SME キー管理に関する情報
SME キー管理についての次の項目を取り上げます。
キー階層について
SME には、セキュリティ キーの階層を使用して暗号化データを保護するための、包括的でセキュアなシステムが含まれています。最高レベルのキーは、クラスタの作成時に生成されるマスター キーです。すべてのクラスタには固有のマスター キーがあります。SME テープでは、マスター キーはテープ グループ ボリューム キーを暗号化し、テープ グループ ボリューム キーはキー ラッピングを使用してテープ ボリューム キーを暗号化します。SME ディスクでは、マスター キーはキー ラッピングを使用してディスク キーを暗号化します。
回復用に、マスター キーは、パスワードで保護されたファイルまたは 1 つ以上のスマート カードに保存できます。クラスタの状態が Archived(キー データベースがアーカイブ済み)であるときにキーを回復しようとする場合に、それらのマスター キー ファイルまたはスマート カードが必要です。マスター キーは、MSM-18/4 モジュールまたはスマート カードを改ざんすることで不適切に取り出すことはできません。
キーは暗号化データを守る上で不可欠であり、セキュリティ侵害を受けないようにする必要があります。キーは Cisco Key Management Center に保存する必要があります。また、固有のテープ キーはテープ カートリッジに直接保存することもできます。キーは、グローバル固有 ID(GUID)により、システム全体で識別されます。
SME キー管理システムには、SME テープ用の以下のタイプのキーがあります。
- マスター キー
- テープ ボリューム グループ キー
- テープ ボリューム キー
すべてのバックアップ テープには、関連するテープ ボリューム キー、テープ ボリューム グループ キー、およびマスター キーがあります。
SME キー管理システムには、SME ディスク用の以下のタイプのキーがあります。
マスター キー
SME クラスタが作成されると、セキュリティ エンジンはマスター キーを生成します。1 つのファブリックで複数のクラスタをホストできるということを考えると、たとえば、同じ組織内の複数のビジネス グループのニーズをサポートするためには、クラスタと同数のマスター キーが存在することになります。各マスター キーは固有であり、すべてのクラスタ メンバー間で共有されます。マスター キーはテープ ボリューム グループ キーをラップするために使用されます。
テープ ボリューム グループ キー
テープ ボリューム グループ キーは、テープ ボリューム キー(同じテープ ボリューム グループに属するすべてのテープを暗号化するキー)の暗号化と認証に使用されます。テープ ボリューム グループは、一連のバックアップ テープのバーコード範囲に基づいて作成することも、特定のバックアップ アプリケーションに関連付けることもできます。テープ ボリューム グループ キーは、セキュリティを向上させる場合や、キーのセキュリティが侵害された場合など、状況に応じてキー再生成が行われます。
テープ ボリューム キー
テープ ボリューム キーは、テープ上のデータの暗号化と認証に使用されます。
固有キー モードでは、テープ ボリューム キーは物理テープごとに固有であり、Cisco KMC またはテープに保存できます。Cisco KMC データベースは、キーがテープ自体に保存されている場合は、テープ ボリューム キーを保存する必要はありません。テープにキーを保存することを選択すると、Cisco KMC に保存するキーの数を大幅に減らすことができます。
共有キー モードでは、ボリューム グループにあるすべてのボリュームの暗号化に使用される 1 つのテープ ボリューム キーがあります。
ディスク キー
ディスク キーは、ディスク上でデータを暗号化および復号化するために使用されます。
Cisco Key Management Center について
Cisco Key Management Center(Cisco KMC)は、アクティブなアーカイブ済みのキーをキー データベースに保存するための集中制御システムです。Cisco KMC に保存されるキーは、マスター キーなしでは使用できません。テープ ボリューム キーが増大する可能性に対応するため、SME では、テープ ボリューム キーをテープ自体に保存するオプションを提供しています。この場合、Cisco KMC はテープ ボリューム グループ キーを保存します。
このオプションでは、Cisco KMC に保存されるキーの数を減らすことで、管理対象のテープの数は飛躍的に増えます。ただし、このオプションは、後からキーを消去する機能が制限されています。
Cisco KMC には、次の利点があります。
- Centralized Key Management により、テープ キーをアーカイブ、消去、回復、および配布します。
- 導入要件に従って DCNM-SAN サーバに統合されます。
- AAA メカニズムを使用した統合アクセス制御。
(注) Cisco KMC はキーの更新を監視し、TCP ポート上でスイッチからの要求を取得します。デフォルト ポートは 8800 です。ただし、ポート番号は smeserver.properties ファイルで変更できます。
マスター キーのセキュリティ モードについて
