StorageGRID はKMIP バージョン 1.4 をサポートしています。

"鍵管理相互運用性プロトコル仕様バージョン1.4"

ネットワーク ファイアウォール設定では、各アプライアンス ノードがキー管理相互運用性プロトコル (KMIP) 通信に使用されるポートを介して通信できるようにする必要があります。デフォルトの KMIP ポートは 5696 です。

ノード暗号化を使用する各アプライアンス ノードが、サイト用に構成した KMS または KMS クラスターへのネットワーク アクセス権を持っていることを確認する必要があります。

アプライアンス ノードと構成された KMS 間の通信には、安全な TLS 接続が使用されます。 StorageGRIDは、KMSまたはKMSクラスタへのKMIP接続を行う際に、KMSがサポートするものと、"TLSおよびSSHポリシー"使用しているもの。

StorageGRID は、接続時に KMS とプロトコルと暗号 (TLS 1.2) または暗号スイート (TLS 1.3) をネゴシエートします。利用可能なプロトコルバージョンと暗号/暗号スイートを確認するには、 `tlsOutbound`グリッドのアクティブな TLS および SSH ポリシーのセクション (*[構成] > [セキュリティ] [セキュリティ設定])。

キー管理サーバー (KMS) を使用して、グリッド内の ノード暗号化 設定が有効になっている任意のStorageGRIDアプライアンスの暗号化キーを管理できます。この設定は、 StorageGRIDアプライアンス インストーラを使用したアプライアンスのインストールのハードウェア構成段階でのみ有効にできます。

構成された KMS は、 StorageGRIDアプライアンスおよびアプライアンス ノードに使用できます。

構成された KMS は、次のようなソフトウェア ベース (アプライアンス以外) のノードには使用できません。

これらの他のプラットフォームに展開されたノードは、データストアまたはディスク レベルでStorageGRIDの外部の暗号化を使用できます。

新規インストールの場合、通常、テナントを作成する前に、グリッド マネージャーで 1 つ以上のキー管理サーバーを設定する必要があります。この順序により、オブジェクト データがノードに保存される前にノードが保護されることが保証されます。

アプライアンス ノードをインストールする前または後に、グリッド マネージャーでキー管理サーバーを構成できます。

StorageGRIDシステム内のアプライアンス ノードに暗号化キーを提供するように、1 つ以上の外部キー管理サーバーを設定できます。各 KMS は、単一のサイトまたはサイト グループのStorageGRIDアプライアンス ノードに単一の暗号化キーを提供します。

StorageGRID はKMS クラスターの使用をサポートしています。各 KMS クラスターには、構成設定と暗号化キーを共有する複数の複製されたキー管理サーバーが含まれています。高可用性構成のフェイルオーバー機能が向上するため、キー管理に KMS クラスターを使用することをお勧めします。

たとえば、 StorageGRIDシステムに 3 つのデータ センター サイトがあるとします。 1 つの KMS クラスターを構成してデータ センター 1 のすべてのアプライアンス ノードにキーを提供し、2 つ目の KMS クラスターを構成して他のすべてのサイトのすべてのアプライアンス ノードにキーを提供するといったことが可能です。 2 番目の KMS クラスターを追加すると、データセンター 2 とデータセンター 3 のデフォルトの KMS を構成できます。

アプライアンス以外のノードや、インストール時に ノード暗号化 設定が有効になっていなかったアプライアンス ノードでは、KMS を使用できないことに注意してください。

セキュリティのベストプラクティスとして、定期的に"暗号化キーをローテーションする"構成された各 KMS によって使用されます。

新しいキー バージョンが利用可能になると、次のようになります。

暗号化されたアプライアンスを別のStorageGRIDシステムにインストールする必要がある場合は、まずグリッド ノードを廃止して、オブジェクト データを別のノードに移動する必要があります。その後、 StorageGRIDアプライアンスインストーラを使用して "KMS構成をクリアする"。 KMS 構成をクリアすると、ノード暗号化 設定が無効になり、アプライアンス ノードとStorageGRIDサイトの KMS 構成間の関連付けが削除されます。