Db2 V11.5 と Luna ハードウェア・セキュリティー・モジュール (HSM)の連携
はじめに
Luna ハードウェア・セキュリティー・モジュール (以降 単純に"HSM"と表記します)は、高度なセキュリティ機能を有する環境での鍵管理や暗号化などの処理を行う専用のハードウェアアプライアンス製品です。Db2は ネイティブ暗号化でマスター鍵 (MK) を保管する鍵ストアを、HSM をつかって構成することが可能です。
本シリーズでは Db2 サーバーとHSMアプライアンス(SafeNet Network HSM 7)で、Db2ネイティブ暗号化のマスター鍵をHSMに生成する方法を示します。
本シリーズはタレス社より提供いただきました資料をベースにDb2 V11.5でHSMアプライアンスに鍵ストアを構成した手順をお伝えすることを目的に作成しております。ある特定の環境・使用状況においての正確性が確認されていますが、すべての環境において同様の結果が得られる保証はありません。
これらの技術を自身の環境に適用する際には、自己の責任において十分な検証と確認を実施いただくことをお奨めいたします。
Db2 ネイティブ暗号化での鍵管理方式について
Db2® ネイティブ暗号化では、データ暗号化に 2 層アプローチを使用します。 データがデータ暗号鍵 (DEK) を使用して暗号化され、その DEK がマスター鍵 (MK) を使用して暗号化されます。 暗号化された DEK はデータとともに保管され、MK は Db2 の外部にある鍵ストアに保管されます。
Db2でサポートされるマスター鍵 (MK)が保管される鍵ストアは3種類あります。
このシリーズで取り上げるのは2種類です。(指差しマークの部分です)
- ローカル鍵管理: IBM GSKitを用いたローカル鍵ストア (PKCS #12 アーカイブ・ファイル・フォーマットに準拠)
- エンタープライズ鍵管理: Hardware Security Module上の鍵ストア
本シリーズの構成
本手順書では スタンドアローンのDb2 サーバーとHSMアプライアンス(SafeNet Network HSM 7)1台の構成で、Db2ネイティブ暗号化のマスター鍵をHSMに生成する方法を示します。
検証環境情報
このシリーズは次の環境で検証しました。
- LUNA NETWORK HSM A700
- Software Version: 7.4.0-226
- Firmware: 7.3.3
- Luna Client 環境
- AIX V7.2 (oslevel –s : 7200-03-03-1914)
- LunaClient_10.2.0-111_AIX610-000399-002_SW_Universal_Client_10.2_AIX_RevA.tar
- IBM Db2 Server 11.5
参考文書
Luna HSMについて
タレス社がHSMについて講演した資料が次になります。
検証に使用したLUNA NETWORK HSM A700につきましては次をご参照ください。