※ 本記事は、FREDERICK BOSCOによる”OCI Dedicated KMS: Owning your keys and HSM partitions in the cloud“を翻訳したものです。
2024年3月22日
データ・セキュリティに関しては、暗号化キーの制御が何よりも重要です。Oracle Cloud Infrastructure (OCI) Dedicated Key Management Service (KMS)は、暗号化鍵と、OCI内に格納するハードウェア・セキュリティ・モジュール (HSM)パーティションの所有権を提供します。
OCI専用KMSとは?
専用KMSは、フルマネージド、高可用性、シングルテナントのHSMパーティションです。
このサービスは、物理的で改ざんに強いHSMデバイス内の専用パーティションへの排他的なアクセスと制御を提供し、暗号化キーの分離と保護を保証します。キーの生成、ストレージおよび使用状況を完全に制御するために、専用のHSMパーティションを暗号化的に要求します。これらのパーティションは、FIPS 140-2レベル3認定であり、鍵管理のためのより高いレベルのセキュリティーを提供します。
PKCS#11などの業界標準のインタフェースを使用して暗号化操作を実行します。これは、OCI APIやモジュールを必要とせずに、アプリケーションからHSMにエンドツーエンドで暗号化されます。デフォルトでは、専用KMSは各OCIリージョンに3つのHSMパーティションを提供し、自動的に同期され、99.9%のサービス・レベル契約(SLA)で高可用性になります。HSMパーティションは、進化するセキュリティ・ニーズに合わせて3つずつ簡単に追加または削除できます。
わかりやすくするために、次の関連用語を定義しました:
- テナンシ: OCI内のクラウド・アカウント
- OCI専用KMS: 専用のHSMパーティションを提供するマネージド・サービス
- HSMクラスタ: 3つのHSMパーティションを含むOCIリソース
- HSMパーティション(専用): HSM内のシングルテナントのセキュアな暗号化エンクレーブで、キー用に完全に分離
- アプリケーション: キー管理のためにOCI専用KMSと対話するOCIコンピュート・インスタンスで実行されているサービスまたはプロセス
OCI専用KMSの主なメリット
専用KMSには、次の利点があります:
- 制御と可視性の強化:
- HSMパーティションの細かい管理: 専用KMSにより、独自のHSMパーティションを作成、構成および管理できます。
- 直接アクセスおよび監査性: HSMパーティションへの自由なアクセス権があるため、徹底的な監査を実施し、キーの使用状況を綿密に追跡できます。
- カスタマイズ可能なセキュリティ・ポリシー: HSM環境内のユーザー・アクセス、キー・ライフサイクルおよび暗号化操作に対する詳細な制御を確立し、独自のセキュリティ・ポリシーおよびベスト・プラクティスを確実に遵守できるようにします。
- 特殊なアプリケーションとワークフロー:
- 低レイテンシのための直接HSMインタラクション: 高パフォーマンスの暗号化操作を必要とするアプリケーションは、暗号化操作用に広く採用されている業界標準であるPKCS#11などの標準インタフェースを介してHSMと直接インタフェースし、シームレスな統合と相互運用性を促進し、レイテンシを最小限に抑え、パフォーマンスを最適化できます。
- 公開鍵インフラストラクチャー(PKI)のデプロイメント: 専用KMSは、HSM内でカスタムPKIインフラストラクチャを作成および管理する柔軟性を提供し、特定の組織のニーズやセキュリティー標準に対応します。
- 標準インタフェースとのシームレスな統合: 直接アプリケーション・アクセスのためのPKCS#11。
サポートされているOCIサービス
アプリケーションが専用KMSオファリング内のキーと対話できるようにするには、アプリケーションでPKCS#11などの標準インタフェースを使用する必要があります。たとえば、OCIコンピュート・インスタンスでPKIアプリケーションを実行し、デジタル世界のアイデンティティに署名および検証するために、HSM内に認証局秘密キーを作成できます。
専用KMSは、OCIサービスにネイティブに統合されていません。そのため、データベース、ストレージおよびFusion Applicationsに関連するOCIサービスは、引き続きKMSのOCI Vaultサービスを使用する必要があります。
