OCI API Gatewayを使用しないThales CipherTrust Managerを使用したOCI Hold Your Own Keyの設定

はじめに

このチュートリアルでは、Oracle Cloud Infrastructure (OCI) API Gatewayオプションを使用せずに、Thales CipherTrust Manager (CTM)でHold Your Own Key (HYOK)を設定するステップバイステップの手順を示します。このアプローチにより、外部キー管理をサポートするOCIサービスとの統合を有効にしながら、暗号化キーを完全に制御できます。

イメージ

ネットワーク・アーキテクチャの確認、OCIでのアプリケーション統合の設定、およびプライベート・エンドポイントを介してOracle Cloud Infrastructure External Key Management Service (OCI External Key Management Service)と直接通信するようにThales CipherTrust Managerの構成から、構成全体を順を追って説明します。このチュートリアルには、アイデンティティ・プロバイダ、OCIテナンシ、外部ボールトおよびキーの作成と登録、およびこれらの外部キーを使用した顧客管理オブジェクト・ストレージへのアクセスのテストも含まれています。

このチュートリアルの終了までに、Thales CipherTrust Managerでホストされている外部マネージド・キーを使用してOCIリソースへのアクセスを暗号化および制御できる、完全に動作するHYOKセットアップが用意されており、中間OCI API Gatewayは必要ありません。

イメージ

ノート:このチュートリアルでは、Thales CipherTrust Cloud Key Manager (CCKM)およびThales CipherTrust Manager (CTM)という用語は同じ意味で使用されます。どちらも同じ製品です。

This tutorial builds upon the technical foundation established in the tutorial: Set Up Two Thales CipherTrust Cloud Key Manager Appliances in OCI, Create a Cluster between them, and Configure One as a Certificate Authority.

Thales CipherTrust ManagerとOCI API Gatewayオプションを使用した独自のキーの保持(HYOK)を実装する場合は、次のチュートリアルに従います: CipherTrust ManagerとOCI API Gatewayを使用した独自のキーの保持の設定

目的

イメージ

次のイメージは、このチュートリアルのすべてのステップを設定したコンポーネントおよび構成を示しています。

イメージ

タスク1: クラウド・ネットワーク・アーキテクチャの確認

Thales CipherTrust Managerを使用してHold Your Own Key (HYOK)を構成する技術的なステップに進む前に、このセットアップが存在するクラウド・ネットワーク・アーキテクチャを理解することが不可欠です。

このシナリオでは、次の3つのOCIリージョンが使用されます。

2つのシミュレートされたオンプレミス・データ・センター間の接続は、リモート・ピアリング接続(RPC)を使用して確立されます。ただし、このチュートリアルでは、VPN設定、RPC構成およびハブアンドスポークVCNアーキテクチャの詳細が範囲外とみなされるため、説明しません。

このチュートリアルでは、シミュレートされたオンプレミス・データ・センターの1つであるアムステルダム(AMS)リージョンにデプロイされたThales CipherTrust Managerを使用してHYOKを設定することに重点を置いています。すべてのキー管理操作は、このThales CipherTrust Managerインスタンスから実行されます。

外部キー・マネージャのプライベートにより、OCIは外部Thales CipherTrust Managerと安全に通信でき、プライマリOCIリージョンのスポークVCNsのいずれかにデプロイされます。これにより、パブリック・インターネットにトラフィックを公開することなく、OCIサービスと外部キー・マネージャの間のセキュアで直接的な通信パスが保証されます。

このアーキテクチャは、明確に定義された安全なネットワーク境界内でキー管理を分離することで、OCIの機密ワークロードに対する強力なセキュリティおよびコンプライアンス・ポスチャをサポートします。

次の図は、アーキテクチャ全体を示しています。

イメージ

タスク2: 機密リソース・アプリケーションの作成と機密クライアント・アプリケーションの関連付け(アプリケーション統合)およびOCIでのクライアントとシークレットの収集

Thales CipherTrust ManagerとのHYOK統合を有効にするには、OCIと外部キー・マネージャとの間の信頼を確立する必要があります。

これを行うには、OCI Identity and Access Management (OCI IAM)に2つの主要なコンポーネント(機密リソース・アプリケーション機密クライアント・アプリケーション)を登録します。これらは、OCIとThales CipherTrust Managerの間の通信を認証および認可するために不可欠です。

この設定により、Thales CipherTrust Managerは、OAuth 2.0を介してOCI IAMで認証できます。機密クライアントは外部キー・マネージャのかわりに動作し、機密リソースはアクセスおよび信頼構成の範囲を定義します。OCIは、これらのコンポーネントがないと、外部キー・ソースを検証したり、安全に通信することはできません。

