LoginSignup
0
0
@shinyaarai(Shinya Arai)

CTE: Dataxformを利用しての大きなサイズのファイルの初期暗号化をためす

Posted at

概要

これまでのCTEのご紹介記事でファイルシステムレベル暗号のご紹介と、実際の利用手順を解説させていただきました。

ご紹介した手順では、Gauard Point (保護対象フォルダ)へ、ファイルを作成またはコピーすることで"暗号化”を行っておりました。

実際の運用となると、データベースのデータファイル等、数GBまたはTB等、大きなファイルの暗号化を、CTE利用開始前に行う必要があります。

CTEでは3つの方法をサポートしています。

  • Copy/Restore
    • GuardPointへのコピー(暗号化),GuardPointから通常のフォルダへのコピー(復号化)
    • 大きなサイズのデータの場合、"Copy/Restore"の方法を用いると、お手軽ですが、オリジナルと暗号化したファイル2つ分のストレージのスペースが必要になる問題があります
  • Dataxfrom utility利用
    • CTEの暗号化ユーティリティ"Dataxform"を利用することにより、コマンドラインより暗号化/復号化が行えます。
    • 大きなサイズのデータの場合でも、2倍のストレージスペースは必要ありません
  • LDT利用
    • 追加のオプションである LDT (Live Data Trasformation)を利用すると、自動で暗号化処理がバックグラウンドで行われます。
    • 大きなサイズのデータの場合、初期の暗号化に時間がかかり、この間、データベース等で、データを参照することができません。LDTを利用することで、データベース等を稼働したまま、暗号化処理が可能です。

今回の記事では、2つ目の "Dataxform"を利用しての初期暗号化を行ってみます。

目的

最短で "Dataxform"を利用しての初期暗号化を行う手段をご紹介します。
(詳細については、ドキュメントをご参照下さい)

参照ドキュメント

手順

管理者権限にて CM管理画面にログインします
CTE_Dataxform_001a.png

"Transparent Encription"(CTE)を選択します
CTE_Dataxform_002a.png

対象のサーバを選択します

Policyの作成

CTE_Dataxform_003a.png

左のメニューより、Policies > Policies を選択します
"Create Policy"を選択します

CTE_Dataxform_004a.png

Nameを入力します(任意:例"dataxform_policy")
”Data Transformation"を選択し、"Next"をクリックします

CTE_Dataxform_005a.png

"Add Security Rule"を選択します

CTE_Dataxform_006a.png

”Action:"の"Select"を選択します

CTE_Dataxform_007a.png

"all_Ops"を選択し、"Select"をクリックします

CTE_Dataxform_008a.png

”Add"をクリックします

CTE_Dataxform_009a.png

”Next"をクリックします

CTE_Dataxform_010a.png

"Create Key Rule"をクリックします
CTE_Dataxform_011a.png

”Current Key Name"の"Select"をクリックします

CTE_Dataxform_012a.png

"clear_key"を選択します
("clear_key"とは、平文のときの鍵設定で使用されます。)

CTE_Dataxform_013a.png

"Add"をクリックします

CTE_Dataxform_014a.png

"Next"をクリックします

CTE_Dataxform_015a.png

"Create Data Transformation Rule"をクリックします

CTE_Dataxform_016a.png

”Transformation Key Name"の”Select"をクリックします

CTE_Dataxform_017a.png

暗号化に利用する鍵を選択します(任意: 例”cte_key")
CTEで利用する鍵を選択します
"Select"をクリックします

CTE_Dataxform_018a.png

”Add"をクリックします

CTE_Dataxform_019a.png

”Next"をクリックします

CTE_Dataxform_020a.png

”Save"をクリックします

CTE_Dataxform_021a.png

dataxform 用のPolicyga追加されたことを確認します

GuardPointの追加

CTE_Dataxform_100a.png

左のメニューから、Clients > CLients を選択します
サーバを選択します

CTE_Dataxform_101a.png

"Create GuardPoint"を選択します

CTE_Dataxform_102a.png

"Select"を選択します

CTE_Dataxform_103a.png

dataxfor用のPolicy(例:"dataxform_policy")を選択し、"Select"をクリックします

CTE_Dataxform_104a.png

"Browse"をクリックします

CTE_Dataxform_105a.png

”Select Path:"から、GuardPoint(任意: 例"Test_Dataxform")のフォルダを選択し、"Select Path"を選択します
(GuardPointのフォルダへ予め対象のデータファイルを入れておきます)

CTE_Dataxform_106a.png

"Select Paths:"にGuadPointのフォルダが指定されていることを確認します
"Add"をクリックします

CTE_Dataxform_107a.png

CTE_Dataxform_109a.png

初期暗号化の実行

(実際の暗号化を行う場合には、データのバックアップを取ってから行って下さい)

GuardPointが、初期暗号化(/再暗号化)できることの確認

C:\>dataxform --rekey_supported --gp C:\Test_Dataxform
Checking if C:\\Test_Dataxform is a guard point with a rekey policy applied
C:\\Test_Dataxform is a guard point with a rekey policy applied

