原文はこちら
Oracle Cloud Infrastructure Vault(OCI Vault)はこうした問題への答えです。すべての商用リージョンで本日(4/2)から利用可能になっているVaultにより、OCI上で任意のタイプの秘密情報を保持し、管理し、監査することができます。この新たな秘密情報管理サービスは、OCIでの既存の鍵管理サービスを補完するものです。お客様、またそのクラウドテナントはこれらのサービスを使い、ストレージの暗号共通鍵の管理をスケールさせられます。
OCI Vaultに秘密情報を格納する
OracleはOCI Vaultサービスを、HSM(Hardware Security Module)をバックエンドにした暗号共通鍵だけでなく任意の秘密情報を扱えるように拡張しています。秘密情報にはパスワードやAPIトークンなどを含みます。こうした秘密情報はFIPS 140-2 Level 3 HSMをバックエンドに持つソフトウェアコンテナであるvaultに格納されます。OCI VaultサービスはOCI全体の高可用性、高耐障害性の基準に準じており、あなたの最もクリティカルなデータが必要な時に利用できるようにします。
以下の画像は秘密情報を格納したvaultの例です。
監査
監査はとても重要です。秘密情報がどのように、どこで、誰によって、いつ使われたかを正確に把握しておく必要があるでしょう。OCIの中では、Oracle側のバックエンドサービスも含めて、すべてがAPIコールです。ということは、OCIの中での動きは、valutに関わるものも含め、すべてがOCI Auditサービスによって監視、ログ記録されており、レポート出力が可能だということです。OCI AuditはEventsサービスやFunctionsサービスと連携しており、イベントのトリガーとしてAuditを使いなんらかのカスタムアクションを起動させることも可能です。
コンプライアンス
もうひとつ考慮しなければならないのはコンプライアンスです。秘密情報の削除やバージョン管理、また、ポリシードリブンの秘密情報利用といった要請が生じます。あるユーザーが秘密情報をローテーションさせた場合、その秘密情報にはバージョンが振られ、古いものに加えて新しいものが保持されます。そして、秘密情報のバージョンについてのルールを作成することができます。特定の日付にあるバージョンを失効させたり、前バージョンの利用を制限するようなポリシーを作成することができます。
以下の画像は、秘密情報を作成する際にルールを指定している例です。
自動化
自動化は秘密情報の管理をスケールさせるうえで中心的な役割を果たします。この点について、OCI Vaultは秘密情報の管理およびローテーションをプログラマブルにすることでサポートしています。OCI VaultはコンソールだけでなくAPI、CLIからも利用可能であり、したがってマウスクリックからTerraformスクリプトまでお好きな方法で秘密情報管理を行えるということです。どのような秘密データであれOCI Vaultに格納し、APIを用いてプログラムで管理することができます。オンプレミスの秘密情報をOCI Vaultで管理したいり、また、既存の秘密情報管理インフラと連携させることも可能です。
この自動化についてより詳しく知りたい場合は、A-Teamのブログポストをご覧ください。
そして追加費用なし
効率的な秘密情報管理ははモダンなクラウドインフラの鍵となるパーツです。扱う情報の重要性だけでなく、複雑性も高いことが特徴です。わたしたちはすべてのOCIをご利用のお客様がこの自動化され、スケーラブルな秘密情報管理の機能を活用していただきたいと考えております。そのため、このサービスを無償でリリースしました。すべてのクラウドテナントはOCI Vaultに追加費用なしでアクセスし、秘密情報を保持させることができます。
サービスの仕様、挙動についてもっと詳細が知りたければ、テクニカルドキュメントをご覧ください。でも、OCI Vaultを学ぶために一番良い方法は、実際に試してみることです!OCIのコンソールのメニューバーから、Securityのセクションを選ぶとOCI Vaultにアクセスできますよ。
