Oracle Cloud Infrastructure (OCI) Vaultにより、さまざまなOCIサービスおよびアプリケーションでキーとシークレットの使用を一元的に管理および制御できます。OCI Vaultは、ハードウェアプロビジョニング、ソフトウェアパッチ適用、高可用性維持など時間のかかる管理タスクを心配することなく、データ暗号化のニーズに集中できる、安全で回復力のあるマネージドサービスです。
Key Managementでは、連邦情報処理標準(FIPS)140-2のセキュリティレベル3のセキュリティ認定を満たすハードウェア・セキュリティ・モジュール(HSM)を使用して、キーを保護します。HSMまたはソフトウェアのいずれかで保護されたマスター暗号化キーを作成できます。HSMで保護されたキーを使用すると、すべての暗号化操作とキーの保存がHSM内で行われます。ソフトウェアで保護されたキーを使用すると、暗号化キーはソフトウェアに保存および処理されますが、保存時にHSMのルートキーで保護されます。
OCI VaultとOracle Key Vaultは、オラクルの2つのキー管理製品です。
OCI Vault—Key Managementはフルマネージドサービスであり、暗号化キーの一元管理機能を提供して、OCIにのみ保存されているデータを保護します。Key Managementのビジョンは、さまざまなタイプの暗号化キー(対称および非対称)と一般的なワークロードのセット(Oracle Database TDEおよび非データベースワークロードを含む)をサポートすることです。OCI Vaultは、ネイティブのGen2 Cloud暗号化サービスです。
Oracle Key Vaultは、オンプレミス(Oracle Exadata Cloud@CustomerとOracle Autonomous Database—Dedicatedを含む)とOCIの両方で実行されるTDE対応のOracle Databaseのキー管理機能、および暗号化されたOracle GoldenGate証跡ファイルと暗号化されたACFSファイルシステムのキー管理機能を提供します。
オラクル管理の暗号化は、多くのOCIサービスのデフォルトの暗号化です。オラクル管理の暗号化は、ライフサイクル管理がオラクルによって制御される暗号化キーを使用してデータが保存時に暗号化されることを意味します。暗号化キーの管理やアクセスを望まず、OCIに保存しているすべてのデータを保護する最も簡単な方法を探しているお客様は、オラクル管理の暗号化を選択できます。
顧客管理の暗号化は、データの保護に使用するキーをお客様が制御および管理するOCI Vault—Key Managementサービスによって提供されます。また、コンプライアンスを満たすために高度なセキュリティとFIPS 140-2レベル3の保護を必要とするお客様は、暗号化キーがハードウェアセキュリティモジュール(HSM)に保存される、顧客管理の暗号化を選択しています。
OCI Vaultは、キーの論理グループとしても定義されます。Vaultは、キーが生成またはインポートされる前に作成する必要があります。
ボールトには、「仮想プライベート・ボールト」とデフォルトの「ボールト」の2つのタイプがあります。作成するVaultのタイプによって、キーの分離度とパフォーマンスが決まります。各テナントには、Vaultを含めないことも、多くのVaultを含めることもできます。
仮想プライベートVaultはHSM(単一テナント)に専用パーティションを提供します。パーティションは、他のパーティションから分離されたHSM上の物理的な境界です。仮想プライベートVaultでは、暗号化操作のための1秒あたりのトランザクションがより適切かつ一貫したものになります。
デフォルトVaultはマルチテナントパーティションを使用するため、分離度は中程度です。
1. テナンシの制限で、作成予定のVaultタイプの作成が許可されていることを確認します。
2. ユーザーアカウントにOracle Identity and Access Management (IAM)ポリシーが作成されていることを確認して、Vaultを作成するために必要な権限を付与します。ステートメントの作成については、 IAMポリシー・リファレンスを参照してください。
3. 最初に、Oracle Cloud Infrastructureコンソールで「セキュリティ」を選択し、次に「Vault」を選択して、Vaultを作成します。
Vaultを作成し、2つのVaultタイプから分離度および処理要件に最適なタイプを選択します。
4 Vault内に「マスター暗号化」キーを作成します。マスター暗号化キーには、HSMまたはソフトウェアの2つの保護モードがあります。
5. Vaultを呼び出すサービスまたはエンティティのIAMポリシーに必要な権限があることを確認します。
例: service objectstorage-us-ashburn-1がコンパートメントのキーを使用できるようにします
以下の場合にキーを使用します。
crypto操作は、SDKおよびAPIでも使用できます。詳細については、資料の「Vaultの概要」を参照してください。
6. コンソールおよびモニタリング・サービスのメトリックを使用して、操作の使用状況を監視します。メトリックとディメンションをご覧ください。
仮想プライベートVaultの制限はデフォルトでは0です。ユーザーはVaultを使用するために制限の引き上げをリクエストする必要があります。仮想プライベートVaultを有効にすると、ユーザーの対称キーバージョンのソフト制限は1,000、ハード制限は3,000になります。
キーの保存にデフォルトVaultを使用している場合、ハード制限はありません。デフォルトは10 Vaultで、Vaultごとに100個のキーが用意されています。
Vaultに保存するすべてのキーバージョンは、対応するキーが有効か無効かに関係なく、この制限にカウントされます。
OCI Vaultに課せられる制限は、OCIサービスの制限に従います。デフォルトの制限は、すべてのテナントに設定されています。お客様は、Oracle Cloud Infrastructure資料のサービス制限引き上げのリクエストの手順に従って、Vault内に保存されているキーのサービス制限の引き上げをリクエストできます。有効なキーと無効なキーの両方が制限にカウントされるため、オラクルでは、使用しなくなった無効なキーを削除することをお勧めします。
Key Managementサービスでは、次のキー管理機能を使用できます。詳細については、資料の「Vaultの概要」を参照してください。
