Comments
Description
Transcript
よくある質問 Oracle Key Vault
Oracle Key Vault FAQ よくある質問 Oracle Key Vault Q: Windows または Solaris 上に Oracle Key Vault ソフトウェア・ア プライアンスをデプロイすることはできますか。 A: Oracle Key Vault をデプロイできるのは、ベア・メタル・サーバー に対してのみです。Windows や Solaris などの OS やソフトウェ Oracle Key Vault は暗号化鍵、Oracle Wallet、Java キーストア、資格証 アがすでにインストールされている場合、インストール・プロセ 明ファイルを堅牢な方法で一元管理することで、暗号化を含むセキュ スによって削除されます。これがあてはまるのは Oracle Key リティ・ソリューションの容易なデプロイを可能にします。このドキュ Vault アプライアンスに対してのみであり、サーバー・エンドポ メントでは、Oracle Key Vault についてのよくある質問に回答します。 イントの OS が何であっても関係ありません。 インストール要件とハードウェア要件 Q: Oracle 仮想マシン上で Oracle Key Vault を実行できますか。 Q: Oracle Key Vault ソフトウェアはどこでダウンロードできますか。 A: A: Oracle Key Vault は、Oracle Software Delivery Cloud からダウン または Oracle VirtualBox 上で実行することは可能です。ただし、 ロードできます。 本番のデプロイでは、専用の物理ハードウェア上に Oracle Key Vault をインストールする必要があります。それ以外の場合、VM https://edelivery.oracle.com に移動します。 管理者が、Oracle Key Vault 内部に保存された鍵やシークレット 次の製品パックを選択します:Oracle Key Vault (12.1.0.0.0) Media にアクセスできる可能性があります。 Pack v1 Q: 推奨されるハードウェア仕様を教えてください。 A: テストまたは概念実証のために、Oracle Key Vault を Oracle VM Q: Oracle Database Appliance または Oracle Exadata に Oracle Key Vault をインストールすることはできますか。 CPU:最小 - 86-64 コア 2 基、推奨 - 暗号化アクセラレーショ ン・サポート(インテル® AES-NI)付きのコア 2 基以上 A: いいえ、できません。現時点では、Oracle Key Vault は Oracle Database Appliance および Exadata で認定されていません。ただ メモリ:最小 4GB の RAM し、Oracle Database Appliance や Exadata が使用する鍵を管理 ディスク:最小 500GB のハード・ディスク するために Oracle Key Vault を使用することはできます。 ハードウェアの互換性:Oracle Linux Release 5 Update 10 のハー ドウェア互換性リスト(HLC)を参照してください。HCL は、 https://linux.oracle.com/ デプロイ hardware-certifications から参照できます。 Q: エンドポイント・ソフトウェアのダウンロード方法とデプロイ方 法を教えてください。 Q: ソフトウェア・アプライアンスのインストールの仕組みを教えて ください。 A: A: Oracle Key Vault を使用して鍵やシークレットを格納するデータ Oracle Key Vault はソフトウェア・アプライアンスとしてパッ ベース・サーバー、ミドルウェア・サーバー、システムは、エン ケージ化されています。つまり、まったく何もインストールされ ドポイントと呼ばれます。Oracle Key Vault 管理コンソールは、 ていないハードウェアに製品をインストールするために必要な 必要なエンドポイント・ソフトウェアをダウンロードおよびプロ ものすべて(オペレーティング・システムを含む)が含まれてい ビジョニングするためのシームレスなメカニズムを提供します。 ます。 管理者がエンドポイントを追加すると、Oracle Key Vault が自動 インストール中は、インストーラが完全にハードウェアを制御し、 ディスクのパーティション化とフォーマットに加えて、ベース OS、ユーザースペース・ライブラリ、Oracle Database、Oracle Key Vault ソフトウェアなどをインストールします。また、ユーザー の介入を最小限に抑えて、すべてのソフトウェア(OS、ネット ワーク、データベース)を自動的に構成します。オペレーティン グ・システム、ネットワーク、データベースなどは、システム強 化のベスト・プラクティスに従って強化されます。不要なパッ ケージとソフトウェアは削除され、未使用のサービスとポートは 無効化されます。 的にワンタイムの登録トークンを生成します。DBA などのエン ドポイント管理者は、この登録トークンを使ってエンドポイン ト・ソフトウェアをダウンロードします。エンドポイント・ソフ トウェア・パッケージには、必要なバイナリと構成ファイルがす べて含まれており、エンドポイントと Oracle Key Vault 間に相互 認証されたセキュアな接続を確立するための TLS 証明書も含ま れています。Oracle Key Vault は信頼できる環境内での自己登録 に対応しており、管理者の介入を最小限に抑えます。 Oracle Key Vault FAQ 証明ファイルのサイズが 128KB 未満である必要があります。 