KeyControl

仮想／クラウド問わず、あらゆるプラットフォームの暗号化キーの管理を安全、簡単に

• arrow_drop_down_circleVMwareにより認定された暗号化キー管理ソフトウェア
• arrow_drop_down_circleEntrust KeyControlの構成
• arrow_drop_down_circleBYOK(Bring Your Own Key)機能によるクラウド暗号鍵のライフサイクル管理
• arrow_drop_down_circleEntrust独自の暗号化エージェントソフトの提供

VMwareにより認定された暗号化キー管理ソフトウェア

Entrust KeyControlは、パブリック/プライベートクラウド、オンプレミスの仮想環境などプラットフォームで構成でき、KMIP（Key Management Interoperability Protocol）と呼ばれる暗号化キーのやり取りで使用される通信プロトコルを介した、安全で確実な暗号化キー管理をサポートします（FIPS 140-2 Level 1 認証/HSMによるFIPS 140-2 Level 3準拠）。

また、VMware標準の暗号化に必要なKMS（Key Management Server）としてVMwareより認定を受けており、暗号化がサポートされている1.1から3.0までのKMIPプロトコルすべてで動作が保証されています。vSphere 6.5より追加されたvSphere標準暗号化（vSphere Encryption）機能やvSANデータストア暗号化（vSAN Encryption）機能の暗号化キー管理もサポートします。

VMware Encryption

vSAN Encryption

Veeam Ready - Security

Entrust KeyControlの構成

Entrust KeyControlはKeyVault、Compliance Managerと呼ばれる2つのコンポーネント（仮想アプライアンス）によって構成されます。2つのコンポーネントは明確に役割が異なり、暗号化キー管理をミスなくよりセキュアに実施するための機能を提供します。

KeyVault

KeyVaultは暗号化クライアントとKMIPなどのプロトコルを介して直接通信し、暗号化キーの生成や復号リクエストに応答するコンポーネントで、物理的に暗号化キーが格納されます。生成された暗号化キーは、KeyVault内部のセキュアなストレージ領域に格納され、必要に応じて暗号化クライアントによって参照されます。仮想環境だけでなく、エンタープライズストレージやデータベース、クラウドVMの暗号化キー管理をサポートします。

KeyVaultは、1台で構成することもできますが、可用性を担保するために複数台をクラスタリング構成し、万が一の障害に備えることも可能です。この時、高価な共有ストレージやハイパーバイザー側の特殊なライセンスは必要ありません。設定も各KeyVaultノードをWebコンソール上からペアリングするだけですから、設定の負担やコストを抑えつつ可用性を確保した構成が実現します。

参考記事：https://www.climb.co.jp/blog_veeam/hytrust-18916

KeyVaultへ格納される暗号化キーは、他の暗号化クライアントから参照できないように、テナントを分けて構成することも可能です。暗号化クライアントAについてはA専用のディスク領域へ、暗号化クライアントBについてはB専用のディスク領域へ保存することで、KeyVaultを複数構成することなく他の暗号化クライアントと確実に操作領域を分けて運用することもサポートされます。

参考記事：https://www.climb.co.jp/blog_veeam/hytrust-24282

Compliance Manager

Compliance Managerは、環境に構成されたKeyVaultの統合ダッシュボード画面を提供し、ライセンス適用や接続されたKeyVaultがセキュリティコンプライアンスに準拠している構成であるか、を確認できるコンポーネントです。

KeyVaultの数や構成に関わらず、Compliance Managerのダッシュボード画面からまとめて管理ができるため、暗号化キー管理者はそれぞれのWebコンソールへログインすることなく、暗号化キーの生成状況やライセンス利用状況を確認できます。

暗号化キーは、いつ生成され、どのシステムで利用されているのか、またいつ削除するのか、といったライフサイクルを意識して運用することが求められます。このようなキーライフサイクルに関わる文書（Documentation）が用意されていない場合、誤って利用中の暗号化キーを削除してしまい、暗号化されたシステムが起動できなくなってしまうような事故につながりかねません。
Compliance Managerでは、登録されたKeyVaultに格納された暗号化キーを可視化し、いつ生成されたのか、削除しても問題ないキーであるか、重要度の高い暗号化キーであるかなどタグ付けを行うことで、暗号化キー管理に伴うプロセスを合理化し、ヒューマンエラーの可能性を提言します。

また、Compliance Managerは、登録されたKeyVaultアプライアンスがPCI-DSSやGDPR、HIPAAなどのセキュリティコンプライアンス規制に沿った構成になっているか定期的にチェックし、よりセキュアな暗号化キー管理が実現できるよう手助けする機能を提供します。KeyVaultは、システムの大切な暗号化キーが格納された宝箱のようなコンポーネントですから、悪意ある攻撃者に狙われるケースも多くあります。セキュリティコンプライアンス規制に沿った構成を維持することで、暗号化キー流出のリスクを下げることができます。

BYOK（Bring Your Own Key）機能によるクラウド暗号鍵のライフサイクル管理

Entrust KeyControlは、オンプレミス環境の鍵管理だけでなく、Amazon Web Service（AWS）およびMicrosoft Azure（Azure）環境へKeyContorlが生成したセキュアな暗号鍵を持ち込み（BYOK）、クラウドネイティブに提供されている暗号化機能に利用できます。クラウドネイティブに提供されている鍵管理サービスでは対応できない、細かな暗号鍵のライフサイクルを実現し、クラウド上に展開されたデータの安全性を高めます。

参考記事：https://www.climb.co.jp/blog_veeam/hytrust-20534

Entrust独自の暗号化エージェントソフトの提供

Entrust KeyControlでは、様々なプラットフォームで提供される暗号化キーの管理だけでなく、Entrust独自のエージェントソフトによる、暗号化NIST認定のAES-128/256暗号化を提供します。エージェントのインストールは数秒しかかからず、再起動などのダウンタイムなしで、GUIからのクリック操作により簡単に暗号化を提供します（APIによる統合も可能）。
エージェントはVMの一部として動作するため、別ホストへの移動やプライベートクラウドからパブリッククラウドに移動しても永続的に保護が可能で、ユーザのエクスペリエンスやVMの管理方法に影響しません。また、IntelおよびAMDチップセットのAES-NIハードウェアアクセラレーションにより最高のパフォーマンスと透過性を提供します。さらに、仮想マシン内のデバイスごとに暗号化キーを適用できるため、データパーティションやWindowsのブート、Linuxのルート、スワップパーティション、ファイル、オブジェクトというように細かく暗号化を行うことも可能です。