OCI Secret Managementでシークレットの生成とローテーションを自動化

※ 本記事は、FREDERICK BOSCOによる”Automate secret generation and rotation with OCI Secret Management“を翻訳したものです。

今日のクラウドドリブンの環境では、APIキー、パスワード、暗号化キーなどの機密データを保護することが非常に重要です。Oracle Cloud Infrastructure(OCI) Secret Managementは、このようなタイプのシークレットを格納、管理、アクセスするための堅牢でセキュアなソリューションを提供します。ハードウェア・セキュリティ・モジュール(HSM)によって保護される一元化されたストレージと、機密のセキュリティと整合性を確保するためのきめ細かいアクセス制御を提供します。このオプションは、暗号化されていないシークレットをアプリケーション内に直接埋め込むよりも優れています。これは、攻撃対象領域を減らし、アプリケーションの全体的なセキュリティ状態を改善するのに役立つためです。

自動シークレットの生成とローテーション

OCI Secret Managementにおける自動シークレット生成および自動シークレット・ローテーション機能の提供開始をお知らせします。これで、独自のスクリプトを使用してシークレットの生成とローテーションを管理する必要がなくなりました。かわりに、Oracle CloudコンソールおよびCreateSecretやRotateSecretなどのAPIは、作成からローテーションおよび削除までのシークレット・ライフサイクルを効率的に作成および管理する方法を提供します。

自動シークレット生成では、パスワード、Secure Shell (SSH)キーおよびランダム・バイトの3つのタイプがサポートされています。生成時にテンプレート化も行います。テンプレート化を使用すると、自動的に生成されるシークレットのプレースホルダを使用して、Java Script Object Notation (JSON) BLOBを格納できます。自動ローテーションでは、1か月から12か月間の間隔を設定できます。この機能は、Autonomous DatabaseおよびFunctionsサービスと統合されているため、Autonomous Databaseまたはファンクション・コードで使用されるシークレットをシームレスにローテーションできます。アプリケーションは、すぐに新しいシークレットの使用を開始します。OCI Functionsでは、任意の資格証明を簡単にローテーションし、ローテーション・プロセスの一部としてコードを実行できます。自動ローテーションは、手動で作成したシークレットにも使用できます。

なぜ自動化?

自動化には次の利点があります:

• セキュリティの強化: シークレットの定期的なローテーションは、漏洩した資格証明の影響を最小限に抑えるのに役立ちます。これにより、データ漏洩の可能性を減らすことができます。
• 運用効率: シークレット生成やローテーションなどの日常的なタスクを自動化することで、より戦略的な取り組みのために貴重な時間を解放できます。
• コンプライアンスの遵守を支援: 多くのコンプライアンス規制は定期的な秘密のローテーションを義務付け、自動化は一貫した遵守を支援します。
• ヒューマン・エラーの削減: 反復的なタスクを自動化することで、ヒューマン・ミスの可能性が減り、セキュリティが強化されます。

自動シークレット管理では、次の操作がサポートされます:

• シークレット生成: シークレットの作成の一環として、自動的にまたは手動でシークレットを作成する柔軟性があります。自動化の作成がデフォルトです。パスワード(データベースの要件を満たすパスワードを含む)、SSHキー、ランダム・バイトなど、いくつかのタイプのシークレットを作成できます。
• ストレージ: 自動作成でも手動作成でも、シークレットは暗号化されたVaultに格納され、保護を強化するためにHSMを使用します。
• ローテーション・スケジューリング: シークレットを自動的に生成するために、すぐにローテーションするか、月次などのローテーション・スケジュールを柔軟に定義できるようになりました。ローテーションがアプリケーションの観点から行われるように、これらのシークレットを使用するターゲット・アプリケーションを指定する必要があります。
• シークレットの生成とローテーションの編集: ローテーション間隔に関する選択肢を再確認したり、自動的にローテーションされたシークレットに関連付けられたアプリケーションを変更する必要がある場合は、Oracle CloudコンソールまたはUpdateSecret APIを使用して変更できます。
• 通知および監査: 正常なローテーションの通知を受信し、コンプライアンスの目的で詳細な監査ログを保持します。

価格と制限

OCI Secret ManagementサービスはOCI Free Tierの一部であるため、料金を発生させることなくシークレットを作成して使用できます。ただし、シークレットはOCI Key Managementオファリングで作成されたキーによって保護されるため、作成したVaultおよびキーのタイプに基づいて料金を適用できます。たとえば、ソフトウェア・キーを持つ仮想ボールトは無料ですが、HSMキーの使用には最小限の容量料金が必要です。

このリリースはシークレット制限には影響しません。引き続き、テナンシ当たり5,000個のシークレットと、シークレット当たり30個のアクティブ・シークレット・バージョン(それぞれ最大サイズは64KB)を保有できます。

次のステップ

OCI Secrets Managementは、シークレットを管理するための一元化されたセキュアなプラットフォームを提供します。自動シークレット生成と自動シークレット・ローテーションの強力なコンビにより、機密性の高い資格証明を手動で作成およびローテーションするという面倒でエラーが発生しやすいタスクを排除できます。この機能の動作の詳細は、テクニカル・ドキュメントを参照してください。

最良の学習方法は、試してみることです! Oracle Cloud Infrastructure Security製品の詳細とFree Tierアカウントへのサインアップ、および詳細については、当社のWebサイトをご覧ください。