[Cloud] OCI Vaultのリリース/Announcing Oracle Cloud Infrastructure Vault and Secrets Management

原文はこちら

https://blogs.oracle.com/cloud-infrastructure/announcing-oracle-cloud-infrastructure-vault-and-secrets-management-v2


クラウドファーストの世界では、モダンなインフラを実現するために様々なサービスを組み合わせることが、いくつかの独特な課題を生じています。パスワードやAPIキーといった秘密情報(Secret)トークンは、お客様がサービスをセキュアに運用するうえで非常に重要です。こうした秘密情報は常時利用可能で、スケーラブルでなければなりませんが、一方で目的外の利用からは保護されていなければなりません。結果として、暗号化や秘密情報の管理は信じられないほど複雑になり、ちょっとした手順のミスによって機微情報が漏洩してしまう、ということが起こりがちです。

Oracle Cloud Infrastructure Vault(OCI Vault)はこうした問題への答えです。すべての商用リージョンで本日(4/2)から利用可能になっているVaultにより、OCI上で任意のタイプの秘密情報を保持し、管理し、監査することができます。この新たな秘密情報管理サービスは、OCIでの既存の鍵管理サービスを補完するものです。お客様、またそのクラウドテナントはこれらのサービスを使い、ストレージの暗号共通鍵の管理をスケールさせられます。

OCI Vaultに秘密情報を格納する

OracleはOCI Vaultサービスを、HSM(Hardware Security Module)をバックエンドにした暗号共通鍵だけでなく任意の秘密情報を扱えるように拡張しています。秘密情報にはパスワードやAPIトークンなどを含みます。こうした秘密情報はFIPS 140-2 Level 3 HSMをバックエンドに持つソフトウェアコンテナであるvaultに格納されます。OCI VaultサービスはOCI全体の高可用性、高耐障害性の基準に準じており、あなたの最もクリティカルなデータが必要な時に利用できるようにします。

以下の画像は秘密情報を格納したvaultの例です。

Screenshot of a vault details page in the Console, showing three secrets defined.

監査

監査はとても重要です。秘密情報がどのように、どこで、誰によって、いつ使われたかを正確に把握しておく必要があるでしょう。OCIの中では、Oracle側のバックエンドサービスも含めて、すべてがAPIコールです。ということは、OCIの中での動きは、valutに関わるものも含め、すべてがOCI Auditサービスによって監視、ログ記録されており、レポート出力が可能だということです。OCI AuditはEventsサービスやFunctionsサービスと連携しており、イベントのトリガーとしてAuditを使いなんらかのカスタムアクションを起動させることも可能です。

コンプライアンス

もうひとつ考慮しなければならないのはコンプライアンスです。秘密情報の削除やバージョン管理、また、ポリシードリブンの秘密情報利用といった要請が生じます。あるユーザーが秘密情報をローテーションさせた場合、その秘密情報にはバージョンが振られ、古いものに加えて新しいものが保持されます。そして、秘密情報のバージョンについてのルールを作成することができます。特定の日付にあるバージョンを失効させたり、前バージョンの利用を制限するようなポリシーを作成することができます。

以下の画像は、秘密情報を作成する際にルールを指定している例です。

Screenshot that shows the Create Secret dialog box with the Rules tab highlighted.

自動化

自動化は秘密情報の管理をスケールさせるうえで中心的な役割を果たします。この点について、OCI Vaultは秘密情報の管理およびローテーションをプログラマブルにすることでサポートしています。OCI VaultはコンソールだけでなくAPI、CLIからも利用可能であり、したがってマウスクリックからTerraformスクリプトまでお好きな方法で秘密情報管理を行えるということです。どのような秘密データであれOCI Vaultに格納し、APIを用いてプログラムで管理することができます。オンプレミスの秘密情報をOCI Vaultで管理したいり、また、既存の秘密情報管理インフラと連携させることも可能です。

この自動化についてより詳しく知りたい場合は、A-Teamのブログポストをご覧ください。

そして追加費用なし

効率的な秘密情報管理ははモダンなクラウドインフラの鍵となるパーツです。扱う情報の重要性だけでなく、複雑性も高いことが特徴です。わたしたちはすべてのOCIをご利用のお客様がこの自動化され、スケーラブルな秘密情報管理の機能を活用していただきたいと考えております。そのため、このサービスを無償でリリースしました。すべてのクラウドテナントはOCI Vaultに追加費用なしでアクセスし、秘密情報を保持させることができます。

サービスの仕様、挙動についてもっと詳細が知りたければ、テクニカルドキュメントをご覧ください。でも、OCI Vaultを学ぶために一番良い方法は、実際に試してみることです!OCIのコンソールのメニューバーから、Securityのセクションを選ぶとOCI Vaultにアクセスできますよ。

Screenshot of the main navigation menu in the Console, showing the Security option and the Vault option.