暗号化の計画

暗号化の計画には、システム上でその機能の有効化を行うことが含まれます。 システムでは、暗号化を構成するための 2 つの方式がサポートされます。システムでの暗号鍵の作成と管理を簡素化する集中型の鍵サーバーを使用できます。 セキュリティーのため、また鍵管理を簡素化するために、この方式の暗号鍵管理が推奨されます。さらに、システムは、USB フラッシュ・ドライブでの暗号鍵の保管をサポートしています。USB フラッシュ・ドライブ・ベースの暗号化を行うには、システムへの物理アクセスが必要であり、最小数のシステムを使用する環境で効果的です。USB フラッシュ・ドライブについて厳しいセキュリティー・ポリシーを必要とする組織の場合、携帯用メディア装置へのシステム・データの無許可の転送を防止するために、システムはこれらのポートの無効化をサポートします。そのようなセキュリティー要件がある場合は、鍵サーバーを使用して暗号鍵を管理してください。

ドライブに格納されているデータを暗号化するには、暗号化に対応しているノードが、暗号化を使用するよう構成されている必要があります。システムで暗号化が有効になっている場合、システムがドライブのロックを解除する際、あるいはユーザーが新しい鍵を生成する際に、システム上に有効な暗号鍵が存在している必要があります。

クラウド・ストレージにコピーされるデータを保護するのに暗号化を使用している場合、クラウド・アカウントは、常に、システム暗号化設定と同期されます。USB フラッシュ・ドライブと鍵サーバーの両方が構成されている場合、作成されるクラウド・アカウントは、それらの方式の両方をサポートします。一方の暗号化方式のみが構成されており、もう一方の方式が使用不可の場合、クラウド・アカウントは、残りの構成済み暗号化方式で暗号化をサポートします。クラウド・アカウントが暗号化を確実にサポートするようにするために、クラウド・アカウントの作成時に、アクティブな鍵を使用して一方または両方の方式を構成する必要があります。

クラウド・アカウントが一方の暗号方式で作成された場合、後で、2 番目の方式を構成することはできますが、構成中、クラウド・アカウントがオンラインになっている必要があります。2 番目の方式が構成された後で、クラウド・アカウントは両方の鍵プロバイダーをサポートします。

システムで暗号化を使用するには、暗号化を有効にして、鍵のコピーを作成する必要があります。SuperMicro ベースのサーバーの場合、暗号化を有効にする前に、信頼できるプラットフォーム・モジュールを構成する必要があります。

暗号化を有効にする前に、システムで暗号鍵が存在することが必要な場合に鍵情報にアクセスする方式を決定する必要があります。システムでは、以下の操作時に暗号鍵が存在する必要があります。
  • システムの始動時
  • システム再始動時
  • ユーザーが開始した鍵再設定操作時
  • システム・リカバリー
  • 自己暗号化ドライブの取り外しまたは交換
暗号化を計画する際には、いくつかの要因を考慮する必要があります。
  • システムの物理的セキュリティー
  • USB ポートおよびポータブル・メディアに関する追加のセキュリティー要件。ご使用の環境で USB ポートを無効にする必要がある場合は、鍵サーバーを使用して暗号鍵を管理してください。
  • システムで必要とされる場合に暗号鍵に手動でアクセスする必要性とメリット
  • 鍵データの可用性
  • 暗号化ライセンスの購入、アクティブ化、およびシステム上での有効化
  • システム上での暗号化の有効化
  • 鍵の作成および管理に IBM Security Key Lifecycle Manager を使用している場合は、バージョン 2.7.0 以降を使用していることを確認してください。バージョン 2.7 を使用している場合、システムは、1 つのマスター (1 次) 鍵サーバーと複数の 2 次鍵サーバーをサポートします。 ただし、複製は手動プロセスであり、鍵再設定操作中は複製が完了するまで鍵を使用できません。バージョン 3.0 以上を使用した場合、システムは複数のマスター鍵サーバーをサポートし、それらのサーバーは、構成済みのすべての鍵サーバーに自動的に鍵を複製します。
  • 鍵の作成および管理に Gemalto SafeNet KeySecure 鍵サーバーを使用している場合は、KeySecure 鍵サーバーへの認証のためにシステムにユーザー名とパスワードが必要であるかどうかを判別してください。これらの鍵サーバーに対してユーザー名とパスワードを使用してシステムを認証する予定の場合、KeySecure インターフェースで認証に使用するユーザー資格情報を構成する必要があります。KeySecure バージョン 8.10 以上の場合、管理者は、接続時にシステムを認証するためのユーザー名とパスワードを構成することができます。KeySecure バージョン 8.10 より前のバージョンでは、パスワードの使用はオプションです。

鍵サーバーの暗号化

鍵サーバーは、暗号鍵生成、バックアップや、インターオペラビリティーに役立つオープン・スタンダードの準拠など、使用するのが望ましい便利な機能を提供します。鍵サーバーの暗号化を計画する際には、以下の項目を検討することが重要です。