専用KMSとプライベートVault
どちらも単一のテナントHSMパーティションを提供しますが、Private VaultとDedicated KMSの主な違いは、HSMパーティションに対する制御のレベルです。
Private Vaultには、次の機能があります:
- Oracleは、HSMパーティションを管理および管理します。
- 制御は、これらのパーティション内のキーに拡張されるため、安全に作成、管理および使用できます。
- 暗号化操作のために、OCI KMS APIを介してHSMと対話します。
専用KMSには、次の機能があります:
- キーだけでなく、HSMパーティションおよび管理ユーザーも直接管理し、さらに制御を強化できます。
- この制御の強化により、業務の可視性が向上し、HSM環境を特定のニーズにあわせて調整できます。
- Oracleは、HSMのオンライン化やパッチの適用などの重要なメンテナンス・タスクを引き続き処理し、継続的な運用を確保します。
- PKCS#11などの標準インタフェースを使用してHSMと直接対話し、OCI APIをバイパスして、より合理化され効率的な暗号化操作を実現します。
ユーザー・エクスペリエンス
OCIで専用KMSのロックを解除するには、HSMクラスタ・リソースの制限の引上げをリクエストします。これは、最初はゼロに設定されているためです。このサービスは、HSMクラスタが親リソースとして機能し、3つのHSMパーティションを収容する階層構造を備えています。より多くのパーティションが必要な場合は、クラスタ内のパーティションを拡張できないため、クラスタをさらに作成します。HSMクラスタを作成するための適切なIdentity and Access Management (IAM)ポリシーが設定されていることを確認します。
Oracle Cloudコンソールで、「Key Management」および「Secret Management」に移動し、「Dedicated key management」を選択して、HSMクラスタを作成するプロセスを開始します。マルチステップ・クラスタ・アクティブ化プロセス(次の状態でのユーザーの介入を含む)を支援するように準備します:
- 初期化が必要: HSM証明書署名リクエスト(CSR)をダウンロードして自己署名CSRをアップロードすることで、HSMパーティションの所有権を要求します。
- アクティブ化が必要: OCIコンピュート・インスタンスにクライアント・ユーティリティをインストールした後に、HSMパーティションのPrecrypto Officer (PRECO)の資格証明を変更します。PRECOは、一度もアクティブ化されていないHSMパーティションに存在する、一時的な権限のないユーザーです。このPRECOパスワードは、HSMパーティションのCrypto Officer (CO)として完全に制御されるように変更する必要があります。
これで、すべてのHSMパーティションがアクティブ状態になり、暗号操作の管理と使用を完全に制御できるようになりました。アプリケーション専用のKMSの使用方法の詳細については、ドキュメントを参照してください。
価格と制限
OCI Dedicated KMSの価格は、HSMパーティションあたり1時間あたり1.75ドルです。最小3つのHSMパーティションでは、開始コストは1時間当たり5.25ドルです。
HSMパーティションを作成するための制限を明示的にリクエストする必要があります。これらの制限はリージョナルであり、ビジネス・ニーズに基づいて制限の変更をリクエストできます。デフォルトでは、3つのHSMパーティションがあり、これらのパーティションに最大3,000個のキー・バージョンを作成できます。
次のステップ
OCI KMSは、幅広いお客様のニーズを満たすさまざまな暗号化サービスを提供しています。組織固有のセキュリティおよびコンプライアンス要件に基づいて、適切なオファリングを選択できます。専用KMSは、マネージド・サービスとして単一のテナントHSMパーティションを提供し、キーとキーを格納するHSMパーティションの両方を制御できます。この機能の動作の詳細は、テクニカル・ドキュメントを参照してください。しかし、それを学ぶ最善の方法は、それを試してみることです! Oracle Cloud Infrastructure Security製品の詳細とFree Tierアカウントへのサインアップ、および詳細については、当社のWebサイトをご覧ください。
詳細は、次のリソースを参照してください: