2018年12月8日土曜日

#Nutanix のデータ暗号化の話

本記事は Nutanix Advent Calendar 2018 12月8日分の記事です。


Nutanix関連、で様々な技術的な記事がありますが、
暗号化に関する記事を見かけないので、
今回は取り上げようと思います。
なお、昨年2017年時点でも取り上げていますが、
改めて詳細に投稿するという感じです。


1.そもそもデータの暗号化をする意味は?

ずばり、盗難や交換後のディスクからの
情報漏洩リスクを排除するという、
物理的な情報漏洩対策です。

必ず必要?と言われると
最早ユーザさんの考え方です。
また、従来のストレージ製品でも
考え方は全く同じであり、
Nutanixの特有のお話ではないです。

その一方で、セキュリティ関連の
認証取得の観点で暗号化の機能の利用が
必須となる場合があります。
例えば個人情報の取り扱いや、
クレジットカードといった金融情報の
取り扱いに関わる認証を取得する場合です。

ワールドワイドでは、高セキュリティを必要とする場合、
特に金融系の案件ではかなりの確率で利用されているようです。

国内では、実際採用実績がほとんどなく、
著者が所属する会社でしか構築経験がないような状況です。
もっと広がってほしいという意図から、
本記事を執筆しています。


なお、今回の記事の背景となる利用ケースでは、
クレジットカード向けのセキュリティ基準である、
「PCI DSS」という認証を取得する為に、
Nutanixのデータ暗号化機能を活用しています。



2.Nutanixのデータ暗号化2方式

Nutanixではデータの暗号化において、
大きく2つの手法があります。
 ①暗号化機能付きのディスクを利用したハードウェア方式
 ②AOSの機能によるソフトウェア方式

①はAOS4.xの頃から利用可能な機能でした。
 確実性は高いのですが、
 自己暗号化機能付きのディスクを選択する必要があるので、
 後から急にやりたいと言ってもダメなやつです。

②については5.xから実装されてきており、
 AOSの機能でソフトウェア的に暗号化を実装します。
 こちらはハードウェアに頼らない為、
 当初のお買い物で暗号化ディスクを選択していなくとも、
 後から挑戦できるものです。


3.暗号化における鍵管理

暗号化をするための2方式を解説しましたが、
もう一つ理解する必要があるのが、
「鍵管理の方式」です。

データ暗号化をする場合、
外に暗号化を解除する持つサーバがおり、
そのサーバと会話することで、
データが復号化され、正常にアクセスできるようになります。

この鍵管理の仕組みが、
AOS5.5まではAOSには実装されておらず、
サードパーティの製品に頼る必要がありました。
※サードパーティについての説明は次項目にて。

つまり、Nutanix製品だけで完結せず、
構築を行う会社側が取り扱えないケースがあり、
残念ながら提案に組み込まれていない
傾向にあるのかもしれません。

一方で、AOS5.8(だったはず)からは鍵管理機能が
実装されてきましたので、
Nutanixの中で完結して管理ができるようになりましたので、
利用のハードルはぐっと下がりましたね。



4.データ暗号化に利用するサードパーティ製品

最新のAOS5.10でサポートされるサードパーティの
鍵管理製品を確認(2018/12/8時点)すると、

 IBM Security Key Lifecycle Manager 
 SafeNet KeySecure / Virtual KeySecure
 Vormetric Data Security Manager
 
が対応しているとのこと。
以前に確認したときも同じだったので、
まあ顔ぶれは変わらなさそうですね。

国内実績(というか弊社実績)はSafenetさんの
製品での実績となります。
これは問題なく使えてます。
製品によっては、仮想アプライアンスの
選択肢もありますので、
うまく選択して使ってください。

ただし、10万円とかそんな安価なものではないので、
調達を検討している時は予めしっかり価格を確認してください。

また、鍵管理サーバの障害時、
AOSのクラスターを停止しない限りは
アクセス継続できますが、
何らか止めた瞬間からアクセスできなくなる
リスクがあります。
鍵管理サーバは必ず冗長性の考慮や
鍵情報の保管などのリスク対策を行ってください。

ここまで書くと、鍵管理製品入れる必要ないのでは?
という疑問が沸くと思いますが、
次のようなケースには鍵管理サーバをサードパーティで
採用する必要があります。

 ①セキュリティ認証の要件で、同一筐体内での
  鍵管理が認められていない。
  また鍵の定期的なライフサイクルが定められている。
  (PCI DSSではこのケースに該当します)

 ②Nutanixに限らず、クラウドや複数の環境の
  暗号鍵管理が必要である。

提案のケースによっては、サードパーティも
選択肢に加えておきたいところです。


5.データ暗号化以外の物理的な対策は?

データの暗号化機能を選択しないケースで
物理的な情報漏洩で気になるのは、
HW交換で交換したDISKの行方ですよね。
特段外部に漏洩したという話は聞きませんが、
気になる方もいるのではないでしょうか。

この場合は、保守のオプションとして、
ディスク返却不要のオプションを
有償で付与できます。
これにより、DISK交換時、
交換前のDISKは手元に残るようになるので、
あとは自社の所定のルールに基づいて処分が可能です。

自分が関わる金融系の案件では、
最低限でもこのオプションを選択しており、
選択しない案件は0です。
このあたりは、利用者のポリシー次第ですので、
要件に合わせて対応してくださいませ。


今回は、本番業務を意識した、
セキュリティの話をお届けしました。
海外の金融×Nutanix案件では普通に使われていることなので、
押さえておきたい内容です。

明日は、dozonotさんのNutanix CEの話題ということなので、
楽しみです。


今回の記事は以上です。