OCI Key Managementの概要と使い方

3115a782126be714b5f94d24073c957d?s=47 oracle4engineer
July 14, 2020
100

OCI Key Managementの概要と使い方

3115a782126be714b5f94d24073c957d?s=128

oracle4engineer

July 14, 2020
Tweet

Transcript

  1. 2020 3 OCI Key Management

  2. 2 Copyright © 2020 Oracle and/or its affiliates.

  3. 3 Copyright © 2020 Oracle and/or its affiliates. FIPS 140-2

    Level 3に対応したHSM (ハードウェア・セキュリティ・モジュール) 2種類のマスター暗号鍵の管理方法 - Key Managementの機能で暗号鍵を生成 - ユーザー自身で用意した暗号鍵を持ち込む(BYOK: Bring Your Own Key) 定期的な鍵のローテーションが可能 Key Managementの対象サービスは、Object Storage, Block Volume, File Storage (2020/02時点) 安価に利用可能な共有のVirtual Vaultと、実質上の完全分離を実現するVirtual Private Vaultの 種類から選択可能 リージョナルサービスとして提供 クラウド利用時に求められる暗号鍵のコンプライアンスの要件を満たす基本コンポーネント OCI Key Management
  4. 4 Copyright © 2020 Oracle and/or its affiliates. OCI Key

    Management OCI Key Management KM admin Management Endpoint Cryptographic Endpoint Key Management 管理者: • Virtual Vault作成 • マスター暗号鍵(MEK)の作成 または、BYOKでMEKを Vault 1 OCI Storage Services 3 データ暗号鍵(DEK)の 作成を依頼 DEKの生成 4 DEKをMEKで 暗号化する 5 6 MEKで暗号化された DEKを送信 DEKを使って 暗号化/復号 7 DEKは暗号化 されたデータ と共にある 8 Key Managementに関連するOCI Storage サービス 2 Data Steward MEKs
  5. 5 Copyright © 2020 Oracle and/or its affiliates. ユーザー自身で用意した暗号鍵をインポート インポート可能な暗号鍵のアルゴリズムは、AES

    (128, 192. 256bit) Oracleは、インポートされた暗号鍵にアクセスすることはできない インポートされた暗号鍵を取り出すことはできない 対象となるサービス (2020/2時点) - Object Storage - Block Volume - File Storage 別の暗号鍵を使用して鍵のローテーションが可能 BYOK (Bring Your Own Key) Block Volume Object Storage Key Management User Private Vault Key A Key B File Storage BYOK
  6. 6 Copyright © 2020 Oracle and/or its affiliates. Virtual Vault

    - デフォルト。共有パーティションで提供され、無料で利用可 - ただし、キーのローテーションが20回を超えると課金 (PAYG $1, Monthly Flex $0.66 /hour) Virtual Private Vault - Key ManagementのHSM内にユーザー専用のパーティションが提供され、仮想上に構築された HSMと実質的に同等のストレージ分離レベルを提供 - Vault単位での課金 - 1 Vaultあたり: (PAYG $6.98, Monthly Flex $4.65 /hour) Virtual Vault デフォルトだとチェック は入っていないので、 Virtual Vaultになる
  7. 7 Copyright © 2020 Oracle and/or its affiliates. BYOK

  8. 8 Copyright © 2020 Oracle and/or its affiliates. BYOK 公開ラッピング・キーを

    コピーする
  9. 9 Copyright © 2020 Oracle and/or its affiliates. BYOK Copyした公開ラッピング・キーを貼り付けて、パブリック・キーを作成する

    ※ファイルに貼り付けする際改行が入らないように注意 $ vi public.pem -----BEGIN PUBLIC KEY----- MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAtGtYW61HvGLGZDBY0tEHs/5AuRYAV5Vdwm0U4T1ly5tAqZ8h2y/T85nibk/7jovGMx/kbVGxP82uD 99H8oPVgHVD664TEG0MhRspa3GlAoTna6E2mvYcbqpKr9wwPfNEjl4kGS31IrcTYiTt9152ow+NtaVnaaFxOO+ysEBf2jYyhF630cSA0+8LNUdL4STX7/x47h/sK 9n4koaTIBn0BP567gQru3rn+ggF4o9X8jpfnuioKWaExRKbn5MioxEsfX0PocNVZPp3L370da+wJV1IQF1BPjDgnQ8IyartbRWuiH+W4l1CWnMUMybH6vg8H/1 Vi55KNb/q6zO4OTKcvf/yFJDJPGZWC/9yDX1OCSF3M1Umj2YYr2/zg+17zyoMU/K2O+5YgNLIyyHceoOcVtKivBVhkdVoql7WIE3ufOFWVM1l3F+n5f3nANuSo nQNkEj45x8eP6Z3+T7ZHio3VFvODIGuNl/T2hMdOWfpF+PJVGk16JI0js1XP1R+KbJTzAWvJpiiyZHPPEpT9pdVw7A52SUgohPhiGlp7kCPCGMcPtzQyjWf0Gbt DVNoY+3HW5iKtoLGd042sqfys2T+XCtLlcnpxujy+7ymKssRbmPQ9mRGmN404Hkhzb26hmMSxlFPTjywPSrE/GDj+E5ETc5YOq69bAsxDRjHvZmJm50CAwEA AQ== -----END PUBLIC KEY----- 暗号鍵を作成 (256bit) $ openssl rand 32 > aes_key.bin 作成した暗号鍵をパブリック・キーでラッピングする > wrappedkey.bin (BYOK ) $ openssl pkeyutl -encrypt -in "aes_key.bin" -inkey "public.pem" -pubin -out "wrappedkey.bin" -pkeyopt rsa_padding_mode:oaep - pkeyopt rsa_oaep_md:sha256
  10. 10 Copyright © 2020 Oracle and/or its affiliates. BYOK キーのシェイプは256ビット

    wrappedkey.binを選択して インポートする
  11. 11 Copyright © 2020 Oracle and/or its affiliates. BYOK

  12. 12 Copyright © 2020 Oracle and/or its affiliates. BYOK KMS

    Allow service blockstorage, objectstorage- <region_name>, FssOc1Prod to use keys in compartment ABC where target.key.id = '<key_OCID>'
  13. 13 Copyright © 2020 Oracle and/or its affiliates. BYOK オブジェクトストレージ作成時に

    “顧客管理キーを使用した暗号化”を選択
  14. None