バックアップ・テープのセキュリティは非常に重要です。多くの場合、小さくて持運びの容易なローカライズされた1つのメディアに重要なデータが格納されているためです。安全性の高い保護ポリシーのセット、ファイアウォール、パスワードおよび網膜スキャナを使用して、データへのアクセスを防ぐことができます。ただし、暗号化されていないデータがポータブル・ストレージ・メディアにバックアップされている場合や、そのメディアが安全なメディア室の外部に持ち出される場合は、このセキュリティ・モデルは機能しなくなります。
バックアップ暗号化は、Oracle Secure Backupのオプションとして高度な構成が可能なメカニズムです。テープ上のデータの機密が守られることを保証します。バックアップ暗号化はOracle Secure Backupに完全に統合されており、Oracle Secure Backupをインストールするとすぐに使用できます。バックアップ暗号化は、ファイルシステム・データと、Recovery Manager(RMAN)によって生成されるバックアップの両方に適用されます。
バックアップ暗号化によって、Oracle Secure Backupがテープに書き込むクライアント・データはすべて暗号化されます。この目的は、暗号化するデータや暗号化の方法をユーザーが決定できるようにすることでも、1人のユーザーのデータを別のユーザーから保護することでもありません。ハード・ドライブ・レベルでユーザーのデータを暗号化する必要がある場合は、ファイルシステム・レベルの組込み暗号化機能(WindowsのEncrypted File System(EFS)やPGPなど)を提供するオペレーティング・システムを使用することをお薦めします。
この章の内容は次のとおりです。
バックアップ暗号化は、容易に実装できるように設計されています。簡単な方法で1つのグローバル・ポリシーを変更することで、各クライアントのすべてのデータを確実に暗号化できます。また、バックアップ暗号化では、柔軟性の高い構成が可能です。
ファイルシステム・バックアップについては、管理ドメイン全体、特定のクライアント、または特定のバックアップ・ジョブに対して暗号化を選択できます。グローバルおよびクライアントの暗号化ポリシーでは、次の設定が可能です。
required
このバックアップ・ドメインまたはこのクライアントのすべてのデータを暗号化する必要があります。
allowed
暗号化の決定は、優先順位が下位の項目に委ねられます。
暗号化設定が決まる順序は、上から順に次のとおりです。
グローバル
バックアップ暗号化がグローバル・レベルで有効化されていると、すべてのクライアントとすべてのジョブのデータが暗号化されます。
クライアント
グローバル・ポリシーで暗号化が施行されない場合、クライアント暗号化設定によって暗号化が行われるかどうかが決まります。
ジョブ
クライアントで暗号化が必要ない場合、暗号化の決定はジョブ・レベルに委ねられます。
一般的に、RMANのデータの暗号化は、ファイルシステムと同じルールで行われます。次の相違点に注意してください。
SBTからのRMANデータが暗号化されると、それ以上の暗号化は行われません。
1つのRMANバックアップに対して暗号化を有効にできません。これは、ジョブがその場で作成されるためです。
ホストで暗号化がrequired
と構成されているが、RMANバックアップの暗号化が有効化されていない場合、Oracle Secure Backupは、ホストの暗号化構成に基づいてOracle Secure Backup暗号化を使用してRMANバックアップを暗号化します。ただし、RMANバックアップの暗号化が有効化されていると、Oracle Secure Backupはバックアップが暗号化されることを認識します。RMAN暗号化により、このホストのrequired暗号化ポリシーが満たされます。この他のホスト暗号化設定にはOracle Secure Backupは対応しません。この場合、Oracle Secure Backupは、キー変更期間、暗号化アルゴリズムまたはキー生成の設定には従いません。
RMAN環境変数OB_ENCRYPTION
を使用してOracle Secure Backup暗号化の動作を制御できます。Oracle Secure Backupが使用する暗号化アルゴリズムは、Oracle Secure Backupに対して構成されたアルゴリズムに依存します。OB_ENCRYPTION
で有効な値は次のとおりです。
ON
Oracle Secure Backupは、バックアップ・データがRMANによってまだ暗号化されていない場合、バックアップ・データを暗号化します。
OFF
ホストのポリシーまたはグローバル・ポリシーがrequired
に設定されていない場合、バックアップ・データは暗号化されません。OB_ENCRYPTION
をOFF
に設定すると、値を指定しないのと同じことになります。
FORCEDOFF
Oracle Secure Backupはデータベース・バックアップを暗号化しません。ホスト固有の暗号化設定を上書きします。FORCEDOFF
