[OCI]Oracle Cloud Infrastructure Vaultでのソフトウェア保護されたキーの発表 (2020/10/01)

Oracle Cloud Infrastructure Vaultでのソフトウェア保護されたキーの発表 (2020/10/01)

https://blogs.oracle.com/cloudsecurity/software-protected-keys-in-oracle-cloud-infrastructure-vault
投稿者:FREDERICK BOSCO | Product Manager

Oracle Cloud Infrastructure(OCI)Vaultを使用すると、幅広いOCIサービスとアプリケーションにわたって、
キーとシークレットの使用を一元的に管理および制御することができます。
Vaultは、ハードウェアのプロビジョニング、ソフトウェアのパッチ適用、高可用性など、時間のかかる管理タスクを気にすることなく、
データ暗号化のニーズに集中できる、安全で回復力のあるマネージド・サービスです。
このサービスでは、連邦情報処理標準(FIPS)140-2セキュリティレベル3のセキュリティ認証を取得したハードウェアセキュリティモジュール(HSM)を使用してキーを保護します。
HSMで保護されたキーでは、暗号化操作とキーの保存はすべてHSMの内部で行われます。これまでサポートされている保護モードはこれだけでした。

我々は、OCI Vaultサービスのソフトウェア保護されたキーの一般的な可用性を発表することに興奮しています。
これで、暗号化キーがどのように保護されるかを柔軟に制御できるようになりました。
ソフトウェア保護されたキーを使用すると、あなたの暗号化キーは、ソフトウェアで保存され、処理されますが、
HSMからのルートキーとの残りの部分で保護されています。
ソフトウェアで保護されたキーは、Vault の外部にエクスポートして、アプリケーション内の暗号化操作のための高い可用性とレイテンシの改善を実現することができます。
ソフトウェア保護キーはHSMキーの可用性によって制限されないため、データを保護するためのキーの数を増やすことができます。
我々は、ソフトウェア保護されたキーが簡単に利用可能であり、すべてのOCIの顧客によって使用されるようにしたいので、この機能は無料で利用可能です。

Software Protected Keysは、HSM protected keysと同様にコンソール、API、CLIから利用できるので、数回クリックするだけ、またはTerraformスクリプトで管理することができます。

Software Protected Keysの管理方法については、以下の通りです。

キーの管理
Vault サービスには、キーの作成操作の下に保護モードと呼ばれる新しいフィールドがあります。
これにより、マスター暗号化キー(MEK)をどこに保存して処理するかを制御することができます。
デフォルトのオプションは、HSMで保護されたキーを作成することです。

下図は、保護モードフィールドを使用したキーの作成操作の例を示しています。

これで、保護モードに基づいてMEKをフィルタリングするオプションを使用して、
Vaultの詳細ページでHSMによって保護されているかソフトウェアによって保護されているかを区別することができるようになりました。

次の画像は、Vault の詳細ページの例を示しています。



キーのエクスポート
Vault サービスには、ソフトウェアで保護された MEK を Vault の外部にエクスポートするための Export Key と呼ばれる新しい暗号操作があります。
暗号化操作を実行するために、アプリケーション内でキーをローカルに使用することができます。
操作が完了したら、必要に応じていつでもVaultサービスからソフトウェアで保護されたMEKを取得できるため、ローカルメモリからキーを破棄することをお勧めします。
エクスポート操作は、ソフトウェアで保護されたキーに対してのみ許可されています。

以下のコマンドにより、ソフトウェアで保護された MEK をエクスポートすることができます。

oci kms crypto key export --key-id <key_OCID> --algorithm <encryption_algorithm> --public-key <public_RSA_wrapping_key> --endpoint <data_plane_url>

コンプライアンス
HSM保護キーと同様に、ソフトウェア保護キーは、オンデマンドのキーローテーションをサポートしており、
ペイメントカード業界(PCI) DSSなどのコンプライアンス要件を満たすのに役立ちます。
セキュリティは、特定のキーで保護された情報の量を制限することで、さらに有効になります。
他のすべてのOCI Vaultサービスの機能と同様に、ソフトウェア保護されたキーの管理と暗号化操作は、監査ニーズを満たすためにOCI監査ログに記録されます。
下の画像は、鍵の回転操作を提供するキーの詳細ページの例を示しています。



コストがかからない

OCI上で環境を保護する場合、コストと労力が邪魔になることはありません。
そのため、Oracle Cloud Infrastructureをご利用のお客様には、Software Protected Keysとそれに関連する運用をゼロ・コストで提供しています。

次のステップ

要約すると、Software Protected Keys を使用すると、暗号化キーの保存先や処理先をワークロードに応じて選択できるようになります。
この機能がどのように動作するかについては、技術文書を参照してください。
しかし、それを知るための最良の方法は、実際に使用してみることです。
ソフトウェア保護キー機能は、OCIコンソールのOCIナビゲーションメニューの「セキュリティ」->「Vault」タブからアクセスできます。

Free Tierアカウントにサインアップして、自分の目で確かめてみてください。

コメント

コメントを投稿

このブログの人気の投稿

Oracle RACによるメンテナンスのためのドレインとアプリケーション・コンティニュイティの仕組み (2023/11/01)