保存されている暗号化データを特定のテープから回復するには、特定のテープ カートリッジ用に作成されたキーにアクセスする必要があります。マスター キーは他のすべてのキーの保護に使用されるため、SME は、マスター キーを保護するための、Basic、Standard、Advanced の、3 つのマスター キー セキュリティ モードを備えています。クラスタの設定中に、マスター キーのセキュリティ レベルを指定します。Basic セキュリティでは、暗号化されたマスター キーをディスクに書き込みます。マスター キーのロックを解除するには、ファイルへのアクセス権が必要です。ファイルは暗号化され、マスター キーを取得するにはパスワードが必要になります。Standard および Advanced セキュリティ モードでは、マスター キーにアクセスするにはスマート カードの使用が必要です。Standard セキュリティを選択すると、マスター キーをロック解除するには 1 つのスマートカードが必要になります。クラスタ設定中に Advanced セキュリティを選択すると、マスター キーをロック解除するために必要なスマート カードの最小数を設定するように求められます。
表 7-1 では、マスター キーのセキュリティ モードを説明しています。
表 7-1 マスター キーのセキュリティ レベル
|
|
Basic |
マスター キーはファイルに保存され、パスワードを使用して暗号化されます。マスター キーを取得するには、ファイルとパスワードにアクセスする必要があります。 |
Standard |
Standard セキュリティでは、1 つのスマート カードが必要です。クラスタを作成してマスター キーを生成するときに、スマート カードを求められます。次にマスター キーがスマート カードに書き込まれます。マスター キーを取得するには、スマート カードとスマート カードの暗証番号が必要です。 |
Advanced |
Advanced セキュリティでは、5 つのスマート カードが必要です。クラスタを作成して Advanced セキュリティ モードを選択するときには、データ取得の必要がある場合にマスター キーを回復するために必要なスマート カードの数(5 つのスマート カードのうちの 2 つまたは 3 つ、あるいは 3 つのスマート カードのうちの 2 つ)を指定します。たとえば、「5 つのスマート カードのうちの 2 つ」と指定すると、マスター キーの回復には 5 つのスマート カードのうちの 2 つが必要になります。それぞれのスマート カードは、SME リカバリ責任者が所有しています。
(注) マスター キーを回復するために必要なスマート カードの数が大きければ、それだけセキュリティは向上します。ただし、スマート カードを紛失したり破損したりすると、マスター キーの回復に使用できるスマート カードの数は減ります。
|
キー管理設定について
テープ ボリューム グループの作成時に、キー管理設定をイネーブルまたはディセーブルにするかどうかを判断する必要があります。
表 7-2 では、キーの設定、検討事項、および特定の設定を選択した場合に消去できるキーのタイプについて説明しています。すべてのキーの設定は、クラスタ レベルで行います。
(注) 次に示すキー管理設定表は、SME テープのみに適用されます。
表 7-2 キー管理設定
|
|
|
共有 |
共有キー モードでは、テープ ボリューム グループ キーのみが生成されます。テープ ボリューム グループの一部であるすべてのテープ ボリュームは、同じキーを共有します。 |
Cisco KMC キー データベース :テープ ボリューム グループ キーのみを保存する、小規模なデータベースです。 セキュリティ :普通。1 つのテープ ボリューム グループ キーのセキュリティが侵害されると、そのテープ ボリューム グループを構成するすべてのテープにあるデータが危険にさらされます。 消去 :ボリューム グループ レベルでのみ使用可能です。 |
固有キー |
固有キー モードでは、各テープが独自の固有キーを持ちます。 デフォルト値はイネーブルです。 |
Cisco KMC キー データベース :テープ ボリューム グループ キーおよびすべての固有なテープ ボリューム キーを保存する、大規模なデータベースです。 セキュリティ :高。テープ ボリューム キーのセキュリティが侵害されても、他のテープ ボリューム上のデータの整合性が危険にさらされることはありません。 消去 :ボリューム グループとボリューム レベルで使用可能です。 |
キーオンテープの固有キー |
キー テープ モードでは、固有の各テープ ボリューム キーは、個別のテープに保存されます。 最もセキュアでスケーラブルなキー管理システムを設定するには、キーオンテープを(固有キー モードの選択時に)選択できます。 デフォルト値は [disabled] です。 (注) キーオンテープ モードを有効にすると、テープ メディアに保存されるキーは、テープ ボリューム グループの ラップ キーで暗号化されます。 |
Cisco KMC キー データベース :Cisco KMC キー データベースのサイズを縮小することで、多数のテープ ボリュームをサポートする拡張性が向上します。Cisco KMC には、テープ ボリューム グループ キーのみが保存されます。 セキュリティ :高。テープ ボリューム キーのセキュリティが侵害されても、他のテープ ボリューム上のデータの整合性が危険にさらされることはありません。 消去 :ボリューム グループ レベルで使用可能です。 |
テープのリサイクル