設定はRMANには影響を与えないため、RMANはバックアップ・データを暗号化できます。
SWENCRYPTION
Oracle Secure Backupはハードウェア暗号化ではなくソフトウェア暗号化を使用します。このオプションは、状況によってハードウェア暗号化を使用しない場合に備えて提供されています。
注意: データを暗号化してテープに格納するかどうかの決定に関しては、Oracle Secure Backupの暗号化の通常のルールがすべて適用されます。いずれの場合でも、データがRMANによってすでに暗号化されている場合、Oracle Secure Backupはそれ以上の暗号化を実行しません。 |
関連項目: 詳細は、『Oracle Databaseバックアップおよびリカバリ・ユーザーズ・ガイド』を参照してください。 |
暗号化アルゴリズムは、グローバル・デフォルト・ポリシーから継承されます。これは、クライアント・レベルで上書きすることができます。各クライアントは異なる暗号化アルゴリズムを使用できます。たとえば、給与計算用コンピュータでは、研究室のテスト用コンピュータよりも高レベルの暗号化を使用できます。サポートされる暗号化アルゴリズムは次のとおりです。
AES128
AES192
AES256
注意: バックアップ暗号化アルゴリズムはジョブ・レベルでは選択できません。 |
クライアントのrekeyfrequency
ポリシーによって、異なるキーがいつ生成されるかが定義されます。たとえば、ポリシーによって、異なるキーのセットを30日ごとに生成するように求められることがあります。古いキーは、ウォレットで保護されたキー・ストアに保持されます。このようにしておくと、キーまたはウォレットおよび関連するバックアップ・テープが改ざんされても、古いデータだけは暗号化を解除できます。クライアントのデフォルトのrekeyfrequency
ポリシーは、グローバルのrekeyfrequency
ポリシーから継承されます。
キーは自動的に生成するか、パスフレーズを使用して生成することができます。推奨操作モードおよびデフォルト値は自動生成です。新たに作成されるクライアントごとに、mkhost
フェーズでキーが自動的に生成されます。このキーは、ウォレットで保護されたこのクライアント専用のキー・ストアに追加され、次の状況まで、暗号化で使用できます。
キーの更新イベントの発生
バックアップ管理者による自動生成キーの手動更新
バックアップ管理者によるキーからパスフレーズへの変更(異なるパスフレーズの提供時)
パスフレーズはどこにも格納されません。パスフレーズのハッシュとパスフレーズから生成されるキーは、暗号化されたストアに格納されます。Oracle Secure Backupではパスフレーズの最小長は強制されません。
異なるキーが作成されると、ウォレットで保護されたキー・ストアに追加され、アクティブな暗号化キーとしてマークが付けられます。古い暗号化キーはキー・ストアに残され、シームレスな自動データ復号化に使用されます。クライアントがバックアップ・ドメインから削除されても、そのキー・ストアは引き続き管理サーバーで保持されます。これにより、暗号化されたバックアップ・ボリューム・セットの古さにかかわらず、バックアップ管理者は常にデータをリストアできるようになります。
注意: キーがキー・ストアに自動的に追加されない例外が1つあります。一時バックアップのキーは実質的に1回かぎりのキーであり、通常はキー・ストアに格納されません。コマンドライン・オプションを使用してこの動作を上書きできます。一時バックアップの詳細は、「一時バックアップ」を参照してください。 |
キーが期限切れになると、異なるキーが自動的に生成されます。ただし、パスフレーズで生成されるキーの場合は、バックアップ管理者の作業が発生します。管理者は、パスフレーズ生成キーを使用しているクライアントごとにパスフレーズを入力する必要があります。パスフレーズ生成キーが期限切れになると、該当するクライアントのパスフレーズをバックアップ管理者が更新する必要があることを知らせる警告メッセージがOracle Secure Backupによって生成されます。このメッセージは、Oracle Secure Backupのログ・ファイル、ディスプレイ画面およびバックアップ管理者宛て電子メールに出力されます。
バックアップ暗号化を有効化すると、定義された暗号化アルゴリズムを使用してすべてのデータが暗号化されます。データはクライアントから移動される前に暗号化されます。暗号化キーは、Oracle Secure Backupウォレットで保護されるメカニズムに格納されます。
管理サーバーは安全なホストとみなされます。すべてのクライアントのすべてのキーとウォレットで保護されるキー・ストアは、この保護されたコンピュータに格納されます。バックアップまたはリストア・ジョブが開始すると、暗号化キーは、データの暗号化または復号化を行うクライアントにSSL接続を介して渡されます。暗号化キーがメモリーに存在するのは、暗号化または復号化を実行するのに必要な間のみです。
