暗号化の計画

暗号化の計画には、システム上でその機能の使用可能化を行うことが含まれます。USB 暗号化または鍵サーバー暗号化のどちらかをシステムで使用可能にすることができます。システムは、鍵サーバーを使用した暗号化を有効にするために、IBM Security Key Lifecycle Manager バージョン 2.6.0 以降をサポートしています。

ドライブに格納されているデータを暗号化するには、暗号化に対応しているノードが、暗号化を使用するよう構成されている必要があります。システムで暗号化が有効になっている場合、システムがドライブのロックを解除する際、あるいはユーザーが新しい鍵を生成する際に、システム上に有効な暗号鍵が存在している必要があります。USB 暗号化がシステムで有効である場合、暗号鍵は、暗号化が有効なときに生成された鍵のコピーが入っている USB フラッシュ・ドライブに格納する必要があります。

暗号化を有効にする前に、システムで暗号鍵が存在することが必要な場合に鍵情報にアクセスする方式を決定する必要があります。システムでは、以下の操作時に暗号鍵が存在する必要があります。

システムの始動時
システム再始動時
ユーザーが開始した鍵再設定操作時

暗号化を計画する際には、いくつかの要因を考慮する必要があります。

システムの物理的セキュリティー
システムで必要とされる場合に暗号鍵に手動でアクセスする必要性とメリット
鍵データの可用性
システム上での暗号化の有効化

鍵サーバーの暗号化

鍵サーバーは、暗号鍵生成、バックアップや、インターオペラビリティーに役立つオープン・スタンダードの準拠など、使用するのが望ましい便利な機能を提供します。鍵サーバーの暗号化を計画する際には、以下の項目を検討することが重要です。

SSL 証明書: 証明書は、鍵サーバーがクライアントの認証に使用し (例えば、 IBM Spectrum Virtualize™)、鍵サーバーに保管されている鍵へのアクセスが許可されていることを確認するためにクライアントが鍵サーバーの認証に使用する基本的な方法です。クライアントの認証により、鍵サーバーは確実に、信頼できない利用者に鍵へのアクセス権限を付与しなくなります。鍵サーバーの認証により、クライアントは確実に、信頼できない利用者による機密鍵の保管を要求しなくなります。 IBM Spectrum Virtualize・システムには、IBM Security Key Lifecycle Manager サーバーと通信できるようにするためにサーバー証明書が必要です。鍵サーバーをプロビジョンするプロセスの一環として、ユーザーは、鍵サーバーの証明書を認証して、 IBM Spectrum Virtualizeにインストールするのに必要な認証局 (CA) 証明書をエクスポートする必要があります。すべての IBM Security Key Lifecycle Manager 鍵サーバーは、単一の CA 証明書 (すべての鍵サーバーに使用される) を使用するように構成されるか、個別の各鍵サーバーが独自の自己署名証明書を持つように構成することができます。さらに、ユーザーは各鍵サーバーにシステム証明書をインストールする必要があり、IBM Security Key Lifecycle Manager 管理者は鍵サーバーへのアクセス権限を IBM Spectrum Virtualize に付与するための証明書を受け入れることができます。鍵サーバー暗号化の実装には、鍵を生成し、それらの鍵のリポジトリーの役目をする外部鍵サーバーが存在する必要があります。

IBM Spectrum Virtualizeの要件: 現時点では、1 つのタイプの鍵サーバーのみがサポートされます。 IBM Spectrum Virtualize は、クライアントとサーバー間の SSL 接続を介して送信される Key Management Interoperability Protocol (KMIP) を実装します。自己署名証明書および CA 署名証明書がサポートされます。 IBM Spectrum Virtualize は、サーバーの KMIP 証明書を検証し、KMIP 標準に準拠します。既存の SAS ハードウェアは、アンロックするために少なくとも 1 つのマスター鍵へのアクセスが必要であり、鍵サーバーのマスター鍵に応答できることも必要です。初回の鍵サーバー有効化は簡単な手順です。鍵サーバーの暗号化が有効になった後、タイプを構成して有効にし、サーバー・エンドポイントを作成してから、鍵を準備してコミットすることができます。

セキュリティー要件: すべての鍵サーバー通信のセキュリティーは TLS 1.2 プロトコルによって制御されます。暗号鍵は、TLS 1.2 を使用してシステムでクラスター化されます。 IBM Spectrum Virtualize は、OpenSSL ライブラリー・インターフェースを使用する AES-128 暗号化を使用します。

IP アドレスおよびポート

鍵サーバーと通信するすべてのノードには、サービス IP アドレスが構成されていなければなりません。ノードが鍵サーバーに接続を試行する候補になるには、そのノードにフル・サービス IP スタックが構成されている必要があります (アドレス、ゲートウェイ、マスク)。通常、鍵サーバーはプライベート LAN でセットアップされ、これにはサービス IP アドレスの適用が必要です。ノードのサブセットにのみサービス IP アドレスが設定されている場合、サービス IP アドレスがないそれらのノードは、ログにエラーを記録します。ユーザーが提供する IP アドレスは、 IBM Spectrum Virtualize が鍵サーバーとの通信に使用する IP アドレスでなければなりません。

各鍵サーバーには、そのアクセスに関連付けられる TCP ポートがあります。鍵サーバーは複数のクライアントを処理するので、 IBM Spectrum Virtualize は、ユーザーがサーバーごとに異なるポートを使用できるようにし、必要なときにこのポートのアクセスを使用可能にします。KMIP のサーバー適合性では、TCP ポート 5696 がサポートされることが規定されているので、これがサーバー・エンドポイントのデフォルト・ポートになります。

鍵生成ポリシーと鍵データベース

鍵サーバー暗号化が有効である場合、鍵サーバーはマスター鍵を生成して管理します。ノードがその他のすべての鍵を生成します。

鍵データベースは、使用される鍵サーバーのタイプに応じてクラスター化または非クラスター化にすることができます。非クラスター化鍵サーバーの場合、ユーザーは、鍵データベースのバックアップと複製を検討する必要があります。IBM Security Key Lifecycle Manager は、暗号鍵が IBM Security Key Lifecycle Manager インスタンス間で自動的に共有されるために複製を構成する必要がある鍵サーバー製品の例です。複製が構成されない場合、手動のバックアップ操作とリストア操作を使用する必要があります。その他の製品は自己複製できるので、他の鍵サーバー・インスタンスには自動的に新しい鍵が作成されます。IBM Security Key Lifecycle Manager の場合は、IBM Security Key Lifecycle Manager ユーザーズ・ガイドに従ってバックアップとリストアを実行してください。