次の図は、このステップのコンポーネントおよび構成設定を示しています。

イメージ

ノート:

タスク3: OCIからのアイデンティティ・ドメインURLの収集

OCIとThales CipherTrust Managerの間のOAuthベースの通信を有効にするには、Thales CipherTrust Managerでのアイデンティティ・プロバイダの構成中にアイデンティティ・ドメインURLを指定する必要があります。

タスク4: Thales CipherTrust Managerでのアイデンティティ・プロバイダの作成

このタスクでは、Thales CipherTrust Managerでアイデンティティ・プロバイダを構成します。この設定により、Thales CipherTrust Managerは、タスク3で作成したOAuth 2.0資格証明を使用してOCIで認証できます。

次の図は、このタスクのコンポーネントおよび構成設定を示しています。

イメージ

タスク5: Thales CipherTrust ManagerでのOCIテナンシの追加

Thales CipherTrust Managerでアイデンティティ・プロバイダを構成した後、次のタスクはOCIテナンシの登録です。これにより、Thales CipherTrust Managerは、以前に構成されたOAuth資格証明を使用して、OCI環境にかわって外部ボールトおよびキーを管理できます。

次の図は、このタスクで設定されたコンポーネントおよび構成を示しています。

イメージ

タスク6: OCIでの外部キー・マネージャ・サービスのプライベート・エンドポイントの作成

パブリック・インターネットへのトラフィックを公開せずにOCIをThales CipherTrust Managerに安全に接続するには、OCI外部キー管理サービスのプライベート・エンドポイントを作成する必要があります。

これにより、OCIとThales CipherTrust Managerの間のすべての通信が、制御されたプライベート・ネットワーク・パスを介して行われます。

次の前提条件が満たされていることを確認します。

次の図は、このタスクのコンポーネントおよび構成設定を示しています。

イメージ

タスク7: Thales CipherTrust Managerでの外部ボールトの追加

OCIテナンシおよびプライベート・エンドポイントを配置すると、次のタスクは、Thales CipherTrust Managerに外部Vaultを追加することです。Thales CipherTrust Managerの外部vaultは、OCIの外部キー管理vaultにマップする論理コンテナで、Thales CipherTrust ManagerはHYOK暗号化に使用されるキーを管理できます。

次の図は、このタスクのコンポーネントおよび構成設定を示しています。

イメージ

構成すると、このvaultは、OCIサービスが参照する外部キーを格納するためのターゲットの場所になります。OCI環境とCipherTrust管理キーを連結し、HYOKモデルでの暗号化操作を完全に制御できるようにします。

タスク8: OCI外部キー管理サービスVaultの作成

外部vaultがThales CipherTrust Managerで定義されるようになったので、次のタスクは、OCIコンソールで対応する外部Key Management Vaultを作成することです。

このOCI vaultは、Thales CipherTrust Managerにリンクされ、外部キーを使用して暗号化および復号化操作を実行するためにOCIサービスによって使用されます。

次の図は、このタスクのコンポーネントおよび構成設定を示しています。

イメージ

OCIは、指定されたプライベート・エンドポイントを使用して、Thales CipherTrust Managerに接続します。このvaultがアクティブになると、OCIはCCKMによって管理される外部キーと対話するインタフェースになり、OCI Object StorageやOCI Block VolumesなどのOCIサービスに対するHYOKサポートが可能になります。後で、OCI Object Storageでいくつかのテストを実行します。

タスク9: Thales CipherTrust Managerでの外部キーの追加

Thales CipherTrust Managerで外部vaultを設定し、OCIにリンクすると、次のタスクは、OCIがHYOK対応サービスに使用する外部暗号化キーを作成またはインポートすることです。

これらのキーは、Thales CipherTrust Manager内に安全に存在し、外部キー管理インタフェースを介してOCIによって参照されます。組織の要件に応じて、Thales CipherTrust Manager内で新しいキーを直接生成するか、既存のキーをインポートできます。

次の図は、このタスクのコンポーネントおよび構成設定を示しています。

イメージ

追加すると、外部キー管理vaultを介してOCIでキーが使用可能になります。ただし、OCIサービスがキーを使用できるようにするには、OCIコンソールでキー参照を作成する必要があります。これについては、次のタスクで説明します。

ノート:

タスク10: OCIでのキー参照の作成

外部キーが作成されるか、Thales CipherTrust Managerにインポートされたら、次のタスクはOCIコンソールでキー参照を作成することです。キー参照は、外部キー管理vaultを介して、OCIサービスがThales CipherTrust Managerに格納されている外部キーにアクセスして使用できるようにするポインタとして機能します。