暗号化されたキー・ストアは、すべてのテープの暗号化と復号化を可能にする大変貴重なものです。このようなキー・ストアがなくなると、すべてのデータが損失することになります。バックアップ管理者にとってのベスト・プラクティス・タスクは、暗号化されたキー・ストアを確実にバックアップすることです。これは簡単に実行できます。暗号化されたキー・ストアは、ベスト・プラクティス・タスクとしてバックアップされているはずのファイル・システム・ブランチにあるためです。暗号化されたキー・ストアの形式は、プラットフォームには依存しません。
Oracle Secure Backupの管理データのバックアップは、自動生成キーで暗号化しないでください。自動生成キーで管理データを暗号化した場合、管理サーバーで障害が発生すると、暗号化キーの暗号化に使用された復号化キーを取り戻すのは困難だからです。このため、管理サーバー・ツリーの一時バックアップを作成することをお薦めします。
データはクライアント・レベルで暗号化されます。各クライアントには独自のキーのセットがあります。1つのキーが、バックアップの暗号化に使用されるアクティブ・キーです。古いキーは、それらを使用して作成された古いバックアップをシームレスにリストアするために使用されます。
場合によっては、バックアップ・ドメイン・サイトAの一連のデータをバックアップして、別のドメイン・サイトBにリストアする必要があります。バックアップ・セットは、いくつかのクライアントのバックアップ・ファイルを含む場合があります。クライアント・バックアップ・ファイルのそれぞれは、クライアント固有の暗号化キー(サイトAでの最近のバックアップで使用された可能性が高い)で暗号化されます。サイトBでこのデータを復号化するために、サイトAでデータの暗号化に使用されたすべてのキーを収集してサイトBに送る必要があります。
これらのキーは最近行われた他のバックアップで使用されているため、この処理がセキュリティの脅威になることがあります。Oracle Secure Backupでは、このようなセキュリティの脅威を発生させずに、サイト間のバックアップ暗号化を行うことができます。これには、特定のバックアップ・ジョブでボリューム・セット・レベルでデータを暗号化します。ボリューム・セット暗号化のキーはパスフレーズに基づくものです。このバックアップ・ジョブでは、すべてのクライアントのデータがこのパスフレーズ生成キーに対して暗号化されます。サイトAのバックアップ管理者は、パスフレーズと使用する暗号化アルゴリズムをサイトBに渡します。パスフレーズと暗号化アルゴリズムが提供されると、サイトBがリストア操作を行い、データを復号化できます。
これ以外のすべての場合、バックアップ暗号化の暗号化キーは、ウォレットで保護された対応するキー・ストアに自動的に追加されます。ただし、一時キーは、主としてデータをリモートの場所に移すために使用される1回かぎりのキーです。したがって、デフォルトでは、一時暗号化キーは保護されたキー・ストアには格納されません。Oracle Secure Backupでは、バックアップ管理者が一時暗号化キーをキー・ストアに格納するためのオプションはありません。
関連項目: obtool のbackup コマンドの詳しい構文とセマンティックは、『Oracle Secure Backupリファレンス』を参照してください。 |
Oracle Secure Backupでは、バックアップ管理者がグローバルまたはクライアントの暗号化設定を変更せずに、1回かぎりの非暗号化バックアップを実行することができます。
バックアップ管理者が、ホストのすべてのホーム・ディレクトリを別のホストへ移動しようと計画しているとします。ホスト間でのファイルの直接コピーは行いません。バックアップ管理者は、価値があるデータのデータセットをテープにバックアップし、別のホストでリストアし、移動の終了後すぐにテープ自体またはテープの内容を破棄しようとしています。間接的な作業が発生するため、バックアップ管理者は暗号化の使用は望んでいません。
このような特殊な場合に、バックアップ管理者はbackup
--encryption
forcedoff
コマンドを使用できます。このコマンドは、グローバルおよびクライアントの暗号化設定を上書きし、暗号化されないバックアップを実行します。このジョブのトランスクリプトと他のすべてのレポートには、このバックアップ・セットで暗号化が強制的に無効化されたことが記述されます。RMANバックアップでもRMANのOB_ENCRYPTION
変数を使用する同様の機能があります。
関連項目: obtool のbackup コマンドの詳しい構文とセマンティックは、『Oracle Secure Backupリファレンス』を参照してください。 |
デフォルトでは、グローバルおよびクライアントの最初のバックアップ暗号化ポリシー設定はallowed
です。暗号化キーは、デフォルトのAES192暗号化アルゴリズムで自動的に生成されます。デフォルト構成が企業にとって十分であるとバックアップ管理者が判断すれば、構成を行う必要はありません。この項では、それよりも複雑なケースの構成について説明します。
次に示す少し複雑な企業では、3つのクラスのホストがあり、それぞれが異なるタイプとレベルの暗号化を必要としています。
開発者用
