暗号化の計画

暗号化の計画には、システム上でその機能の使用可能化を行うことが含まれます。USB 暗号化または鍵サーバー暗号化、もしくはその両方をシステムで使用可能にすることができます。システムは、鍵サーバー暗号化のために IBM Security Key Lifecycle Manager バージョン 2.6.0 以降をサポートしています。

ドライブに格納されているデータを暗号化するには、暗号化に対応しているノードが、暗号化を使用するよう構成されている必要があります。システムで暗号化が有効になっている場合、システムがドライブのロックを解除する際、あるいはユーザーが新しい鍵を生成する際に、システム上に有効な暗号鍵が存在している必要があります。USB 暗号化がシステムで有効である場合、暗号鍵は、暗号化が有効なときに生成された鍵のコピーが入っている USB フラッシュ・ドライブに格納する必要があります。

クラウド・ストレージにコピーされるデータを保護するのに暗号化を使用している場合、クラウド・アカウントは、常に、システム暗号化設定と同期されます。USB フラッシュ・ドライブと鍵サーバーの両方が構成されている場合、作成されるクラウド・アカウントは、それらの方式の両方をサポートします。一方の暗号化方式のみが構成されており、もう一方の方式が使用不可の場合、クラウド・アカウントは、残りの構成済み暗号化方式で暗号化をサポートします。クラウド・アカウントが暗号化を確実にサポートするようにするために、クラウド・アカウントの作成時に、アクティブな鍵を使用して一方または両方の方式を構成する必要があります。

クラウド・アカウントが一方の暗号方式で作成された場合、後で、2 番目の方式を構成することはできますが、構成中、クラウド・アカウントがオンラインになっている必要があります。2 番目の方式が構成された後で、クラウド・アカウントは両方の鍵プロバイダーをサポートします。

暗号化を有効にする前に、システムで暗号鍵が存在することが必要な場合に鍵情報にアクセスする方式を決定する必要があります。システムでは、以下の操作時に暗号鍵が存在する必要があります。

システムの始動時
システム再始動時
ユーザーが開始した鍵再設定操作時
システム・リカバリー

暗号化を計画する際には、いくつかの要因を考慮する必要があります。

システムの物理的セキュリティー
システムで必要とされる場合に暗号鍵に手動でアクセスする必要性とメリット
鍵データの可用性
システム上での暗号化の有効化
Security Key Lifecycle Manager クローンの使用
IBM Security Key Lifecycle Manager バージョン 2.7.0 以降が、システムで作成される新しいクローン・エンドポイントに使用されることをお勧めします。

鍵サーバーの暗号化

鍵サーバーは、暗号鍵生成、バックアップや、インターオペラビリティーに役立つオープン・スタンダードの準拠など、使用するのが望ましい便利な機能を提供します。鍵サーバーの暗号化を計画する際には、以下の項目を検討することが重要です。

SSL 証明書: 証明書は、鍵サーバーがクライアントの認証に使用し (例えば、システム・ノード)、鍵サーバーに保管されている鍵へのアクセスが許可されていることを確認するためにクライアントが鍵サーバーの認証に使用する基本的な方法です。クライアントの認証により、鍵サーバーは確実に、信頼できない利用者に鍵へのアクセス権限を付与しなくなります。鍵サーバーの認証により、クライアントは確実に、信頼できない利用者による機密鍵の保管を要求しなくなります。システムが IBM Security Key Lifecycle Manager サーバーと通信できるようにするには、サーバー証明書が必要です。鍵サーバーをプロビジョンするプロセスの一環として、ユーザーは、鍵サーバーの証明書を認証して、システムにインストールするのに必要な認証局 (CA) 証明書をエクスポートする必要があります。すべての IBM Security Key Lifecycle Manager 鍵サーバーは、単一の CA 証明書 (すべての鍵サーバーに使用される) を使用するように構成されるか、個別の各鍵サーバーが独自の自己署名証明書を持つように構成することができます。さらに、ユーザーは各鍵サーバーにシステム証明書をインストールする必要があり、IBM Security Key Lifecycle Manager 管理者は鍵サーバーへのアクセス権限をシステムに付与するための証明書を受け入れることができます。鍵サーバー暗号化の実装には、鍵を生成し、それらの鍵のリポジトリーの役目をする外部鍵サーバーが存在する必要があります。