Q: 透過的データ暗号化(TDE)を、Oracle Wallet にマスター鍵を保 存する方法から Oracle Key Vault を使用する方法に変更するのは 簡単ですか。 A: Q: Oracle Key Vault で鍵やウォレット、キーストアを共有する方法 を教えてください。 A: イントと一連の鍵およびシークレット間にアクセス制御ポリ Oracle Database で TDE を使っている場合、 Oracle Key Vault は、 シーを定義できます。一連のサーバー・エンドポイントはエンド ローカル・ウォレット・ファイルを使用する代わりに、直接ネッ ポイント・グループとして定義され、Oracle Key Vault 内の一連 トワーク接続を介して TDE マスター鍵を一元管理します。既存 の鍵およびシークレットは仮想"ウォレット"と呼ばれます。仮想 の TDE マスター鍵を Oracle Wallet から Oracle Key Vault に移行 ウォレットを 1 つのエンドポイント・グループに割り当てると、 するのは簡単です。実行するには、ALTER SYSTEM MIGRATE また すべてのサーバー・エンドポイントが仮想ウォレット内のコンテ は ADMINISTER KEY MANAGEMENT MIGRATE のいずれかの SQL ンツにアクセスできるようになります。この共有手法は、クラス コマンドを発行します。詳しくは、Oracle Key Vault ドキュメン トを参照してください。 Q: Oracle Key Vault は、エンドポイントでの暗号化パフォーマンス に影響を及ぼしますか。 A: タ化されたデータベースやミドルウェア・サーバーで有用です。 Q: Oracle Key Vault で Oracle Wallet を管理する方法を教えてください。 A: Oracle データベース・サーバーとクライアントは、Oracle Wallet を使って、 Oracle Advanced Security の TDE マスター鍵や証明書、 いいえ、Oracle Key Vault による暗号化パフォーマンスへの直接 サーバー・パスワード、接続文字列を格納します。Oracle Wallet 的な影響はありません。 は標準 PKCS #12 ファイルであり、パスワードから生成された暗 号化鍵で保護されています。Oracle Key Vault は、Oracle Wallet Q: 既存のエンドポイントにはどのくらいの停止時間が必要になり A: Oracle Key Vault 管理者は、関連する一連のサーバー・エンドポ ますか。 のコンテンツを項目化したものを一元的に格納し、管理します。 エンドポイントにある Oracle Wallet または Java キーストアを これにより、サーバー・クラスタ間でウォレット・コンテンツの 共有と、ウォレット・コンテンツへのアクセス監査が可能になり Oracle Key Vault にアップロードする場合、停止時間は必要あり ます。ソフトウェア・アプライアンス内の鍵は、Oracle Database ません。Oracle データベース・エンドポイントの TDE マスター に搭載された複数のセキュリティ・テクノロジーを使用して保護 鍵を Oracle Wallet から Oracle Key Vault に移行する場合、スタン されます。また、Oracle Key Vault は Java キーストアとその他の ドアロン構成ではウォレットのクローズ/オープンが必要になり、 資格証明ファイルを管理します。 共有サーバー構成ではデータベースの再起動が必要になります。 Q: Oracle Key Vault に格納して管理できる鍵の数を教えてくだ さい。 機能 Q: Oracle Key Vault でサポートされている Oracle Database とミド ルウェアのバージョンを教えてください。 A: A: Q: Oracle Key Vault で管理できるサーバー・エンドポイントの数を 教えてください。 Oracle Key Vault でサポートされているのは、Linux および Solaris オペレーティング・システムでサポートされているすべての Oracle Database リリースと Oracle ミドルウェア・リリースを使 A: す(4GB メモリを搭載したサーバーで実施)。ほとんどのエンド Oracle Key Vault 間の直接接続がサポートされているのは、Linux ポイントは断続的にしかアプライアンスに接続しないため、 および Solaris 上の Oracle Database 11g Release 2 と Oracle Oracle Key Vault は 1,000 を超えるエンドポイントを容易にサ Database 12c です。 教えてください。 A: Oracle Key Vault は、Oracle Wallet と Java キーストア(JKS および ポートできます。 Q: Oracle Key Vault を使ってデータを暗号化できますか。 A: る責任はエンドポイントに任されていますが、Oracle Key Vault 1.5、1.6、7 を使った Java キーストアがテストされています。 ください。 A: Oracle Key Vault には、Kerberos キータブや SSH 鍵の格納ファイ ルなど、任意の資格証明ファイルを格納できます。技術的には、 一元管理する資格証明ファイルはどのようなファイルでも構い ません。Oracle Key Vault にアップロードするには、1 つの資格 Oracle Key Vault は、データを暗号化するエンドポイントに対し て、鍵とシークレットの管理のみを行います。データを暗号化す JCEKS)の鍵格納ファイルをサポートしています。Oracle JDK 1.4、 Q: Oracle Key Vault に格納できる資格証明ファイルの種類を教えて Oracle Key Vault は、100 種類以上のサーバー・エンドポイント によるアプライアンスへの同時アクセス・テストに成功していま 用した Oracle Wallet のアップロードとリストアです。