VPC リソースの鍵のローテーション
カスタマー・ルート鍵 (CRK) で保護されているボリューム、ファイル共有、カスタム・イメージなどの IBM Cloud VPC のリソースは、ルート鍵をローテーションすることでセキュリティーを強化できます。 定期的に、またはオンデマンドでルート鍵をローテートすると、元の鍵素材が置き換えられます。 古い鍵は、既存のボリュームの復号には有効なままですが、新しいボリュームの暗号化には使用できません。
鍵のローテーションの概要
お客様管理の暗号化を適用したリソース (ボリューム、ファイル共有、カスタム・イメージなど) では、信頼の起点の鍵として、お客様のルート鍵 (CRK) を使用します。 ルート鍵の機能は、リソースを保護するデータ暗号鍵 (DEK) を暗号化する LUKS パスフレーズを暗号化することです。 ご使用の CRK を鍵管理サービス (KMS) のインスタンスにインポートすることも、KMS で CRK を自動生成することもできます。 サポートされる鍵管理サービスは、 Key Protect および Hyper Protect Crypto Services である。 ルート鍵は、KMS インスタンス内でローテートされます。
ルート鍵をローテートするときには、新しい暗号鍵素材を生成またはインポートして、新しいバージョンの鍵を作成します。 古いルート鍵は廃止されます。つまり、古いルート鍵の鍵素材は既存のリソースの暗号化解除には引き続き使用できますが、新しいリソースの暗号化には使用できません。
各 KMS インスタンスに、鍵のローテーションに使用できる複数のルート鍵を保管できます。 これらのルート鍵は、クラウドにインポートした鍵や、KMS インスタンスで自動生成した鍵の組み合わせにすることができます。
ローテーション・ポリシーを設定して、キーの自動ローテーションをスケジュールすることができる。 ローテーションの間隔で KMS が新しいルート鍵を生成し、ルート鍵を新しい鍵素材に自動的に置き換えます。
KMS 内にない新しい鍵素材を提供するために KMS インスタンスにインポートするルート鍵の場合、自動鍵ローテーションをセットアップすることはできません。 代わりに、インポートした新しい暗号鍵マテリアルを使用して、手動で鍵をローテートする必要がある。
鍵のローテーションの仕組み
鍵のローテーションは、ルート鍵素材を安全に移行し、リソースを保護するルート鍵の暗号期間を短くすることで有効に機能します。 新しいリソースは最新のルート鍵で暗号化される。
ルート鍵をローテーションすると、サービスはその鍵で保護されているすべてのリソースを識別し、リソースを自動的に再暗号化する。 この暗号化プロセスでは、データ暗号鍵 (DEK) を保護する LUKS パスフレーズをラップ (暗号化) します。 システム生成の DEK は、仮想ディスク内のデータを暗号化します。 このプロセスはエンベロープ暗号化と呼ばれ、ラップされた DEK (WDEK) を作成します。 WDEKは、仮想ディスク内のデータを保護するデータ暗号化キーを参照_しない_。 代わりに、LUKS パスフレーズを暗号化します。
新しいバージョンのルート鍵は、次回リソースが暗号化解除されるときに、新しく再ラップされた LUKS パスフレーズをアンラップするために使用されます。 例えば、インスタンスの再始動時にボリュームを暗号化解除する場合に使用されます。
サービスは古いルート鍵バージョンを廃止しますが、既存のリソースを暗号化解除には引き続き使用できます。 鍵のバージョンをリスト表示すると、鍵がローテートされた回数と最新のバージョンを確認できます。 ルート・キーの古いバージョンは、有効期限が切れるか、復号化するためのリソースがなくなるまで機能し続ける。 ルート鍵を手動で 無効化 または 削除 するか、インスタンスを再始動すると、古い鍵は機能しなくなります。
ルート鍵をローテーションした後は、新しいバージョンのルート鍵を新しいリソースの暗号化に使用できるようになります。
鍵のローテーションのプロセスについて詳しくは、以下を参照してください。
- Key Protect - 鍵のローテーション・プロセスの概要
- Hyper Protect Crypto Services - Root key rotation
鍵のローテーションの利点
ルート鍵のローテーションには、以下のようなセキュリティー上の利点があります。
- 1 つのルート鍵によるデータの保護期間を制限できます。 特定のルート鍵でリソースが暗号化されている期間が短くなるため、セキュリティー侵害の可能性を減らすことができます。
- 鍵のローテーション後に作成されたリソースは別の鍵素材で暗号化されるため、1 つのバージョンのルート鍵で暗号化されるリソースの数を制限できます。
- 組織でセキュリティー上の脅威が検出された場合は、ただちに鍵をローテーションしてリソースを保護できます。
- 鍵をローテーションすることで、鍵の漏洩に関連するコストを軽減できる。
鍵のローテーションのオプション
KMS インスタンスでルート鍵をローテートするには、ローテーション・ポリシーを設定するか、手動で鍵のローテーションを実行します。 ローテーション・ポリシーでは、スケジュールに基づいて鍵を自動的にローテートします。手動ローテーションでは、オンデマンドで鍵をローテートします。
Key Protect および Hyper Protect Crypto Services では、各ルート鍵について1時間に1回のローテーションを許可している。 要求すると、KMS はただちに鍵を置き換えます。 このオプションは、新しいルート鍵を KMS インスタンスにインポートして、すぐに鍵をローテートしたい場合に使用してください。
これらのオプションの詳細については、以下を参照のこと:
- Key Protect- ローテーション・ポリシーの管理 および 手動による鍵のローテーション。
- Hyper Protect Crypto Services- ルート鍵のローテーション・ポリシーの設定 および ルート鍵の手動ローテート。
ルート鍵のメタデータ
ルート鍵をローテーションしても、鍵は同じメタデータと鍵IDを保持する。 鍵のローテーションにより、ルート鍵の暗号文と keyVersion
データが変更されました。