これらのクライアントでは、sourcecodeと呼ばれるデータセットのソース・コード・バックアップ操作のみで暗号化が必要です。
給与計算用
このクライアントでは、毎週異なる暗号化キーを使用するAES256暗号化が必要です。
CEO用
このクライアントでは、パスフレーズ生成キーを使用してすべてのデータを暗号化する必要があります。
開発者用クライアントではオプションを変更する必要はありません。バックアップ管理者は、開発者用コンピュータのバックアップに使用されるバックアップ・ジョブをsourcecodeデータセットのために更新します。バックアップ・スケジュールがまだ存在していない場合、バックアップ管理者は、次のようにmksched
コマンドを使用してバックアップ・スケジュールを作成します。
mksched --dataset sourcecode --type backup --encryption yes SourceCode
バックアップ・スケジュールが存在している場合は、同じオプションを指定してchsched
コマンドを使用します。
給与計算用ホストでは、デフォルトのクライアント・ポリシーと、暗号化アルゴリズム、キー生成時間およびクライアント暗号化フラグの設定を変更する必要があります。バックアップ管理者は、次のようにchhost
コマンドを使用してこのような変更を行うことができます。
chhost -algorithm aes256 -encryption required -rekeyfrequency 1week Payroll
これにより、給与計算用クライアントのすべてのデータが、毎週異なる暗号化キーを使用して常にAES256アルゴリズムで暗号化されるようになります。
CEO用クライアントはデフォルトの暗号化で十分ですが、バックアップ管理者は暗号化キーのタイプをパスフレーズ生成に変更する必要があります。これは、次のようにchhost
コマンドをもう1回使用して設定します。
chhost --keytype passphrase -passphrase "What's my password?" TheBoss
初期構成が一度実行された後は、バックアップ暗号化を管理するための追加作業はほとんどありません。
暗号化の状態は、ファイルシステムとRMANのバックアップの両方で、バックアップ操作中にジョブのトランスクリプトにされます。
RMANまたはOracle Secure Backupを使用したバックアップ・データの暗号化には、パフォーマンスに影響を与えるという短所があります。この影響を判定するのは難しく、その重要性も状況によって異なります。パフォーマンスに影響を与えずに暗号化を実行しようとする場合、Oracle Secure BackupではLTO4テープ・ドライブでのハードウェアベースの暗号化を使用できます。
ハードウェア暗号化に対するLTOインタフェースは、ハードウェア暗号化対応のSCSI仕様によって実装されます。他のベンダーからも同様のハードウェアが提供されており、それらの製品はOracleによってテストおよび承認済として、Oracle Secure Backupに対応していることが動作保証されています。Oracle Secure Backup対応の各テープ・デバイスの詳細は、次のURLで入手できます。
http://www.oracle.com/technology/products/secure-backup/
ハードウェアベースの暗号化による、既存のOracle Secure Backup暗号化モデルに対する変更はありません。ハードウェアベースの暗号化で必要なものは、LTO4ハードウェアを除けば、Oracle Secure Backup内のポリシー・レベル、ホスト・レベルまたはバックアップ・ジョブ・レベルで暗号化を有効にすることだけです。ハードウェアベースの暗号化に関するすべての暗号化の決定、ポリシー、キー管理および設定は、ソフトウェアベースの暗号化に関するものと同じです。
ハードウェアベースの暗号化を選択するには、バックアップ用のLTO4ドライブを選択するか、Oracle Secure Backup管理ドメインにLTO4ドライブを含めるだけです。Oracle Secure BackupはSCSIコマンドを使用してLTO4ドライブ内の暗号化機能を有効にし、暗号化キーをLTO4ドライブに送信します。暗号化は、ソフトウェアではなくハードウェアのLTO4ドライブによって実行されます。LTO4ドライブが検出されない場合、またはドライブにLTO4テープがない場合は、既存のOracle Secure Backupソフトウェア暗号化モデルが使用されます。
LTO4ドライブにLTO4テープが含まれてはいるが、バックアップを完了するために追加のLTO4テープが必要な場合、Oracle Secure Backupは追加のLTO4テープを探します。見つかった場合は、そのLTO4テープがマウントされ、バックアップが続行されます。追加のLTO4テープをマウントできなかった場合、ジョブの状態はRunning
と表示され、バックアップ・オペレータによる入力が必要となります。
