[OCI]Oracle Cloud Infrastructure Vaultでのソフトウェア保護されたキーの発表 (2020/10/01)
Oracle Cloud Infrastructure Vaultでのソフトウェア保護されたキーの発表 (2020/10/01)
https://blogs.oracle.com/cloudsecurity/software-protected-keys-in-oracle-cloud-infrastructure-vault
投稿者:FREDERICK BOSCO | Product Manager
Oracle Cloud Infrastructure(OCI)Vaultを使用すると、幅広いOCIサービスとアプリケーションにわたって、
キーとシークレットの使用を一元的に管理および制御することができます。
Vaultは、ハードウェアのプロビジョニング、ソフトウェアのパッチ適用、高可用性など、時間のかかる管理タスクを気にすることなく、
データ暗号化のニーズに集中できる、安全で回復力のあるマネージド・サービスです。
このサービスでは、連邦情報処理標準(FIPS)140-2セキュリティレベル3のセキュリティ認証を取得したハードウェアセキュリティモジュール(HSM)を使用してキーを保護します。
HSMで保護されたキーでは、暗号化操作とキーの保存はすべてHSMの内部で行われます。これまでサポートされている保護モードはこれだけでした。
我々は、OCI Vaultサービスのソフトウェア保護されたキーの一般的な可用性を発表することに興奮しています。
これで、暗号化キーがどのように保護されるかを柔軟に制御できるようになりました。
ソフトウェア保護されたキーを使用すると、あなたの暗号化キーは、ソフトウェアで保存され、処理されますが、
HSMからのルートキーとの残りの部分で保護されています。
ソフトウェアで保護されたキーは、Vault の外部にエクスポートして、アプリケーション内の暗号化操作のための高い可用性とレイテンシの改善を実現することができます。
ソフトウェア保護キーはHSMキーの可用性によって制限されないため、データを保護するためのキーの数を増やすことができます。
我々は、ソフトウェア保護されたキーが簡単に利用可能であり、すべてのOCIの顧客によって使用されるようにしたいので、この機能は無料で利用可能です。
Software Protected Keysは、HSM protected keysと同様にコンソール、API、CLIから利用できるので、数回クリックするだけ、またはTerraformスクリプトで管理することができます。
Software Protected Keysの管理方法については、以下の通りです。
キーの管理
Vault サービスには、キーの作成操作の下に保護モードと呼ばれる新しいフィールドがあります。
これにより、マスター暗号化キー(MEK)をどこに保存して処理するかを制御することができます。
デフォルトのオプションは、HSMで保護されたキーを作成することです。
下図は、保護モードフィールドを使用したキーの作成操作の例を示しています。
これで、保護モードに基づいてMEKをフィルタリングするオプションを使用して、
Vaultの詳細ページでHSMによって保護されているかソフトウェアによって保護されているかを区別することができるようになりました。
次の画像は、Vault の詳細ページの例を示しています。
キーのエクスポート
Vault サービスには、ソフトウェアで保護された MEK を Vault の外部にエクスポートするための Export Key と呼ばれる新しい暗号操作があります。
暗号化操作を実行するために、アプリケーション内でキーをローカルに使用することができます。
操作が完了したら、必要に応じていつでもVaultサービスからソフトウェアで保護されたMEKを取得できるため、ローカルメモリからキーを破棄することをお勧めします。
エクスポート操作は、ソフトウェアで保護されたキーに対してのみ許可されています。
以下のコマンドにより、ソフトウェアで保護された MEK をエクスポートすることができます。
oci
kms crypto key export --key-id <key_OCID> --algorithm
<encryption_algorithm> --public-key
<public_RSA_wrapping_key> --endpoint <data_plane_url>
コンプライアンス
HSM保護キーと同様に、ソフトウェア保護キーは、オンデマンドのキーローテーションをサポートしており、
ペイメントカード業界(PCI) DSSなどのコンプライアンス要件を満たすのに役立ちます。
セキュリティは、特定のキーで保護された情報の量を制限することで、さらに有効になります。
他のすべてのOCI Vaultサービスの機能と同様に、ソフトウェア保護されたキーの管理と暗号化操作は、監査ニーズを満たすためにOCI監査ログに記録されます。
下の画像は、鍵の回転操作を提供するキーの詳細ページの例を示しています。
コストがかからない
OCI上で環境を保護する場合、コストと労力が邪魔になることはありません。
そのため、Oracle Cloud Infrastructureをご利用のお客様には、Software Protected Keysとそれに関連する運用をゼロ・コストで提供しています。
次のステップ
要約すると、Software Protected Keys を使用すると、暗号化キーの保存先や処理先をワークロードに応じて選択できるようになります。
この機能がどのように動作するかについては、技術文書を参照してください。
しかし、それを知るための最良の方法は、実際に使用してみることです。
ソフトウェア保護キー機能は、OCIコンソールのOCIナビゲーションメニューの「セキュリティ」->「Vault」タブからアクセスできます。
Free Tierアカウントにサインアップして、自分の目で確かめてみてください。
コメント
コメントを投稿