キーを作成する際には、キーの長さを示すキー・シェイプと、そのキーで使用されるアルゴリズムを選択することができます。すべてのキーはAdvanced Encryption Standard(AES - GCM)であり、キーの長さはAES-128、AES-192、AES-256の3種類から選択できます。推奨はAES-256です。
Key Managementは、すべての商用および政府機関のOracle Cloud Infrastructureリージョンで利用できます。
その答えは「はい」です。セキュリティ・ガバナンスと規制コンプライアンスのニーズに合わせてキーを定期的にローテーションしたり、セキュリティ・インシデントが発生した場合にアドホックでキーをローテーションしたりすることができます。コンソール、API、またはCLIを使用して定期的に(たとえば、90日ごとに)キーをローテーションすると、1つのキーで保護されるデータ量が制限されます。
注: キーをローテーションさせても、以前に古いキー・バージョンで暗号化されたデータは自動的に再暗号化されません。このデータは、次回顧客が変更したときに再暗号化されます。キーが侵害された疑いがある場合は、そのキーで保護されているすべてのデータを再暗号化し、以前のキー・バージョンを無効にする必要があります。
その答えは「はい」です。独自のキー管理インフラストラクチャからVaultにキーのコピーをインポートして、統合OCIサービスで使用したり、独自のアプリケーション内から使用したりできます。
はい。ただし、時間がかかります。7〜30日の待機期間を設定することで、削除をスケジュールできます。VaultおよびVault内で作成されたすべてのキーは、待機時間の終了時に削除され、それらのキーによって保護されていたすべてのデータにアクセスできなくなります。Vaultを削除すると、その後復元することはできません。
はい。ただし、時間がかかります。7〜30日の待機期間を設定することで、削除をスケジュールできます。また、キーを無効にすると、そのキーを使用した暗号化/復号化操作を防ぐことができます。
データをKey Management APIに直接送信して、Vaultに保存されているマスター暗号化キーを使用して暗号化および復号化できます。
また、エンベロープ暗号化と呼ばれる方法を使用して、アプリケーションおよびOCIサービス内でデータをローカルに暗号化できます。
エンベロープ暗号化を使用すると、Key Management APIからデータ暗号化キー(DEK)を生成および取得できます。DEKはKey Managementサービスで保存または管理されませんが、マスター暗号化キーによって暗号化されます。アプリケーションではDEKを使用してデータを暗号化し、暗号化されたDEKをデータと一緒に保存できます。アプリケーションでデータを復号化するときは、暗号化されたDEKに対してKey Management APIのdecryptを呼び出して、DEKを取得する必要があります。取得したDEKを使用して、ローカルでデータを復号化できます。
Key Managementに送信して直接暗号化できるデータの最大サイズは4KBです。さらに、エンベロープ暗号化はパフォーマンスに大きなメリットをもたらします。Key Management APIを使用してデータを直接暗号化する場合、データはネットワーク経由で転送する必要があります。エンベロープ暗号化では、ネットワーク経由でリクエストおよび配信されるDEKのサイズははるかに小さいため、ネットワークの負荷が軽減されます。DEKは、アプリケーションまたは暗号化OCIサービスでローカルに使用されるため、データのブロック全体を送信する必要がありません。
オラクルは、ノードとHSMのクラスターを使用して、キーのレプリカをそのキーが作成された場所と同じリージョンに保存しています。これにより、Key Managementで99.9%のSLAと99.99%のSLOを達成できています。Oracle PaaS/IaaS Public Cloud Servicesの基本資料 を参照してください (PDF)。
その答えは「はい」です。Key Managementは、仮想プライベートVaultのクロスリージョンのバックアップと復元をサポートしているため、キーが作成された場所とは異なるリージョンでキーを使用できます。バックアップと復元はFIPSの要件を満たしています。これは、実際のキーマテリアルがエクスポートされず、キーマテリアルを表すバイナリオブジェクトがエクスポートされるためです。復元操作はOCI管理のHSMに対してのみ実行できます。
作成されたVaultのタイプに基づいて課金されます。
デフォルトでは、Vaultはキーバージョンの数に基づいて課金されます。ソフトウェアで保護されたキーは無料ですが、HSMで保護されたキーに対してはキー・バージョンごとに50セントが課金されます。(最初の20個のキー・バージョン無料です。)
ただし、仮想プライベートVault(シングルテナントHSM)を作成する場合は、1時間あたりの料金がかかります。この料金は、Vaultの作成時から発生し、Vaultの削除がスケジュールされるまでかかります。仮想プライベートVault内のキーバージョンに対しては課金されません。
詳細については、Oracle Cloud Securityの料金表をご覧ください。
いいえ、削除がスケジュールされているキーに対しては料金はかかりません。キーの削除をキャンセルすると、課金が再開されます。
HSM保護モードでキーを作成するようサービスにリクエストすると、Key Managementはキーと以降のすべてのキーバージョンをHSMに保存します。プレーンテキストのキーマテリアルをHSMから表示したりエクスポートしたりすることはできません。ソフトウェア保護モードでは、キーはKey Managementサーバーに保存されますが、HSMからのルートキーによって保存時に保護されます。
キー管理を呼び出してデータを暗号化または復号化することで、IAMポリシーで認証したユーザー、グループ、またはサービスのみがキーを使用できます。
その答えは「はい」です。ソフトウェア保護モードを使用してキーを作成する場合は、キーマテリアルをプレーンテキストでエクスポートできます。しかし、HSM保護モードでキーを作成する場合は、キーがHSMを離れることがないため、キーマテリアルをエクスポートすることはできません。キーマテリアルは同じまたは別のリージョンに復元するためにバックアップできます。ただし、そのバックアップではキーマテリアルにアクセスできません。