1.
2021年 8月 24日 15:00~
クラウドプロバイダーが
守ってくれない重要なデータの保護！
ENTRUSTの強力な
暗号化ソリューションのご紹介
×

2.
株式会社クライム
• お問い合わせ
東京：03-3660-9336
大阪：06-6147-8201
https://www.climb.co.jp/soft/contact/contact.php
2
• 主な事業内容
ソフトウェアの販売とサポート
データ保護、活用に強み

3.
講演担当
• 飯尾 旭 (いいお あさひ)
• シニアエンジニア
• 主にクラウド、セキュリティ
ソリューションを担当

4.
クラウド環境でもデータ暗号化は必須

5.
クラウド環境でも暗号化は必須

6.
暗号化、暗号鍵管理なら

7.
HyTrustについて
・開発元
カリフォルニア州 マウンテンビュー
・Best of VMworldなど
数多くのアワードを受賞
・2つのソフトウェアによる
セキュリティソリューション

8.
対応するセキュリティ認証

9.
HyTrust DataControlとは
・エージェントによる様々な環境の暗号化(AES-256)
・仮想、クラウド、エンタープライズな環境まで

10.
HyTrust DataControlによる暗号化
・ポリシーエージェントによる暗号化 (AES-256)
・再起動不要
・KeyControlサーバがキー管理を実施
暗号化単位
・各ドライブ
・ブートファイル
・ルート
・データパーティション
・ファイル、オブジェクト

11.
対応OS (Windows系)
•Windows 8.1 ~ 10
•Windows Server 2012 ~ 2019
•Windows Server Core 2012 R2 ~ 2019

12.
対応OS (Linux系)
• CentOS 7.0-1810 , 7.0-1908 , 7.8-2003
• CentOS 8.0-1905, 8.1-1911, 8.2-2004, 8.3-2011
• RHEL 7.6 ~ 7.9
• RHEL 8.0 ~ 8.3
• Ubuntu 18.04 ~ 18.04.5
• Ubuntu 20.04.2010
• AWS Amazon Linux 2
• SUSE Linux Enterprise Server 12 SP5
• SUSE Linux Enterprise Server 15 SP2

13.
一目でわかる暗号化状況

14.
ポリシーベースでの暗号化設定管理
• あらかじめ管理サーバ側でVMセット(ポリシー)を作成
→エージェントインストール後、ポリシーを適用することで
毎回パラメータ指定することなく、既存セキュリティポリシーを
流用可能に
ポリシーA ポリシーB ポリシーC
ポリシー
エージェント
VM
適用

15.
ワークロードの自動保護
• VMセットに登録されたマシンのドライブ、フォルダを自動暗号化
※暗号化処理はオンラインで実施、再起動不要
• 暗号化オプションとして、暗号化範囲をVMセットごとに指定可能
例) 全ボリューム対象、E:のみ、D:data、dev/sdb1は除くなど
• エージェントインストール、KeyControlへの接続のみで自動処理

16.
ワークロードの自動保護
E:を自動暗号化中

17.
そのほかポリシーによる制御項目
• エージェント側から暗号化解除やアンインストール許可も制御
• マシンの構成変更や再起動を検知し、
暗号化ディスクやフォルダを閲覧不可に
マシンおよびVMセット単位で
細かく条件設定可能

18.
ポリシー違反時の動作例
• 違反前

19.
ポリシー違反時の動作例
• 違反後
E:が参照不可に変更

20.
マシン間での安全なファイルコピー
• エージェントがインストールされたマシンでのみ、復号化可能
※仮想、クラウド問わず
KeyControl
エージェント
Linux VM
エージェント
Linux VM
データセンター

21.
HyTrust DataControlによる暗号化
・ポリシーエージェントによる暗号化 (AES-256)
・再起動不要
・KeyControlサーバがキー管理を実施
暗号化単位
・各ドライブ
・ブートファイル
・ルート
・データパーティション
・ファイル、オブジェクト

