KeyControl 5.5.1から提供されるマルチテナントKMIPの仕組みとメリットについて

Entrust(旧HyTrust) KeyControlは、様々なプラットフォームで提供されている暗号化機能利用時に生成される暗号鍵を、KMIPというセキュアで暗号鍵の通信に準拠したプロトコルを用いて簡単に管理できるソフトウェアです。
KeyControlのバージョン5.4までは、暗号化機能を利用したい担当者がKeyControlの全体管理Web GUIへアクセスし、メニュー内からKMIPタブへ切り替えし、大まかに以下の操作を実施していました。

• KMIP機能の有効化
• KMIP通信で利用される証明書の生成、ダウンロード
• 生成された暗号鍵のキーライフサイクル操作実施(生成、削除など)

例えば、以下のケースであれば暗号化をしたい担当者A、B、CがそれぞれKeyControl管理WEB GUIへアクセスし、主にキーライフサイクル操作をしています。

もちろん、このケースでも暗号鍵の保存先としてKeyControlをご利用いただけますが、運用の中で以下のデメリットが出てきます。

• 一般的に管理者としては見られたくない、システム設定などの画面を担当者A、B、Cに見られてしまう
• 暗号鍵の保存場所はシステムや担当者ごとに分割されてはいないため、他の担当者が生成した暗号鍵の参照や操作ができてしまう

この課題を解決する方法として、KeyControl 5.5.1よりマルチテナントKMIPという機能が提供されました。

この機能を利用することで、暗号化を利用したい担当者をKeyControlの管理WEB GUIへアクセスさせることなく、それぞれの担当者ごとにKMIP部分に特化した独自のURLを生成しアクセスおよび暗号鍵の管理を実施させることができます。

マルチテナントKMIP機能は、KeyControl 5.5.1新規インストールではデフォルトで有効となっていますが、KeyControl 5.4からアップグレードした環境の場合には手動で有効化する必要があります。
KeyControl 5.4から5.5.1へアップグレードが完了すると、KMIPタブ内にGet KMIP Multi-Tenancy Nowというボタンが表示されています。

このボタンをクリックすることで、従来のKMIP方式からマルチテナントKMIP方式へ切り替えが可能です。
マルチテナントKMIP方式へ変換することなく、従来のKMIP方式を使い続けることは可能ですが、5.5.1以降へバージョンアップする際にはマルチテナントKMIP方式が必須となるため、方式の変更を推奨しています。
Get Started Nowより処理を開始します。

まずは、テナント名を指定します。

次に、作成するKMIPテナントへログインするユーザの指定を行います。
Local User Authenticationを選択した場合、KeyControlで用意したローカルユーザを用いて認証を行います。
Managed Authenticationを選択した場合、ドメインコントローラと連携しドメインユーザを用いて認証を行います。

例えばManaged Authenticationを選択し、すでにドメインコントローラがKeyControlへ登録されている場合には、認証に使用するユーザまたはグループを指定、

そして、テナント管理者用のメールアドレスを指定します。

認証方式としてLocal User Authenticationを選択した場合、ログインに使用するユーザおよびパスワードを作成します。

この状態でContinueをクリックすると、テナントの作成が行われ、暗号鍵の移動が開始されます。

暗号鍵の移行が完了すると、以下のように終了したことを示すポップアップメッセージが出力されます。

WEB GUIが自動的に更新され、従来のKMIP画面からマルチテナントKMIP画面に変更されたことが確認できます。

それでは、実際に作成したテナントのKMIP管理画面へログインしてみましょう。
Tenant Loginに出力されているURLをクリックまたはCopy URLよりURLを取得し、アクセスを行います。
すると、KMIP用のサインイン画面へ遷移します。

今回、ドメインコントローラにて認証を行っているので、ドメインユーザを指定しログインを行います。

サインインすると、このようにKMIP機能部分に特化した専用のWEB GUIが参照でき、以下の3つの画面へ遷移することができます。

• Objects
• Security
• Audit Logs

Objectsを選択した場合、このテナントへ保存されている暗号鍵を参照することができます。
この画面より、任意の暗号鍵を削除するなどキーライフサイクル操作が可能です。

次に、Securityタブでは、証明書の生成ができるClient Certificatesおよびアクセスするユーザおよびロールを変更できるAccess Control Policiesを選択できます。

デフォルト設定では、KeyControl管理者側が指定したユーザがKMIP Adminとして定義されています。

任意で追加ユーザ作成時に、ロールでAudit Adminを選択することで、後述する監査ログのみを参照するユーザを定義することも可能です。

最後に、Audit Logsを選択した場合、このテナントへの操作がどのユーザより行われたのか確認できる監査ログ画面へ遷移します。
この監査ログ情報は、右側のDownloadボタンよりローカルへダウンロード可能です。

関連トピックス

• HyTrust KeyControl 5.3 HSMとの連携強化
• HyTrust KeyControlおよびVMware標準暗号化機能動画まとめ
• 既存KeyControlクラスタへ参加し、クラスタを再構成する方法
• クラウドのデータも安心して暗号化 HyTrust KeyControl 5.4新機能 『BYOK』
• HyTrust KeyControlのライセンスファイル入れ替え方法
• Entrust (旧HyTrust)KeyControl Vault for KMIP: 鍵管理相互運用プロトコル（ Key Management Interoperability Protocol：KMIP）を使用した暗号鍵の管理
• HyTrust KeyControl for VMware vSphere 6.5 VM Encryption (暗号化)
• Entrust KeyControl Ecosystem
• Webセミナー録画とプレゼンテーション『暗号鍵を楽々運用管理！VMware認定のKMS HyTrustなら出来るんです！』：2020/3/13 開催
• Nutanix Prism CentralとHyTrust KeyControlの統合