キー管理サーバを使用する際の考慮事項と要件
外部キー管理サーバ( KMS )を設定する前に、考慮事項と要件を確認しておく必要があります。
KMIP の要件
StorageGRID は KMIP バージョン 1.4 をサポートしています。
アプライアンスノードと設定された KMS の間の通信には、セキュアな TLS 接続が使用されます。StorageGRID では、 KMIP で次の TLS v1.2 暗号をサポートしています。
-
TLS_ECDHE_RSA_with _AES_256_GCM_SHA384
-
TLS_ECDHE_ECDSA_With _AES_256_GCM_SHA384
ノード暗号化を使用する各アプライアンスノードに、サイト用に設定した KMS または KMS クラスタへのネットワークアクセスがあることを確認してください。
ネットワークのファイアウォールの設定で、各アプライアンスノードが Key Management Interoperability Protocol ( KMIP )の通信に使用するポートを介して通信できるようにする必要があります。デフォルトの KMIP ポートは 5696 です。
サポートされているアプライアンスはどれですか。
キー管理サーバ( KMS )を使用して、「ノード暗号化 * 」が有効になっているグリッド内の StorageGRID アプライアンスの暗号化キーを管理できます。この設定は、 StorageGRID アプライアンスインストーラを使用してアプライアンスをインストールするハードウェア構成の段階でのみ有効にできます。
アプライアンスをグリッドに追加したあとにノード暗号化を有効にすることはできません。また、ノード暗号化が有効になっていないアプライアンスでは、外部キー管理を使用できません。 |
StorageGRID アプライアンスおよびアプライアンスノードに対して設定したKMSを使用できます。
次のようなソフトウェアベース(アプライアンス以外)のノードでは、設定されたKMSを使用できません。
-
仮想マシン( VM )として導入されたノード
-
Linux ホストのコンテナエンジン内に導入されたノード
これらの他のプラットフォームに導入されたノードでは、データストアまたはディスクレベルで StorageGRID 外部の暗号化を使用できます。
キー管理サーバを設定する必要があるのはいつですか?
新規インストールの場合は、テナントを作成する前に Grid Manager で 1 つ以上のキー管理サーバをセットアップするのが一般的です。この順序により、ノード上に格納されるオブジェクトデータよりも先にノードが保護されます。
Grid Manager では、アプライアンスノードのインストール前またはインストール後にキー管理サーバを設定できます。
必要なキー管理サーバの数
1 つ以上の外部キー管理サーバを設定して、 StorageGRID システム内のアプライアンスノードに暗号化キーを提供できます。各 KMS は、 1 つのサイトまたはサイトグループにある StorageGRID アプライアンスノードに単一の暗号化キーを提供します。
StorageGRID は KMS クラスタの使用をサポートしています。各 KMS クラスタには、設定と暗号化キーを共有するレプリケートされた複数のキー管理サーバが含まれます。高可用性構成のフェイルオーバー機能が向上するため、 KMS クラスタをキー管理に使用することを推奨します。
たとえば、 StorageGRID システムに 3 つのデータセンターサイトがあるとします。1 つの KMS クラスタを設定して、データセンター 1 のすべてのアプライアンスノードともう 1 つの KMS クラスタのキーを取得し、他のすべてのサイトにあるすべてのアプライアンスノードのキーを取得することができます。2 つ目の KMS クラスタを追加すると、データセンター 2 とデータセンター 3 にデフォルトの KMS を設定できます。
非アプライアンスノード、またはインストール時に* Node Encryption *設定が有効になっていないアプライアンスノードには、KMSを使用できないことに注意してください。
キーをローテーションするとどうなりますか。
セキュリティのベストプラクティスとして、設定された各 KMS で使用される暗号化キーを定期的にローテーションすることを推奨します。
暗号化キーをローテーションするときは、 KMS ソフトウェアを使用して、最後に使用したバージョンのキーを同じキーの新しいバージョンにローテーションします。完全に別のキーに回転しないでください。
キーのローテーションは、 Grid Manager 内の KMS のキー名(エイリアス)を変更しては実行しないでください。代わりに、 KMS ソフトウェアのキーバージョンを更新してキーをローテーションしてください。以前のキーに使用したものと同じキーエイリアスを新しいキーに使用します。設定されている KMS のキーエイリアスを変更すると、 StorageGRID がデータを復号化できなくなる可能性があります。 |
新しいキーバージョンが利用可能になった場合:
-
このサービスは、 KMS に関連付けられているサイトにある暗号化されたアプライアンスノードに自動的に配信されます。キーが回転した後 1 時間以内に分配が行われる必要があります。
-
新しいキーバージョンが配布されたときに暗号化アプライアンスノードがオフラインになっている場合、ノードはリブート後すぐに新しいキーを受け取ります。
-
何らかの理由で新しいバージョンのキーを使用してアプライアンスボリュームを暗号化できない場合は、アプライアンスノードに対して* kms encryption key rotation failed *アラートがトリガーされます。このアラートの解決方法については、テクニカルサポートへの問い合わせが必要になることがあります。
アプライアンスノードは暗号化したあとに再利用できますか。
暗号化されたアプライアンスを別の StorageGRID システムにインストールする必要がある場合は、先にグリッドノードの運用を停止して、オブジェクトデータを別のノードに移動しておく必要があります。その後、StorageGRID アプライアンスインストーラを使用してを実行できます "KMS構成をクリアします"。KMS の設定をクリアすると、「ノード暗号化 * 」設定が無効になり、アプライアンスノードと StorageGRID サイトの KMS 設定の間の関連付けが解除されます。
KMS 暗号化キーにアクセスできないため、アプライアンスに残っているデータにはアクセスできなくなり、永続的にロックされます。 |