22.
HyTrust KeyControlとは
• Key Management Server(KMS)として動作
VMware認定KMSの1つ

23.
Confidential and Proprietary
VMware暗号化
vSAN暗号化
vTPM
VMware認定KMS

24.
HyTrust KeyControlとは
• Key Management Server(KMS)として動作
VMware認定KMSの1つ
• 暗号化キーの管理に特化した仮想アプライアンス(KMIP準拠)
VMware標準暗号化やvSAN暗号化、vTPMもサポート

25.
KMIP準拠
• KMIP (Key Management Interoperability Protocol)による通信

26.
ESX Host
VM 暗号化モジュール
VM
Datastore
VMDK
- KEK id
DEK
コンテンツ
vSphereネイティブ暗号化のアーキテクチャ
Confidential and Proprietary
KeyControl
KMIP
Object Store
KEK Id
KEK
vCenter
暗号化ポリシー
KMS List
HyTrust
KEK = Key Encryption Key
DEK = Data Encryption Key
KMIP = Key Management Interface Protocol
BLUE = HyTrust コンポーネント ORANGE = VMware/Customer コンポーネント
1. 管理者が暗号化ポリシーを作成し、VMへ適用
2. vCenterがHyTrust KeyControlにKEKをリクエスト
3. vCneterのDEKは、HyTrust KeyControlのKEKによって暗号化

27.
VMware vSAN暗号化のアーキテクチャ
Confidential and Proprietary
コンテンツ
KeyControl
KEK Id
KEK
vCenter
暗号化ポリシー
KMS List
HyTrust
KEK = Key Encryption Key
DEK = Data Encryption Key
KMIP = Key Management Interface Protocol
BLUE = HyTrust コンポーネント ORANGE = VMware/Customer コンポーネント
vSAN Datastore
DEK DEK DEK
KMIP
Object Store
1. 管理者がvSAN暗号化を有効にする
2. vCenterがHyTrust KeyControlにKEKをリクエスト
3. vCenterのDEKは、HyTrust KeyControlのKEKによって暗号化
4. vSAN再起動時に、ESXiホストがHyTrust KeyControlへKEKリク
エスト

28.
HyTrust KeyControlとは
• Key Management Server(KMS)として動作
VMware認定KMSの1つ
• 暗号化キーの管理に特化した仮想アプライアンス(KMIP準拠)
VMware標準暗号化やvSAN暗号化、vTPMもサポート
• 約10分でOVFテンプレートからデプロイ、すぐに使用可能
別途Windows OSは不要

29.
簡単にデプロイ可能
• OSの準備がなくとも、OVFテンプレートからデプロイ
• 必要リソース：2CPU、8GB RAM、60GB Disk

30.
HyTrust KeyControlとは
• Key Management Server(KMS)として動作
VMware認定KMSの1つ
• 暗号化キーの管理に特化した仮想アプライアンス(KMIP準拠)
VMware標準暗号化やvSAN暗号化、vTPMもサポート
• 約10分でOVFテンプレートからデプロイ、すぐに使用可能
別途Windows OSは不要
• HyTrust組み込み機能でクラスタ構成可能

31.
KeyControlサーバのクラスタ構成
• HyTrust側の機能を使用
• 共有ストレージ不要
• いずれかのノードが生きていれば、リクエストに対応可
KeyControl KeyControl
Local
HyTrustの機能で
クラスタリング

32.
まとめ
• クラウド環境でも、データ保護(暗号化やバックアップ)は必須
→ユーザ側の責任
• 様々なパブリック/プライベートクラウドのマシンを暗号化
→Webコンソールから暗号化状況を一元管理
ポリシーベースの管理で手間なくセットアップ
• KMIP準拠のKMSで暗号鍵を管理
→仮想アプライアンスで動作、セットアップも手間なく
ソフトウェア側の機能で冗長構成も可能

33.
評価版、日本語ドキュメントをご用意しています
• 30日間無料評価版
https://www.climb.co.jp/soft/hytrust/download/
• 日本語ドキュメント
https://www.climb.co.jp/soft/hytrust/document/