テープ リサイクルをイネーブルにすると、テープのラベルが再作成され、新しいキーが作成されて Cisco KMC と同期すると、テープ ボリュームの古いキーは Cisco KMC から消去されます。再作成される予定の、以前のバックアップ データ用の古いキーが不要な場合には、この設定を選択する必要があります。
デフォルト設定は [Yes] です。このオプションを [No] に設定することは、テープ複製が SME テープ グループ外で実行される場合にのみ必要です。
高可用性 Key Management Center について
Cisco KMC サーバは、高可用性と信頼性を実現する KMC サーバ(KMS)のペアで構成されています。これらの高可用性サーバは、同期と冗長性によって、ダウンタイムとデータ損失の両方を回避できます。KMS は、同じデータベースを指すプライマリとセカンダリの KMC サーバで構成されます。
高可用性を実現するために、どちらの KMS も同じ Oracle 11g Enterprise インストールを使用する必要があります。Oracle 11g Enterprise インストールをそれら 2 つのサーバにインストールし、Oracle Active Data Guard を使用して同期する必要があります。
各 SME クラスタは、プライマリおよびセカンダリ KMC サーバで設定されます。プライマリ サーバはセカンダリ サーバに優先します。
クラスタはプライマリ サーバに接続していますが、なんらかの障害の兆候があると、セカンダリ サーバに接続します。クラスタは、プライマリ サーバが使用可能であるかを定期的に確認し、プライマリ サーバが使用可能になったら接続を再開します。
クラスタ内のすべてのスイッチは、同じ KMC サーバを使用します。スイッチがセカンダリ サーバに接続すると、セカンダリ サーバにクラスタ全体が自動的にフェールオーバーします。クラスタ内のスイッチは、プライマリ サーバが使用可能になればそれにフェールオーバーします。
(注) プライマリおよびセカンダリ サーバをクラスタの作成時に設定するか、または作成したクラスタのキー マネージャ設定を更新します。
データセンター間でのキーの自動キー レプリケーションについて
(注) データセンター間でのキーの自動キー レプリケーションは、SME テープのみに適用されます。
メディア キーの自動レプリケーションにより、データセンター間でテープを移動させることができます。キーのレプリケーションにより、同じテープ メディアを複数の SME クラスタでアクセスできるようになります。たいていの場合、SME クラスタは、プライマリ データセンターやディザスタ リカバリ サイトなど、さまざまな場所にあります。SME により、ユーザはメディア キーを 1 つの SME クラスタから 1 つ以上のクラスタに自動的に複製することができます。キーを自動的に複製するプロセスにより、手動でのキーのエクスポートとインポートの手順が不要になります。メディア キーの自動レプリケーションは、テープ ボリューム グループ単位で設定されます。
1 つの KMC ですべてのデータセンターを管理し、複製されたキーは KMC に保存されます。
メディアのキーの変換
各クラスタは、変換コンテキストに関連付けられます。変換コンテキストには、いずれかのクラスタの暗号モジュールによって生成されたキー ペアの公開キーが含まれています。
レプリケーション関係は、異なるクラスタにあるボリューム グループの間で設定され、宛先クラスタのレプリケーション コンテキストを取得する必要があります。クラスタ間でこの関係がセットアップされると、ソース クラスタでキーが生成される場合はいつでも、そのキーは宛先クラスタ向けに自動的に変換されます。
キーの変換はスケジュールされたプロセスであり、プリセットされた頻度に基づいて、期間内に生成されたすべてのキー ペアは、宛先クラスタ向けに変換されます。最後のジョブ開始時刻以降の、生成されてレプリケーションがスケジュールされているすべてのキーは、宛先クラスタの公開キーであるレプリケーション コンテキストを使用して変換されます。
データセンター間のキー レプリケーションには、キー階層の変換が必要です。ソース クラスタからのキーは、宛先クラスタの公開キーを使用して変換されてから、宛先クラスタに送信されます。宛先クラスタで、キーは宛先クラスタの秘密キーでアンラップされ、次に宛先クラスタのキー階層でラップされます。
アカウンティング ログ情報について
この項では、KMC アカウンティング ログ メッセージについて説明します。
DCNM-SAN ログ ディレクトリ内の accounting.log ファイルは、KMC アカウンティング ログ メッセージを表示します。アカウンティング ログには、キー関連操作、結果のステータス、および関連情報が記録されます。
ログ ファイルは、リレーショナル データベースに保存され、検索可能、アーカイブ可能、およびポータブルです。
ログ エントリは次の情報で構成されます。
- hostname:操作が実行されたホスト マシンの名前。
- timestamp:アカウンティング ログ システムにイベントが記録された時刻。
- username:操作に関連するユーザ名。
- clusterName:操作が実行されたクラスタの名前。
- clusterId:操作が実行されたクラスタの ID。
- operation:操作のタイプ。
- status:イベントがログに記録されたときの操作のステータス。
- details:操作のタイプに応じての、追加データ。