TDE と Q: Oracle Key Vault でサポートされている鍵格納ファイルの種類を Oracle Key Vault には、数十万個の鍵を格納して管理できます。 で管理対象の鍵を暗号化することもできます。 Q: Oracle Key Vault で DBMS_CRYPTO 鍵を管理できますか。 A: いいえ、現時点では、Oracle Key Vault を使って DBMS_CRYPTO 鍵を管理することはできません。 Oracle Key Vault FAQ セキュリティ Oracle Key Vault は、手動によるアプライアンスのバックアップ Q: Oracle Key Vault はどのような方法で鍵とシークレットを保護し と、スケジュール設定による自動バックアップの両方をサポート A: ていますか。 しています。バックアップ・プロセスは内部のバックアップ・ス Oracle Key Vault は Oracle Database に搭載された各種のセキュ クリプトを実行し、バックアップ・ファイルを暗号化してから、 セキュアな接続を介して、自動的に暗号化バックアップ・ファイ リティ・テクノロジーを使用して、格納している鍵とシークレッ ルをリモートの宛先に移動します。詳しくは、Oracle Key Vault ト を 保 護 し て い ま す 。 使 用 す る テ ク ノ ロ ジ ー に は 、 Oracle ドキュメントを参照してください。 Advanced Security Transparent Data Encryption 、 Oracle Database Vault、Oracle Virtual Private Database が含まれます。 また、格納している鍵とシークレットへのすべてのアクセスを監 査しています。 Q: 鍵転送のセキュリティにはどのプロトコルが使用されますか。 A: 詳細情報 Q: 詳しい情報はどこで入手できますか。 A: 製品データ・シートや、よくある質問、ビデオを含む Oracle Key Vault の参考資料と補足資料は、 Oracle.com と Oracle Technology データベース・サーバーやミドルウェア・サーバーなどのエンド Network(OTN)の Web ページから参照できます。 ポイントは、Oracle Key Vault との通信に、相互認証されたセキュ アな TLS 転送をポート 5696 経由で使用します。ブラウザ・ベー Q: 外部にディスカッション・フォーラムはありますか。 スの Oracle Key Vault 管理コンソールは、HTTPS(ポート 443) A: を使用します。 現時点ではディスカッション・フォーラムはありません。作成さ れ次第、OTN の「データベース・セキュリティ」カテゴリの Oracle Key Vault ページを更新する予定です。告知については、Oracle 高可用性とバックアップ の鍵管理のブログ(https://blogs.oracle.com/keymanagement/) Q: Oracle Key Vault は高可用性をサポートしていますか。 を参照してください。このブログにはコメントや質問を直接投稿 A: できます。 Oracle Key Vault は、高可用性とディザスタ・リカバリを目的と したプライマリおよびスタンバイ構成をサポートしています。 Q: この製品について、さらに詳しく学習するにはどうすればいいで すか。 高可用性デプロイについて、詳しくは『Oracle Key Vault 管理者 ガイド』を参照してください。 A: Q: Oracle Key Vault アプライアンスをバックアップする方法を教え てください。 製品の補足資料は以下のページを参照してください。 http://www.oracle.com/technetwork/jp/database/options/keymanagement/overview/index.html A: Oracle Corporation, World Headquarters 海外からのお問い合わせ窓口 500 Oracle Parkway 電話:+1.650.506.7000 Redwood Shores, CA 94065, USA ファクシミリ:+1.650.506.7200 Copyright © 2014, Oracle and/or its affiliates.All rights reserved.本文書は情報提供のみを目的として提供されており、ここに記載され ている内容は予告なく変更されることがあります。本文書は一切間違いがないことを保証するものではなく、さらに、口述による 明示または法律による黙示を問わず、特定の目的に対する商品性もしくは適合性についての黙示的な保証を含み、いかなる他の保 証や条件も提供するものではありません。オラクル社は本文書に関するいかなる法的責任も明確に否認し、本文書によって直接的 または間接的に確立される契約義務はないものとします。本文書はオラクル社の書面による許可を前もって得ることなく、いかな る目的のためにも、電子または印刷を含むいかなる形式や手段によっても再作成または送信することはできません。 Oracle および Java は Oracle およびその子会社、関連会社の登録商標です。その他の名称はそれぞれの会社の商標です。 Intel および Intel Xeon は Intel Corporation の商標または登録商標です。すべての SPARC 商標はライセンスに基づいて使用される SPARC International, Inc.の商標または登録商標です。AMD、Opteron、AMD ロゴおよび AMD Opteron ロゴは、Advanced Micro Devices の商標または登録商標です。UNIX は、The Open Group の登録商標です。0514