、HYOKモデルでの暗号化操作を完全に制御できるようにします。

タスク14: OCI外部キー管理サービスVaultの作成

外部vaultがThales CipherTrust Managerで定義されるようになったので、次のタスクは、OCIコンソールで対応する外部Key Management Vaultを作成することです。

このOCI vaultは、Thales CipherTrust Managerにリンクされ、外部キーを使用して暗号化および復号化操作を実行するためにOCIサービスによって使用されます。

次の図は、このタスクのコンポーネントおよび構成設定を示しています。

イメージ

OCIは、指定されたプライベート・エンドポイントを使用して、Thales CipherTrust Managerに接続します。このvaultがアクティブになると、OCIはCCKMによって管理される外部キーと対話し、OCI Object StorageやOCI Block VolumesなどのOCIサービスのHYOKサポートを実現するインタフェースになります。後で、OCI Object Storageでいくつかのテストを実行します。

タスク15: Thales CipherTrust Managerでの外部キーの追加

Thales CipherTrust Managerで外部vaultを設定し、OCIにリンクすると、次のタスクは、OCIがHYOK対応サービスに使用する外部暗号化キーを作成またはインポートすることです。

これらのキーは、Thales CipherTrust Manager内に安全に存在し、外部キー管理インタフェースを介してOCIによって参照されます。組織の要件に応じて、Thales CipherTrust Manager内で新しいキーを直接生成するか、既存のキーをインポートできます。

次の図は、このタスクのコンポーネントおよび構成設定を示しています。

イメージ

追加すると、外部キー管理vaultを介してOCIでキーが使用可能になります。ただし、OCIサービスがキーを使用できるようにするには、OCIコンソールでキー参照を作成する必要があります。これについては、次のタスクで説明します。

ノート:

タスク16: OCIでのキー参照の作成

外部キーが作成されるか、Thales CipherTrust Managerにインポートされたら、次のタスクはOCIコンソールでキー参照を作成することです。キー参照は、外部キー管理vaultを介して、OCIサービスがThales CipherTrust Managerに格納されている外部キーにアクセスして使用できるようにするポインタとして機能します。

次の図は、このタスクのコンポーネントおよび構成設定を示しています。

イメージ

OCIは、このキー参照をThales CipherTrust Managerで管理される外部キーに関連付けます。これにより、OCIオブジェクト・ストレージ、OCI Block VolumesなどのOCIサービスは、プライベート・エンドポイントを介して外部キーに暗号化リクエストを送信できます。対照的に、重要な材料自体は完全にあなたの制御下にあります。

キー参照をOCIオブジェクト・ストレージ・バケットに添付してすぐにテストし、統合が期待どおりに機能していることを確認します。

タスク17: 顧客管理キーを使用したOCIオブジェクト・ストレージ・バケットの作成

OCIで参照される外部キーを使用して、リソースを暗号化できます。このタスクでは、外部キー管理vaultを介してThales CipherTrust Managerでホストされている外部の顧客管理キーを使用するOCIオブジェクト・ストレージ・バケットを作成します。

この設定により、バケットに格納されるすべてのオブジェクトが、完全に制御し、厳格なコンプライアンス、主権または内部ポリシー要件を満たすキーを使用して暗号化されます。

次の図は、このタスクのコンポーネントおよび構成設定を示しています。

イメージ

バケットが作成されると、そのバケットに格納されているすべてのデータは、Thales CipherTrust Managerによって管理される外部キーを使用して暗号化されます。これにより、OCIはアクセスと制御のためにキー・インフラストラクチャに依存し、完全なHold Your Own Key (HYOK)機能を実現できます。

外部キーが使用できなくなったとします(たとえば、Thales CipherTrust Managerで無効化またはブロックされている)。その場合、バケットとそのコンテンツへのアクセスが拒否され、データ・セキュリティ・ポスチャの強力な制御ポイントが提供されます。これは、次のタスクでテストします。

タスク18: Thales CipherTrust ManagerおよびOCIでのOracleキーのブロックおよびブロック解除およびOCIオブジェクト・ストレージ・バケットのアクセシビリティのテスト

Hold Your Own Key(HYOK)モデルの主な利点の1つは、いつでもブロックまたはブロック解除できる暗号化キーに対する完全な運用制御を維持できることです。この項では、Thales CipherTrust Managerを使用して、外部キーをブロックまたはブロック解除することで、Oracle管理オブジェクト・ストレージ・バケットへのアクセスを制御する方法を示します。

キーをブロックすると、キーまたはデータを削除することなく、そのキーで暗号化されたOCIリソースへのアクセスが効果的に制限されます。ブロック解除すると、アクセスが復元されます。

イメージ

次に、Thales CipherTrust Managerのキーのブロックを解除します。

次の図は、このタスクのコンポーネントおよび構成設定を示しています。

イメージ

この機能は、緊急対応、規制コンプライアンス、およびデータ主権執行のための強力なメカニズムを提供し、OCIでデータにアクセスできるタイミングと方法を完全に制御できるようにします。

次のステップ

このチュートリアルを完了すると、Thales CipherTrust Manager with OCI API Gateway統合オプションを使用して、OCI Hold Your Own Keyソリューションが正常に設定されました。

次のものがあります。

このセットアップでOCI API Gatewayを使用すると、セキュアでスケーラブルな統合ポイントが提供され、認証の実施、可観測性の強化、および制御されたインターフェイスの背後にあるキー・マネージャの抽象化により、コンプライアンス、制御、および柔軟性が確保されます。

このアーキテクチャは、暗号化鍵がOCI内に保存または管理されることはなく、必要に応じて安全な運用が可能であることを保証することで、厳格なデータ主権、コンプライアンス、規制要件を満たすよう組織を位置づけます。

暗号資産を完全に所有、可視化、制御できるOCIでの外部キー管理を可能にする、本番環境に対応したブループリントが用意されました。

確認

その他の学習リソース

docs.oracle.com/learnで他のラボを確認するか、Oracle Learning YouTubeチャネルで無料のラーニング・コンテンツにアクセスしてください。また、education.oracle.com/learning-explorerにアクセスして、Oracle Learning Explorerになります。

製品ドキュメントについては、Oracle Help Centerを参照してください。