注意: ハードウェアベースの暗号化を使用してバックアップし、ソフトウェアベースの暗号化を使用してリストアすることはできません。また、ソフトウェアベースの暗号化を使用してバックアップし、ハードウェアベースの暗号化を使用してリストアすることもできません。 |
backup
コマンドの--disablehardwareencryption
オプションを使用すると、一時バックアップでのハードウェアベースの暗号化を無効にできます。このオプションを指定すると、Oracle Secure Backupはソフトウェアベースの暗号化を使用してバックアップを実行します。
ハードウェアベースの暗号化では追加のレポートやログは生成されませんが、次の既存のレポートおよびログに影響を与えます。
ハードウェアベースの暗号化により、Oracle Secure Backupが暗号化設定on/off/forcedoff/rman
を示しているすべてのトランスクリプト、ログまたはレポートに、LTO4テープ・ドライブによって暗号化されたデータのhardware
およびtransient_hardware
設定が追加されます。
ジョブ・トランスクリプトには暗号化のタイプとアルゴリズムが表示されます。
lssection
-long
コマンドの出力には暗号化タイプが含まれます。
lsvol
--long
コマンドの出力では、ボリュームを暗号化できるかどうかがテープの属性フィールドに表示されます。表示される可能性のある値は、unknown
、hw
encryptable
、およびnot
hw
encryptable
です。unknown
値はテープがマウントされ、Oracle Secure Backupがハードウェアの暗号化をサポートするかどうかを判別できるまで保持されます。
lsdev
--long
--geometry
コマンドは、ハードウェア暗号化を使用できるかどうかについてレポートします。
Oracle Secure Backupでは、ソフトウェアベースの暗号化に対して暗号化アルゴリズムAES128、AES192およびAES256がサポートされます。しかし、LTO4ハードウェアに対してサポートされている暗号化アルゴリズムはAES256のみです。したがって、グローバルまたはクライアント暗号化ポリシーでAES256以外のアルゴリズムが指定されていても、ハードウェアベースのバックアップはすべてAES256アルゴリズムで暗号化されます。
ハードウェア暗号化バックアップ・ジョブが完了すると、ジョブ・トランスクリプトおよびその他のすべてのレポートにAES256暗号化アルゴリズムが表示されます。アーカイブ・セクション・データベースおよびテープ・ヘッダーにも、AES256アルゴリズムが暗号化に使用されたことが示されます。
この動作は、ハードウェア暗号化による一時バックアップを実行する場合にのみ問題となり、キーは格納されません。この場合は、リストアを実行するときにAES256アルゴリズムを提供する必要があります。ハードウェア暗号化一時バックアップでbackup
--store
オプションを使用した場合、アルゴリズムは不要です。
Oracle Secure Backupでのハードウェアベースの暗号化は、次の2つの暗号化ポリシーによって制御されます。
enablehardwareencryption
このポリシーがデフォルト値のyes
に設定された場合、ハードウェアベースの暗号化が検討されます。このポリシーの値がno
に変更されると、Oracle Secure Backupはハードウェアベースの暗号化ではなくソフトウェアベースの暗号化を実行します。
requireencryptablemedia
このポリシーがデフォルト値のno
に設定された場合、Oracle Secure Backupは最初にハードウェア暗号化に対応したテープをマウントしようとします。マウントできない場合、Oracle Secure Backupはソフトウェア暗号化に切り替えます。このポリシーの値がyes
に変更されると、Oracle Secure Backupはハードウェア暗号化に対応したテープが使用可能になるまで、ジョブを保留状態にします。
テープ・ドライブがハードウェア暗号化に対応していない場合や、暗号化に対応しているテープを特定できない場合、このポリシーは無視されます。
これらのポリシーの値を変更するには、次のようにします。
Oracle Secure Backup のホームページで「構成」をクリックします。
「構成」ページが表示されます。
「拡張」セクションの「デフォルトとポリシー」をクリックします。
「構成: デフォルトとポリシー」ページが表示されます。
「ポリシー」列で、backupencryptionをクリックします。
「構成: デフォルトとポリシー > backupencryption」ページが表示されます。
ハードウェアベースの暗号化を無効にするには、「ハードウェア暗号化の有効化」リストで「いいえ」を選択します。
暗号化対応テープがLTO4テープ・ドライブにロードされない場合にバックアップ・ジョブを保留状態にするには、「暗号化対応メディアが必要」リストで「はい」を選択します。
「OK」をクリックします。
「構成: デフォルトとポリシー」ページに正常終了のメッセージが表示されます。