システム要件: 現時点では、1 つのタイプの鍵サーバーのみがサポートされます。システムは、クライアントとサーバー間の SSL 接続を介して送信される Key Management Interoperability Protocol (KMIP) を実装します。自己署名証明書および CA 署名証明書がサポートされます。システムは、サーバーの SSL 証明書を検証し、KMIP 標準に準拠します。既存の SAS ハードウェアは、アンロックするために少なくとも 1 つのマスター鍵へのアクセスが必要であり、鍵サーバーのマスター鍵に応答できることも必要です。初回の鍵サーバー有効化は簡単な手順です。鍵サーバーの暗号化が有効になった後、タイプを構成して有効にし、サーバー・エンドポイントを作成してから、鍵を準備してコミットすることができます。

セキュリティー要件: すべての鍵サーバー通信のセキュリティーは TLS 1.2 プロトコルによって制御されます。暗号鍵は、TLS 1.2 を使用してシステムでクラスター化されます。システムは、OpenSSL ライブラリー・インターフェースを使用する AES-128 暗号化を使用します。

IP アドレスおよびポート

鍵サーバーと通信するすべてのノードには、サービス IP アドレスが構成されていなければなりません。ノードが鍵サーバーに接続を試行する候補になるには、そのノードにフル・サービス IP スタックが構成されている必要があります (アドレス、ゲートウェイ、マスク)。通常、鍵サーバーはプライベート LAN でセットアップされ、これにはサービス IP アドレスの適用が必要です。ノードのサブセットにのみサービス IP アドレスが設定されている場合、サービス IP アドレスがないそれらのノードは、ログにエラーを記録します。ユーザーが提供する IP アドレスは、システムが鍵サーバーとの通信に使用する IP アドレスでなければなりません。

各鍵サーバーには、そのアクセスに関連付けられる TCP ポートがあります。鍵サーバーは複数のクライアントを処理するので、システムは、ユーザーがサーバーごとに異なるポートを使用できるようにし、必要なときにこのポートのアクセスを使用可能にします。KMIP のサーバー適合性では、TCP ポート 5696 がサポートされることが規定されているので、これがサーバー・エンドポイントのデフォルト・ポートになります。

鍵生成ポリシーと鍵データベース

鍵サーバー暗号化が有効である場合、鍵サーバーはマスター鍵を生成して管理します。ノードがその他のすべての鍵を生成します。

鍵データベースは、使用される鍵サーバーのタイプに応じてクラスター化または非クラスター化にすることができます。非クラスター化鍵サーバーの場合、ユーザーは、鍵データベースのバックアップと複製を検討する必要があります。IBM Security Key Lifecycle Manager は、暗号鍵が IBM Security Key Lifecycle Manager インスタンス間で自動的に共有されるために複製を構成する必要がある鍵サーバー製品の例です。複製が構成されない場合、手動のバックアップ操作とリストア操作を使用する必要があります。その他の製品は自己複製できるので、他の鍵サーバー・インスタンスには自動的に新しい鍵が作成されます。IBM Security Key Lifecycle Manager の場合は、IBM Security Key Lifecycle Manager ユーザーズ・ガイドに従ってバックアップとリストアを実行してください。

鍵サーバー暗号化の更新要件

7.8.0 より前のコード・レベル・システムで暗号化が使用可能になっており、システムがコード・レベル 7.8.x 以上に更新されている場合、USB 鍵再設定操作を行って、鍵サーバー暗号化を使用可能にする必要があります。管理 GUI を使用するか、chencryption コマンドを実行してから、鍵サーバー暗号化を使用可能にします。鍵再設定操作を実行するには、管理 GUI を使用するか、以下のコマンドを実行します。

chencyrption -usb newkey -key prepare
chencryption -usb newkey -key commit

鍵再設定操作は、7.8.x コード・レベル以上への更新が完了してから、鍵サーバー暗号化を有効にするまでに実行する必要があります。