シークレットライフサイクル管理とセンシティブデータ保護ソリューション
HashiCorp Vault
Vaultはユーザー名&パスワードやAPIアクセスキーといったデジタル認証で使われるアイデンティティ情報(シークレット)を管理する機能と、機密性の高いデータを保護する機能を提供することで、動的なインフラストラクチャやアプリケーションにおけるゼロトラストの実現を支援します。
HashiCorp Vaultは、お客様のインフラおよびアプリが本来持つ利便性やパフォーマンスはそのままに、より柔軟に高い拡張性をもって、より安全な運用管理を実現します。
ピンチアウトで拡大
クラウドの急速な普及に伴い、さまざまな分野で秘密情報の管理はより重要になっています。さらに、サービスの多様化により、シークレット情報の使用範囲が広がり、管理がより複雑化しています。
本動画では、シークレット情報管理の要点とその課題を解決するHashiCorp Vaultを使ったソリューションについて解説します。
機密性の高いデータやアプリ、システムなどに対するアクセスを自動化・効率化するために、信頼されるシークレットを管理します。Vaultを使うことで、動的に変化するインフラやアプリなどシステム間の連携においてアイデンティティに基づいたセキュリティを実装し、ゼロトラスト環境を実現します。
Vaultではシークレットのリクエストから発行、有効期限の管理、無効化まで一連のライフサイクルを管理するために、アクセス元となるユーザー・システム・アプリなどと、シークレットを管理するアイデンティティとアクセス管理(以下IAM)システムの間に入り、一連のプロセスを仲介します。
また他にも、Vaultを認証局(CA)とすることで、SSH公開鍵認証で利用するキーペアや、SSL/TLS証明書認証で利用するクライアント証明書のライフサイクル管理を効率化できます。
ピンチアウトで拡大
既に使用しているデータベースやAPIキーなどがファイルで管理されている場合、それらをVaultのキーバリューストアに保存します。
クライアントがアプリなどを利用する際には、Vaultから値を取得するAPIを実行し、それを環境変数に設定して使用する方法が取れます。
さらに、Vaultでは値を暗号化するため、情報をセキュアに管理できます。
Azureのシステム構築を外部業者に委託している場合を考えてみます。
Azureの契約は会社内で管理されているため、外部業者には適切な権限を与える必要があります。外部業者にシークレットを開示して使用してもらうことになります。本来、会社内で管理されているシークレット情報のためセキュリティ上好ましくありません。Vaultを使用すると、外部業者がシークレットを取得できる期間を制限できるため、長期間の利用はできません。また、有効期限が残っていても、Vaultから内部担当者がシークレットを強制的に削除できるため、漏えいリスクを低減できます。
Vaultは機密性の高いデータを保護し安全に利用するために、データを処理するアプリとデータを保管するデータベースなどとの間で、データの暗号化・復号化のプロセスを仲介します。
データ暗号化リクエストはHTTP/HTTPS APIにより行われるため、モダンアプリとの親和性が高いです。また、Vaultのシステムで実際の暗号化処理と、暗号化データの解読能力を維持したままの暗号鍵の更新など鍵管理を行うことで、アプリから機密情報保護の処理をオフロードし、一元的な管理を実現します。
ピンチアウトで拡大
以下のプロセスでデータベースに保存されたデータ利用します。
シークレットの集中管理 |
シークレットの集中管理を実現し、必要に応じて都度発行することで、シークレットをアプリのソースコードや実行環境の環境変数などに保持させる必要が無くなります。無秩序なシークレットの拡散を排除し、情報漏えいリスクを低減します。 |
---|---|
動的シークレットの運用 |
アクセスごとに有効期限付きシークレットを生成・期限切れ後は無効とするライフサイクル管理を行うことで、同じシークレットの長期利用や使い回しを排除し、情報漏えいリスクを低減させます。また誰が、いつ、何をしていたかの追跡に役立ちます。 |
シークレットライフサイクル管理を自動化 |
シークレットのライフサイクル管理を自動化することで、管理者を煩雑なマニュアル作業でのシークレット管理から開放します。 |
役割ベースのアクセスコントロール(RBAC) |
アイデンティティ認証に基づいた役割ベースのアクセスコントロール(RBAC)を実現します。 |
ユーザーアクセス、APIアクセス、システム間アクセスなどシステム全体に渡ってアイデンティティに基づくRBACを適用することで、ゼロトラストの導入を推進します。 |
|
データの暗号化 |