次の図は、このタスクのコンポーネントおよび構成設定を示しています。

イメージ

OCIは、このキー参照をThales CipherTrust Managerで管理される外部キーに関連付けます。これにより、OCIオブジェクト・ストレージ、OCI Block VolumesなどのOCIサービスは、プライベート・エンドポイントを介して外部キーに暗号化リクエストを送信できます。対照的に、重要な材料自体は完全にあなたの制御下にあります。

キー参照をOCIオブジェクト・ストレージ・バケットに添付してすぐにテストし、統合が期待どおりに機能していることを確認します。

タスク11: 顧客管理キーを使用したOCIオブジェクト・ストレージ・バケットの作成

OCIで参照される外部キーを使用して、リソースを暗号化できます。このタスクでは、外部キー管理vaultを介してThales CipherTrust Managerでホストされている外部の顧客管理キーを使用するOCIオブジェクト・ストレージ・バケットを作成します。

この設定により、バケットに格納されているすべてのオブジェクトが、完全に制御するキー(厳密なコンプライアンス、主権または内部ポリシー要件を満たす)を使用して暗号化されます。

次の図は、このタスクのコンポーネントおよび構成設定を示しています。

イメージ

バケットが作成されると、そのバケットに格納されているすべてのデータは、Thales CipherTrust Managerによって管理される外部キーを使用して暗号化されます。これにより、OCIはアクセスと制御のためにキー・インフラストラクチャに依存し、完全なHold Your Own Key (HYOK)機能を実現できます。

外部キーが使用できなくなったとします(たとえば、Thales CipherTrust Managerで無効化またはブロックされている)。その場合、バケットとそのコンテンツへのアクセスが拒否され、データ・セキュリティ・ポスチャの強力な制御ポイントが提供されます。これは、次のタスクでテストします。

タスク12: Thales CipherTrust ManagerおよびOCIでのOracleキーのブロックおよびブロック解除およびOCIオブジェクト・ストレージ・バケットのアクセシビリティのテスト

Hold Your Own Key(HYOK)モデルの主な利点の1つは、いつでもブロックまたはブロック解除できる暗号化キーに対する完全な運用制御を維持できることです。この項では、Thales CipherTrust Managerを使用して、外部キーをブロックまたはブロック解除することで、Oracle管理オブジェクト・ストレージ・バケットへのアクセスを制御する方法を示します。

キーをブロックすると、キーまたはデータを削除することなく、そのキーで暗号化されたOCIリソースへのアクセスが効果的に制限されます。ブロック解除すると、アクセスが復元されます。

イメージ

イメージ

次に、Thales CipherTrust Managerのキーのブロックを解除します。

次の図は、このタスクのコンポーネントおよび構成設定を示しています。

イメージ

この機能は、緊急対応、規制コンプライアンス、およびデータ主権執行のための強力なメカニズムを提供し、OCIでデータにアクセスできるタイミングと方法を完全に制御します。

次のステップ

このチュートリアルでは、OCI APIゲートウェイ・オプションに依存せずに、Thales CipherTrust Managerを使用したOCI Hold Your Own Keyの設定を完了しました。アイデンティティ統合およびネットワーキングの構成から外部ボールトおよびキーのデプロイまでのステップに従うことで、暗号化キーを完全に制御できるセキュアで準拠したキー管理アーキテクチャが有効になりました。

この設定により、OCI Object StorageなどのOCIサービスでは暗号化操作に外部管理キーが使用されるようになりますが、キー・マテリアルは完全にガバナンス下にあります。また、Thales CipherTrust Manager内のキー・ステータスを切り替えるだけで、クラウド・リソースへのアクセスをブロックおよびブロック解除する機能により、HYOKがいかに強力になるかがわかりました。

OCI API Gatewayを使用しないことで、アーキテクチャを簡素化しながら、プライベート・ネットワーキングとOAuthベースのアイデンティティ信頼を通じて強固なセキュリティ境界を適用できます。

これで、エンタープライズ・セキュリティ・ポリシー、規制コンプライアンスおよびデータ主権要件をサポートする本番対応のHYOK実装が可能になり、クラウド暗号化戦略を完全に制御できるようになりました。

確認

その他の学習リソース

docs.oracle.com/learnで他のラボを確認するか、Oracle Learning YouTubeチャネルで無料のラーニング・コンテンツにアクセスしてください。また、education.oracle.com/learning-explorerにアクセスして、Oracle Learning Explorerになります。

製品ドキュメントについては、Oracle Help Centerを参照してください。