初期暗号化実行時間の見積もり

C:\>dataxform --deep_scan --gp C:\Test_Dataxform
Checking if C:\\Test_Dataxform is a guard point with a rekey policy applied
C:\\Test_Dataxform is not a guard point with a rekey policy applied
The deep scan will emulate transformation to derive timing estimates
About to perform a deep scan
-- To enable consistent results, do not access the directory during the scan
-- Transformation simulations will be performed, which may take some time
Do you wish to continue (y/n)?y
Status information for directories in guard point
Directory C:\\Test_Dataxform\\ contains 1 files (102400 MB)
Scan found 1 files (102400 MB) in 1 directories for guard point C:\\Test_Dataxform
Estimated data transformation time for C:\\Test_Dataxform is 0h 9m 32s
-- This is an estimated time using simulated data transformations on test files
-- The actual transformation time may be more or less than this estimate
The data transform operation took 0 hours, 0 minutes and 7 seconds
The data transform program ran from Fri Aug  2 07:55:01 2024 until Fri Aug  2 07:55:08 2024

Directory C:\Test_Dataxform\ contains 1 files (102400 MB)

およそ100GBのファイルが1つGuardPointにあります

Estimated data transformation time for C:\Test_Dataxform is 0h 9m 32s

今回のケースでは初期暗号化に 9分32秒 との"予測値"が出力されました。

初期暗号化の実行

実際に初期暗号化を実行します

C:\>dataxform --rekey --gp C:\Test_Dataxform
Checking if C:\\Test_Dataxform is a guard point with a rekey policy applied
C:\\Test_Dataxform is a guard point with a rekey policy applied
About to perform the requested data transform operation
-- Be sure to back up your data
-- Please do not attempt to terminate the application
If Shadow Copy was used on your system, you must back up your data before attempting to run dataxform. Once DataXform
   has been completed, you may restart Shadow Copy.  Note, however, that all  Shadow Copy backups made prior to running
   dataxform will be unusable and should be discarded. Attempting to restore your cleartext Shadow Copy backups made
   prior to running dataxform into your encrypted data will result in data corruption.
Do you wish to continue (y/n)?y
Scan found 1 files (102400 MB) in 1 directories for guard point C:\\Test_Dataxform
Processed 0 files (0 bytes) of 1 files (102400 MB) in C:\\Test_Dataxform, in progress 102400 MB, completed 15232 MB
Processed 0 files (0 bytes) of 1 files (102400 MB) in C:\\Test_Dataxform, in progress 102400 MB, completed 33088 MB
Processed 0 files (0 bytes) of 1 files (102400 MB) in C:\\Test_Dataxform, in progress 102400 MB, completed 49248 MB
Processed 0 files (0 bytes) of 1 files (102400 MB) in C:\\Test_Dataxform, in progress 102400 MB, completed 65536 MB
Processed 0 files (0 bytes) of 1 files (102400 MB) in C:\\Test_Dataxform, in progress 102400 MB, completed 82144 MB
Processed 0 files (0 bytes) of 1 files (102400 MB) in C:\\Test_Dataxform, in progress 102400 MB, completed 99488 MB
Transformed 1 files (102400 MB) of 1 files (102400 MB) for guard point C:\\Test_Dataxform
The data transform operation took 0 hours, 31 minutes and 1 seconds
The data transform program ran from Fri Aug  2 07:57:49 2024 until Fri Aug  2 08:28:50 2024
Data transform for guard point C:\\Test_Dataxform finished

The data transform operation took 0 hours, 31 minutes and 1 seconds

実際の初期暗号化処理は 31分1秒 かかりました

  • テスト環境 (ご参考)
    • CTE Agent v7.5.0.106
    • AWS EC2
      • OS: WIndows Server 2022
      • Instance type: t2.xlarge
        • vCPUs: 4
        • memory: 16GB
      • storage: gp2

dataxform セッションのクリーンアップ

初期暗号化が完了したので、クリーンアップを行います

C:\>dataxform --cleanup --gp C:\Test_Dataxform
About to remove the data transformation status files
Do you wish to continue (y/n)?y
Removal of data transformation status files completed

GuardPoint の削除

CTE_Dataxform_110a.png

GuardPointの一覧画面より、初期暗号化に用いた Dataxform用の Guardpointを削除するために"Unguard"を選択します

CTE_Dataxform_111a.png

"Unguard"をクリックします

補足

"暗号鍵のローテション"時のデータ再暗号化

今回の記事ではCTE利用開始時、必要になる"初期暗号化"を中心にご説明しました。
同じ方法が、"暗号鍵のローテション"時のデータ再暗号化でも利用できます。

"NIST SP800-57 Part 1 Rev.5 鍵管理における推奨事項”や、PIC-DSS等で、"暗号鍵のローテション"が推奨されています。これにより、セキュリティを強化し、万が一鍵が漏洩してもその影響を最小限に抑えることができます

IPAにて、"NIST SP800-57 Part 1 Rev.5 鍵管理における推奨事項”をベースに、"暗号鍵管理ガイドライン”を取りまとめています("NIST SP800-57 Part 1 Rev.5 鍵管理における推奨事項”和訳あり)

"初期暗号化"と"再暗号化"のちがい

現在の利用している鍵と、新しい鍵を Dataxformに与える必要があります
初期暗号間時には、"現在の鍵"に"clear_key"を指定する必要があります。

対象操作 現在の鍵 新しい鍵
初期暗号化 "clear_key"(平文の鍵として便宜上利用される) CTE暗号化に利用する鍵
再暗号化 CTE暗号化で現在利用している鍵 交換する新しい鍵
0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0