SSL 証明書
証明書は、鍵サーバーがクライアントの認証に使用し (例えば、システム・ノード)、鍵サーバーに保管されている鍵へのアクセスが許可されていることを確認するためにクライアントが鍵サーバーの認証に使用する基本的な方法です。クライアントの認証により、鍵サーバーは確実に、信頼できない利用者に鍵へのアクセス権限を付与しなくなります。鍵サーバーの認証により、クライアントは確実に、信頼できない利用者による機密鍵の保管を要求しなくなります。システムが IBM Security Key Lifecycle Manager サーバーと通信できるようにするには、サーバー証明書が必要です。鍵サーバーをプロビジョンするプロセスの一環として、ユーザーは、鍵サーバーの証明書を認証して、システムにインストールするのに必要な認証局 (CA) 証明書をエクスポートする必要があります。すべての IBM Security Key Lifecycle Manager 鍵サーバーは、 単一の CA 証明書 (すべての鍵サーバーに使用される) を使用するように構成されるか、個別の各鍵サーバーが独自の自己署名証明書を持つように構成することができます。さらに、ユーザーは各鍵サーバーにシステム証明書をインストールする必要があり、IBM Security Key Lifecycle Manager 管理者は鍵サーバーへのアクセス権限をシステムに付与するための証明書を受け入れることができます。鍵サーバー暗号化の実装には、鍵を生成し、それらの鍵のリポジトリーの役目をする外部鍵サーバーが存在する必要があります。
システム要件
現時点では、1 つのタイプの鍵サーバーのみがサポートされます。システムは、クライアントとサーバー間の SSL 接続を介して送信される Key Management Interoperability Protocol (KMIP) を実装します。自己署名証明書および CA 署名証明書がサポートされます。システムは、サーバーの SSL 証明書を検証し、KMIP 標準に準拠します。既存の SAS ハードウェアは、アンロックするために少なくとも 1 つのマスター鍵へのアクセスが必要であり、鍵サーバーのマスター鍵に応答できることも必要です。初回の鍵サーバー有効化は簡単な手順です。鍵サーバーの暗号化が有効になった後、タイプを構成して有効にし、サーバー・エンドポイントを作成してから、鍵を準備してコミットすることができます。
セキュリティー要件
すべての鍵サーバー通信のセキュリティーは TLS 1.2 プロトコルによって制御されます。暗号鍵は、TLS 1.2 を使用してシステムでクラスター化されます。システムは、OpenSSL ライブラリー・インターフェースを使用する AES-128 暗号化を使用します。
IP アドレスおよびポート

鍵サーバーと通信するすべてのノードには、サービス IP アドレスが構成されていなければなりません。ノードが鍵サーバーに接続を試行する候補になるには、そのノードにフル・サービス IP スタックが構成されている必要があります (アドレス、ゲートウェイ、マスク)。通常、鍵サーバーはプライベート LAN でセットアップされ、これにはサービス IP アドレスの適用が必要です。ノードのサブセットにのみサービス IP アドレスが設定されている場合、サービス IP アドレスがないそれらのノードは、ログにエラーを記録します。ユーザーが提供する IP アドレスは、システムが鍵サーバーとの通信に使用する IP アドレスでなければなりません。

各鍵サーバーには、そのアクセスに関連付けられる TCP ポートがあります。鍵サーバーは複数のクライアントを処理するので、システムは、ユーザーがサーバーごとに異なるポートを使用できるようにし、必要なときにこのポートのアクセスを使用可能にします。KMIP のサーバー適合性では、TCP ポート 5696 がサポートされることが規定されているので、これがサーバー・エンドポイントのデフォルト・ポートになります。

鍵生成ポリシーと鍵データベース

鍵サーバー暗号化が有効である場合、鍵サーバーはマスター鍵を生成して管理します。 ノードがその他のすべての鍵を生成します。

鍵データベースは、使用される鍵サーバーのタイプに応じてクラスター化または非クラスター化にすることができます。非クラスター化鍵サーバーの場合、ユーザーは、鍵データベースのバックアップと複製を検討する必要があります。IBM Security Key Lifecycle Manager は、暗号鍵が IBM Security Key Lifecycle Manager インスタンス間で自動的に共有されるために複製を構成する必要がある鍵サーバー製品の例です。複製が構成されない場合、手動のバックアップ操作とリストア操作を使用する必要があります。その他の製品は自己複製できるので、他の鍵サーバー・インスタンスには自動的に新しい鍵が作成されます。IBM Security Key Lifecycle Manager の場合は、IBM Security Key Lifecycle Manager ユーザーズ・ガイドに従ってバックアップとリストアを実行してください。

鍵サーバー暗号化の更新要件
7.8.0 より前のコード・レベル・システムで暗号化が有効になっており、システムがコード・レベル 7.8.x 以上に更新されている場合、USB 鍵再設定操作を行って、鍵サーバー暗号化を有効にする必要があります。管理 GUI を使用するか、chencryption コマンドを実行してから、鍵サーバー暗号化を有効にします。鍵再設定操作を実行するには、管理 GUI を使用するか、以下のコマンドを実行します。 
chencryption -usb newkey -key prepare
chencryption -usb newkey -key commit

鍵再設定操作は、7.8.x コード・レベル以上への更新が完了してから、鍵サーバー暗号化を有効にするまでに実行する必要があります。