アプリやデータベースとは独立したシステムでデータの暗号化を実装することで、情報漏えいリスクを低減させます。 |
ディザスタリカバリを含めた高い可用性を実現するため
ネームスペースによるマルチテナント的な運用をするため
高度なデータ暗号化要件に対応するため
大項目 | 項目 | HCP Vault Dedicated | Enterprise |
---|---|---|---|
製品および提供形態 |
製品形態 |
クラウド |
ソフトウェアパッケージ |
提供形態 |
有償 |
有償 |
|
プラットフォームの管理者 |
|
HashiCorp社 |
お客様 |
ターゲット要件 |
・クラウドサービスでの利用
・サポート要件
|
・セキュリティ要件や自社ポリシーなどの理由により、セルフマネージドシステムが必要
・サポート要件
|
|
統合ワークフロー管理 |
Versioned key value storage
キー/バリューシークレットエンジンのバージョン管理
|
〇 |
〇 |
User & group management
ユーザーとグループ管理
|
〇 |
〇 |
|
Dynamic secrets
動的シークレット
|
〇 |
〇 |
|
Leasing & revoking secrets
シークレットの払い出しと取り消し
|
〇 |
〇 |
|
可視化と最適化 |
Detailed audit log
|
〇
(ライセンスの種類により利用可)
|
〇 |
ポリシーとセキュリティ |
Access control
アクセス制御の管理
|
〇 |
〇 |
Managed keys
外部キーマネージメントシステム (KMS) の利用
|
〇
(ライセンスの種類により利用可)
|
〇
(ライセンスの種類により利用可)
|
|
AWS KMS auto-unseal
AWS KMSを使った自動アンシール
|
〇 |
〇 |
|
Azure Key Vault auto-unseal
Azure Key Vaultを使った自動アンシール
|
〇 |
〇 |
|
GCP Cloud KMS auto-unseal
GCP Cloud KMSを使った自動アンシール
|
〇 |
||
Advanced Data Protection (ADP)
Transform、KMIP、Key Management等を使った高度なデータ保護
|
〇
(ライセンスの種類により利用可)
|
〇
(ライセンスの種類により利用可)
|
|
信頼性とスケール |
Tenant isolation
ネームスペースによる独立したテナント管理
|
〇
|
〇 |
Automated snapshots
スナップショットの自動化
|
〇
(ライセンスの種類により利用可)
|
〇
(ライセンスの種類により利用可)
|
|
User configurable resource quotas
リソースへのクォータの設定
|
|
〇 |
|
Performance standby nodes
パフォーマンススタンバイ機能 (1クラスタ内での複数リード)
|
〇
(ライセンスの種類により利用可)
|
〇
(ライセンスの種類により利用可)
|
|
High availability
|
〇
(ライセンスの種類により利用可)
|
||
Performance replication
パフォーマンスレプリケーション機能(複数クラスタによる複数リード)
|
〇
(ライセンスの種類により利用可)
|
〇
(ライセンスの種類により利用可)
|
|
Disaster recovery replication
ディザスターリカバリーレプリケーション
|
〇 | ||
インテグレーションとAPI |
SSO integration (Okta, Ping, Duo)
シングルサインオン (Okta、Ping、Duo、Entra ID (旧AzureAD))
|
〇 |
〇 |
ガバナンス、リスク、コンプライアンス |
Multi-factor authentication
多要素認証
|
〇 |
〇
(ライセンスの種類により利用可)
|
Sentinel policies and control groups
Sentinelを利用したPolicy-as-Code機能
|
〇
(ライセンスの種類により利用可)
|
〇
(ライセンスの種類により利用可)
|
|
FIPS-140-2 & seal wrap
FIPS140-2準拠のためのSeal Wrap
|
|
〇
(ライセンスの種類により利用可)
|
|
Entropy augmentation
エントロピーの強化 (外部暗号モジュールのサポート)
|
〇
(ライセンスの種類により利用可)
|
||
サポート |
Premium support and services
弊社によるEメールおよび電話でのサポート
|
〇 |
〇 |