Amazon Web Services (AWS) クラウドキー管理 with Fortanix
概要
どの他のクラウドサービスプロバイダーと同様に、Amazon Web Services(AWS)もマスターキーの生成と管理のためのクラウドネイティブなキー管理サービスを提供しています。しかし、ネイティブのキー管理には独自の欠点があります。主な問題点は以下の通りです:
- クラウドプロバイダーがキーの素材を所有しており、そのキーは通常、単一のクラウドかつ単一のテナントでのみ使用可能です。マスターキーが削除されると、そのキーを取り戻す方法はなく、そのキーで暗号化されたデータは失われます。
- マルチクラウドにわたるキー管理ポリシーの細かい制御を一貫して設定する方法がありません。
- 顧客はマルチジオおよびマルチクラウドのキー管理を一元的に管理するための単一の管理画面を持てません。ポリシーフレームワークや監査はクラウドごとに異なります。
ソリューション概要
FortanixのAWSキー管理ソリューションは、ネイティブAWS KMSキー(CMK - カスタマーマスターキー)の管理と自動化のための完全な自動化されたBYOK(Bring Your Own Key)およびライフサイクル管理を提供し、ユーザーがすべてのキーを中央で安全に管理できるようにします。
これにより、AWSユーザーは自身のマスターキーを持ち込むかインポートでき、AWSはそのキーをキー管理システムに保存し、そのキーの下で全てのデータ暗号化キー(DEK)を暗号化します。これにより、データとキーの管理をより強化できます。
なぜFortanixなのか?
FortanixのAWSキー管理ソリューションは、完全自動化されたBring Your Own Key(BYOK)およびライフサイクル管理を提供し、ネイティブAWS KMSキー(CMK – カスタマーマスターキー)の管理と自動化を可能にし、ユーザーがすべてのキーを中央で安全に管理できるようにします。
これにより、AWSユーザーは独自のマスターキーを持ち込むかインポートでき、AWSはそれをキー管理システムに保存し、そのキーの下で全てのデータ暗号化キー(DEK)を暗号化します。これにより、データとキーの管理をより強化できます。
Fortanix Data Security Managerは、組織がAWSクラウド向けにBring Your Own Key(BYOK)を実現することを可能にします。この方法では、顧客が独自のマスターキーを持ち込むかインポートし、AWSがそれをキー管理システムに保存し、そのキーの下で全てのデータ暗号化キー(DEK)を暗号化します。これにより、顧客はデータとキーの管理をより強化できます。
AWS向けFortanix DSMのユースケース
ソリューションの仕組み
Fortanix DSMアカウントにAWS KMSグループが作成され、このグループはAWS KMSと連携するように設定されます。AWSグループが接続情報を使用してAWS KMSへの接続に成功した後、AWS KMSからのキーは仮想キーとしてFortanix DSM AWSグループに保存されます。仮想キーとは、キーマテリアルがAWSグループ内に存在しないキーのことです。キーマテリアルはAWS KMS内に安全に保存されます。
