シークレットライフサイクル管理とセンシティブデータ保護ソリューション
HashiCorp | Vault
Vaultはユーザー名&パスワードやAPIアクセスキーといったデジタル認証で使われるアイデンティティ情報(シークレット)を管理する機能と、機密性の高いデータを保護する機能を提供することで、動的なインフラストラクチャやアプリケーションにおけるゼロトラストの実現を支援します。
HashiCorp Vaultは、お客様のインフラおよびアプリが本来持つ利便性やパフォーマンスはそのままに、より柔軟に高い拡張性をもって、より安全な運用管理を実現します。
機密性の高いデータやアプリ、システムなどに対するアクセスを自動化・効率化するために、信頼されるシークレットを管理します。Vaultを使うことで、動的に変化するインフラやアプリなどシステム間の連携においてアイデンティティに基づいたセキュリティを実装し、ゼロトラスト環境を実現します。
Vaultではシークレットのリクエストから発行、有効期限の管理、無効化まで一連のライフサイクルを管理するために、アクセス元となるユーザー・システム・アプリなどと、シークレットを管理するアイデンティティとアクセス管理(以下IAM)システムの間に入り、一連のプロセスを仲介します。
また他にも、VaultをCA認証局とすることで、SSH公開鍵認証で利用するキーペアや、SSL/TLS証明書認証で利用するクライアント証明書のライフサイクル管理を効率化できます。
① アクセス元からシークレットの新規発行申請を受け付け
② リクエストに基づきIAMにシークレット発行を指示
③ IAMから発行されたシークレットの有効期限を内部に保持
④ シークレットをアクセス元に提供
⑤ アクセス元は発行されたシークレットで宛先へアクセス
⑥ シークレットの有効期限が切れたら、IAMに該当シークレットの無効化を指示
⑦ ①に戻る。有効期限切れシークレットを利用していたアクセス元は、改めてVaultにシークレットの新規発行申請を行う
Vaultは機密性の高いデータを保護し安全に利用するために、データを処理するアプリとデータを保管するデータベースなどとの間で、データの暗号化・復号化のプロセスを仲介します。
データ暗号化リクエストはHTTP/HTTPS APIにより行われるため、モダンアプリとの親和性が高いです。また、Vaultのシステムで実際の暗号化処理と、暗号化データの解読能力を維持したままの暗号鍵の更新など鍵管理を行うことで、アプリから機密情報保護の処理をオフロードし、一元的な管理を実現します。
① アプリがVaultに保護対象のデータを送信
② Vaultが保持する暗号キーで対象データを暗号化されている
③ Vaultからアプリへ暗号化済みデータを返送
④ アプリが受け取った暗号化済みデータをデータベースに保管
① データ保護プロセスで暗号化されたデータを、アプリがデータベースから読み込み
② アプリがVaultに暗号化されたデータを送信
③ Vaultが保持する暗号キーで対象データを復号化
④ Vaultからアプリへ復号化済みデータを返送
⑤ アプリが復号化済みデータを用いて処理
|
シークレットの集中管理 |
シークレットの集中管理を実現し、必要に応じて都度発行することで、シークレットをアプリのソースコードや実行環境の環境変数などに保持させる必要が無くなります。無秩序なシークレットの拡散を排除し、情報漏えいリスクを低減します。 |
|
動的シークレットの運用 |
アクセスごとに有効期限付きシークレットを生成・期限切れ後は無効とするライフサイクル管理を行うことで、同じシークレットの長期利用や使い回しを排除し、情報漏えいリスクを低減させます。また誰が、いつ、何をしていたかの追跡に役立ちます。 |
|
シークレットライフサイクル管理を自動化 |
シークレットのライフサイクル管理を自動化することで、管理者を煩雑なマニュアル作業でのシークレット管理から開放します。 |
|
役割ベースのアクセスコントロール(RBAC) |
アイデンティティ認証に基づいた役割ベースのアクセスコントロール(RBAC)を実現します。 |
|
ユーザーアクセス、APIアクセス、システム間アクセスなどシステム全体に渡ってアイデンティティに基づくRBACを適用することで、ゼロトラストの導入を推進します。 |
|
|
データの暗号化 |
アプリやデータベースとは独立したシステムでデータの暗号化を実装することで、情報漏えいリスクを低減させます。 |
ディザスタリカバリを含めた高い可用性を実現するため
ネームスペースによるマルチテナント的な運用をするため
高度なデータ暗号化要件に対応するため
| Vault OSS | Vault Enterprise | ||
|---|---|---|---|
|
概要 |
|
基本機能を提供する、無償利用可能なパッケージ |
エンタープライズクラスの要件に対応するための機能を実装した有償パッケージ |
|
製品情報 |
提供形態 |
ソフトウェアパッケージ |
ソフトウェアパッケージ |
|
デプロイ先 |
お客様のインフラ |
お客様のインフラ |
|
|
クラウドへデプロイ |
〇 |
〇 |
|
|
オンプレミスへデプロイ |
〇 |
〇 |
|
|
シークレット管理 |
シークレットの集中管理 |
〇 |
〇 |
|
動的シークレット |
〇 |
〇 |
|
|
〇 |
〇 |
||
|
マスキング |
|
〇 |
|
|
トークナイゼーション |
|
〇 |
|
|
Format Preserving Encryption(FPE) |
|
〇 |
|
|
CA認証局 |
SSH鍵管理 |
〇 |
〇 |
|
SSL/TLSクライアント証明書管理 |
〇 |
〇 |
|
|
運用 |
* シングルDC |
〇 |
〇 |
|
* DC間 |
|
〇 |
|
|
パフォーマンススタンバイ |
|
〇 |
|
|
Integrated Storageのスナップショット自動化 |
|
〇 |
|
|
クラスターの結果整合性担保 |
|
〇 |
|
|
組織利用 |
ネームスペース |
|
〇 |
|
ネームスペースレベルのレプリケーション機能Mount Filter |
|
|
|
|
クォータへのシークレットリース数制限 |
|
〇 |
|
|
セキュリティ |
多要素認証 |
|
〇 |
|
HSMのサポート |
|
〇 |
|
|
FIPS140-2準拠のためのSeal Wrap |
|
|
|
|
KMIPサーバー |
|
〇 |
|
|
エントロピーの強化(外部暗号モジュールのサポート) |
|
〇 |
|
|
外部KMSのサポート |
|
〇 |
|
|
ガバナンスとポリシー |
Policy-as-Code機能Sentinelの利用 |
|
〇 |
|
複数人承認に基づくシークレット発行機能 Control Groups |
|
〇 |
|
|
サポート |
弊社によるEメールおよび電話でのサポート |
|
〇 |
本製品に関する仕様はこちらからお問い合わせください