イメージ
Oracle RACによるメンテナンスのためのドレインとアプリケーション・コンティニュイティの仕組み (2023/11/01) https://database-heartbeat.com/2023/11/01/draining-ac-rac/ はじめに Oracle RACは、Oracle Databaseのスケーラビリティと高可用性を提供します。1つのサーバー(RACノード)に障害が発生した場合、またはメンテナンスのためにオフラインになった場合でも、追加のノードを介してデータベースにアクセスできます。ただし、メンテナンスの開始時に、データの読取りまたは変更に関係なく、一部の作業を実行しているクライアント・セッションはどうなりますか。この作業は中断され、ドレインを実装してアプリケーション・コンティニュイティまたは透過的アプリケーション・コンティニュイティを有効にしないかぎり、エンドユーザーまたはアプリケーションによって再度実行する必要があります。 環境 2ノードのOracle RACを例に挙げて、高速アプリケーション通知(FAN)、ドレインおよびアプリケーション・コンティニュイティによってメンテナンス・イベントがエンドユーザーに透過的になる方法を理解しましょう。アプリケーションは、30個のセッションを保持するように構成された接続プールを使用しています。 通常の操作 通常の操作中は、両方のRACノードが起動し、アプリケーションを実行しています。ロード・バランシング戦略によっては、セッションの数が両方のノード間で異なるか、均等に分散される場合があります。次の図をよりよく視覚化するために、ノード2のノード1および20のセッションに10のセッションがあるとします。 セッションは、アイドル状態(接続されているが何もしていない)またはアクティブ状態(リクエストの途中)にできます。リクエストは、データの読取り(SELECT)または操作(INSERT、DELETE、UPDATE)が可能です。 ドレインによるサービスの停止 ある時点で、システムのメンテナンスが必要になります。2ノードRACがあるため、メンテナンスはローリング方式で、1つのノードを順番に(ほとんどの場合)実行できます。メンテナンスは、たとえば、オペレーティング・システム、Grid Infrastructureまたはデ
続きを読む

Oracle Cloud Infrastructure Secure Desktopsを発表: デスクトップ仮想化のためのOracleのクラウドネイティブ・サービス (2023/06/28)

イメージ
Oracle Cloud Infrastructure Secure Desktopsを発表: デスクトップ仮想化のためのOracleのクラウドネイティブ・サービス (2023/06/28) https://blogs.oracle.com/cloud-infrastructure/post/secure-desktops-cloud-native-virtualization 投稿者: Joost Pronk Van Hoogeveen Jan Hendrik Mangold | Principal Product Manager Oracleは、Oracle Cloud Infrastructure(OCI)Secure Desktopsという新しいクラウド・ネイティブ・サービスをリリースしています。このエキサイティングな開発により、顧客はOCIテナンシから簡単にすばやく仮想デスクトップ・インフラストラクチャ(VDI)をデプロイできます。 OCIの使用状況は大幅に拡大しています。組織は、OCI内でデータを安全に保つことの価値を実現しています。ゼロトラストなセキュリティ優先アーキテクチャを実装することで、OCI Compute、Storage、およびNetworkingサービスは、グローバル・アクセスのためのエンタープライズ・アプリケーションを導入するための信頼できるプラットフォームを提供します。 データ・セキュリティとVDIがどのように役立つか 業界のアナリストによると 、ラップトップは53秒ごとに盗まれています。その事実と現実を結び付けると、会社のデータは、公共の場所を経由したり、従業員の自宅に座ったりするラップトップやデスクトップへと移行します。ローカル・ディスクの暗号化、データ・アクセス権限の強制、VPNアクセスの保護によってデータを保護するためにテクノロジが使用されていますが、いずれも許容可能なセキュリティ・レベルが適用されるため、リスクは依然として高くなる可能性があります。盗難または準拠していないいくつかのマシンでは、企業データ、さらには顧客データのデータ侵害が発生する可能性があります。 VDIテクノロジは長年にわたって存在してきましたが、従業員はローカル・マシンを使用して、会社のデータ・センター内の仮想マシンで実行されているデスクトップ・アプリケー
続きを読む

新しいOracle Container Engine for Kubernetesの機能強化により、大規模なKubernetesがさらに簡単になりました (2023/03/20)

イメージ
新しいOracle Container Engine for Kubernetesの機能強化により、大規模なKubernetesがさらに簡単になりました (2023/03/20) https://blogs.oracle.com/cloud-infrastructure/post/oracle-container-engine-kubernetes-enhancements 投稿者: Mickey Boxell | Product Management Linux以降、 Kubernetes はオープンソースソフトウェアの歴史上最も急速に成長しているプロジェクトです。10年も経たないうちに、 Kubernetesは主流 になり、特に過去2年間で導入がかつてないほど大きくなりました。 Oracle Cloud Infrastructure(OCI) は、この勢いも見ています。あらゆる業界の何千ものエンタープライズ顧客が、クラウドネイティブアプリケーション開発のメリットを経験しており、その導入を迅速化し、Kubernetesの使用を拡大しています。 Oracle Container Engine for Kubernetes (OKE)で実行されている抽出、変換、ロード(ETL)ジョブ、パイプライン、ハイパフォーマンスコンピューティング(HPC)ワークロード、さらにはデータベースなどにKubernetesを使用するために、顧客はKubernetesで標準化されており、コンテナ化されたアプリケーションを実行するのみでなく拡張されています。  「私たちは、Kubernetes インフラストラクチャと OKE、GPU、HPC、およびストリーミング、OpenSearch などの最新の開発者サービスを組み合わせて使用​​して、OCI で数十億の音声 AI クエリを実行しています。私たちは、次世代のトレーニングと配信に最適なクラウドとして OCI を選択しました。 AI アプリケーション – Mercedes Benz、Toast、VIZIO、Hyundai などのグローバル ブランドに最速かつ最も正確な音声エクスペリエンスを提供するのに役立ちます.OCI を使用することで、以前のクラウドと比較してパフォーマンスが 50 ~ 60% 向上しました。 2 倍のコスト削減 – 使用量
続きを読む