製品情報

HashiCorp|Vault (ボルト)- 東京エレクトロンデバイス

HashiCorp | Vault

シークレットライフサイクル管理とセンシティブデータ保護ソリューション

HashiCorp | Vault

Vaultはユーザー名&パスワードやAPIアクセスキーといったデジタル認証で使われるアイデンティティ情報(シークレット)を管理する機能と、機密性の高いデータを保護する機能を提供することで、動的なインフラストラクチャやアプリケーションにおけるゼロトラストの実現を支援します。

HashiCorp Vaultは、お客様のインフラおよびアプリが本来持つ利便性やパフォーマンスはそのままに、より柔軟に高い拡張性をもって、より安全な運用管理を実現します。

主な特長

シークレット管理

機密性の高いデータやアプリ、システムなどに対するアクセスを自動化・効率化するために、信頼されるシークレットを管理します。Vaultを使うことで、動的に変化するインフラやアプリなどシステム間の連携においてアイデンティティに基づいたセキュリティを実装し、ゼロトラスト環境を実現します。

Vaultではシークレットのリクエストから発行、有効期限の管理、無効化まで一連のライフサイクルを管理するために、アクセス元となるユーザー・システム・アプリなどと、シークレットを管理するアイデンティティとアクセス管理(以下IAM)システムの間に入り、一連のプロセスを仲介します。

また他にも、VaultをCA認証局とすることで、SSH公開鍵認証で利用するキーペアや、SSL/TLS証明書認証で利用するクライアント証明書のライフサイクル管理を効率化できます。

シークレット管理のプロセス

① アクセス元からシークレットの新規発行申請を受け付け
② リクエストに基づきIAMにシークレット発行を指示
③ IAMから発行されたシークレットの有効期限を内部に保持
④ シークレットをアクセス元に提供
⑤ アクセス元は発行されたシークレットで宛先へアクセス
⑥ シークレットの有効期限が切れたら、IAMに該当シークレットの無効化を指示
⑦ ①に戻る。有効期限切れシークレットを利用していたアクセス元は、改めてVaultにシークレットの新規発行申請を行う

Encryption-as-a-Serviceによる機密情報の保護

Vaultは機密性の高いデータを保護し安全に利用するために、データを処理するアプリとデータを保管するデータベースなどとの間で、データの暗号化・復号化のプロセスを仲介します。

データ暗号化リクエストはHTTP/HTTPS APIにより行われるため、モダンアプリとの親和性が高いです。また、Vaultのシステムで実際の暗号化処理と、暗号化データの解読能力を維持したままの暗号鍵の更新など鍵管理を行うことで、アプリから機密情報保護の処理をオフロードし、一元的な管理を実現します。

データ保護のプロセス


① アプリがVaultに保護対象のデータを送信
② Vaultが保持する暗号キーで対象データを暗号化されている
③ Vaultからアプリへ暗号化済みデータを返送
④ アプリが受け取った暗号化済みデータをデータベースに保管

 

データ利用のプロセス


① データ保護プロセスで暗号化されたデータを、アプリがデータベースから読み込み
② アプリがVaultに暗号化されたデータを送信
③ Vaultが保持する暗号キーで対象データを復号化
④ Vaultからアプリへ復号化済みデータを返送
⑤ アプリが復号化済みデータを用いて処理

Vaultで実現する秘密情報管理のメリット

シークレットの集中管理

シークレットの集中管理を実現し、必要に応じて都度発行することで、シークレットをアプリのソースコードや実行環境の環境変数などに保持させる必要が無くなります。無秩序なシークレットの拡散を排除し、情報漏えいリスクを低減します。

動的シークレットの運用

アクセスごとに有効期限付きシークレットを生成・期限切れ後は無効とするライフサイクル管理を行うことで、同じシークレットの長期利用や使い回しを排除し、情報漏えいリスクを低減させます。また誰が、いつ、何をしていたかの追跡に役立ちます。

シークレットライフサイクル管理を自動化

シークレットのライフサイクル管理を自動化することで、管理者を煩雑なマニュアル作業でのシークレット管理から開放します。

役割ベースのアクセスコントロール(RBAC)

アイデンティティ認証に基づいた役割ベースのアクセスコントロール(RBAC)を実現します。

ゼロトラスト

ユーザーアクセス、APIアクセス、システム間アクセスなどシステム全体に渡ってアイデンティティに基づくRBACを適用することで、ゼロトラストの導入を推進します。

データの暗号化

アプリやデータベースとは独立したシステムでデータの暗号化を実装することで、情報漏えいリスクを低減させます。

Vault Enterpriseを選択する理由

ディザスタリカバリを含めた高い可用性を実現するため

ネームスペースによるマルチテナント的な運用をするため

高度なデータ暗号化要件に対応するため

 

    Vault OSS Vault Enterprise

概要

 

基本機能を提供する、無償利用可能なパッケージ

エンタープライズクラスの要件に対応するための機能を実装した有償パッケージ

製品情報

提供形態

ソフトウェアパッケージ

ソフトウェアパッケージ

デプロイ先

お客様のインフラ

お客様のインフラ

クラウドへデプロイ

オンプレミスへデプロイ

シークレット管理

シークレットの集中管理

動的シークレット

データ保護

暗号化

マスキング

 

トークナイゼーション

 

Format Preserving Encryption(FPE)

 

CA認証局

SSH鍵管理

SSL/TLSクライアント証明書管理

運用

クラスタリング

* シングルDC

レプリケーション

* DC間

 

パフォーマンススタンバイ

 

Integrated Storageのスナップショット自動化

 

クラスターの結果整合性担保

 

組織利用

ネームスペース

 

ネームスペースレベルのレプリケーション機能Mount Filter

 

 

クォータへのシークレットリース数制限

 

セキュリティ

多要素認証

 

HSMのサポート

 

FIPS140-2準拠のためのSeal Wrap

 

 

KMIPサーバー

 

エントロピーの強化(外部暗号モジュールのサポート)

 

外部KMSのサポート

 

ガバナンスとポリシー

Policy-as-Code機能Sentinelの利用

 

複数人承認に基づくシークレット発行機能 Control Groups

 

サポート

弊社によるEメールおよび電話でのサポート

 

仕様

本製品に関する仕様はこちらからお問い合わせください

メーカー情報

「クラウドセキュリティ」に関連する製品・サービス