OCI Key Managementサービス: Virtual Vaultのクロスリージョン・レプリケーション提供開始

※ 本記事は、FREDERICK BOSCO, Ankit Goyalによる”OCI Key Management service: Crossregion replication for virtual vaults is now generally available“を翻訳したものです。

Oracle Cloud Infrastructure (OCI) Key Managementサービス(KMS)は、OCIのデータの暗号化キーを一元的に制御します。KMSは、Vaultを含むさまざまなキー管理ソリューションを通じてお客様が管理する暗号化を提供します。このソリューションには次のオプションがあります:

• Virtual Vault: キーを管理するためのコスト効率の高いマルチテナント・サービス。

• Private Vault: 分離とセキュリティを強化するシングルテナント・サービス。

Virtual Vaultのリージョン間レプリケーション提供開始を発表できることを嬉しく思います。現在、Virtual VaultとPrivate Vaultはどちらも、リージョンの障害からアプリケーションを保護し、クロスリージョン・フェイルオーバーを通じてより高い可用性を実現します。クロスリージョン・レプリケーションは、対称暗号化または非対称暗号化に使用されるソフトウェアおよびハードウェアで保護されたマスター暗号化キーでサポートされています。Vaultは、リージョナル・レプリケーション中にFIPS 140-2 Level 3のセキュリティを維持し、これらのキーはハードウェア・セキュリティ・モジュール(HSM)を平文のままにすることはありません。かわりに、それらは暗号化されたバイナリ・オブジェクトとしてエクスポートされ、テナンシ内のOracle提供のFIPS 140-2 Level 3のHSM内でのみリストアされます。

このリリースでは、2つのリージョン間のレプリケーションがサポートされています。キーは、ソースから宛先リージョンに自動的かつ非同期的にコピーされます。キーの作成、削除などを管理し、ソース・リージョンの暗号化および復号化に使用することもできますが、宛先リージョンでレプリケートされたキーを使用できるのは、ランタイム暗号化および復号化操作のみです。他のすべてのOCI機能と同様に、レプリケーションの開始と削除のステップはOCI監査ログに記録され、お客様がコンプライアンス目標を達成するのに役立ちます。

OCI Vaultのクロスリージョン・レプリケーションには、次の利点があります:

• 災害復旧の強化: リージョン間でキーをレプリケートすると、リージョンの混乱が発生した場合にデータのアクセシビリティとリカバリが確保されます。

• データ保護の強化: 冗長なキー・コピーを維持することで、偶発的な損失や不正アクセスから保護し、全体的なセキュリティを強化できます。

• コンプライアンスとデータ・レジデンシー: 規制対象の業界や特定のデータ・レジデンシー要件を持つ業界の場合、レプリケーションは、コンプライアンス目標に対処し、関連する法律を遵守するのに役立ちます。

クロスリージョン・レプリケーションのRPOおよびRTO

経験を説明する前に、いくつかの用語を定義しましょう。目標復旧時間(RTO)は、宛先リージョンでのリカバリ中にアプリケーションが使用できない可能性がある最大時間です。目標復旧時点(RPO)は、ソース・リージョンで失われる可能性のあるデータの最大量です。リージョン間レプリケーション・ソリューションの場合、RTOは安定した状態でほぼゼロになります。これは、ソース・リージョンで作成するキーはすべて宛先リージョンに即時にレプリケートされ、遅延は主にリージョン間のネットワーク待機時間(ミリ秒)から発生するためです。アプリケーションは宛先にフェイルオーバーし、ほぼ瞬時にキーにアクセスできます。また、キーが永続的なHSMストレージにコミットされるまでプライマリ・リージョンでの成功は確認されないため、RPOはゼロです。これにより、データ損失がないことが保証されます。

クロスリージョン・レプリケーションの有効化

リージョン間レプリケーションの有効化には、次の重要な前提条件があります:

• Vaultの作成: この機能の提供開始後に作成されたVaultを使用していることを確認してください。古いVaultはレプリケーションに適していないため、それをサポートするために移行できません。必要に応じて、この機能を利用する別のVaultを作成します。

• Identity and Access Management (IAM)ポリシー: Vaultサービスがユーザーにかわって宛先リージョンでレプリケーション(Vaultおよびキーのコピー)を実行できるように、適切なIAMポリシーを設定する必要があります。

Vaultの作成

次のイメージは、Vaultがリージョン間レプリケーションに適しているかどうかを識別するのに役立ちます。

^{図1: クロス・リージョンをレプリケートできるVaultには、「Replicate Vault」アクション・ボタンがあります}

^{図2: クロス・リージョンをレプリケートできないVaultには、「Replicate Vault」ボタンが無効になっています}

IAMポリシー

Vaultサービスがユーザーにかわって宛先リージョンでボールトおよびキーのコピーのレプリケーションを実行できるようにするには、ポリシーを設定する必要があります。

ポリシー “Allow service keymanagementservice to manage vaults in tenancy”は、テナンシ内のすべてのコンパートメントにわたってサービスにレプリケーション権限を付与します。

Vaultを作成し、適切なIAMポリシーを設定した後、それをレプリケートすることは、単一の選択またはAPIコールと同じくらい簡単で、宛先リージョンを選択するだけです。レプリケーションはVaultレベルで行われ、すべてのキーを効率的にコピーできます。Vaultをレプリケートする手順の詳細は、OCI KMSのドキュメントを参照してください。

価格

Vaultサービスでクロスリージョン・レプリケーションを有効にすると、追加料金は発生しませんが、OCI KMSドキュメントに従って、ソースおよび宛先リージョンで作成された各キー・バージョンに料金が適用されます。

次のステップ

この機能により、KMSのお客様のデータ可用性とディザスタ・リカバリ機能が大幅に向上します。地域的な停止が発生した場合でも、暗号化キーにシームレスにアクセスできるため、アプリケーションのダウンタイムとデータ損失を最小限に抑えることができます。

自分で試すには、Oracle Cloud Infrastructure Vaultの詳細を確認し、Free Tierアカウントにサインアップします。