データ暗号化

データを暗号化すると、メディアを物理的に紛失した場合に、中にあるデータは判読不能であり、機密は保持されます。データを取得できない、つまり、取得するためには復号が必要です。IBM® Integrated Analytics System では、Data at Rest (保存されたデータ、ディスクにあるデータ) のマルチレベルの暗号化が提供されます。

Db2® ソフトウェア暗号化は、Db2 によって管理される、ストレージ・デバイスに保管されたデータベース・データを保護するためにのみ使用されます。統合ラックを使用するシステムでは、すべての保管データを保護するためにストレージ・デバイスの基礎的なハードウェア暗号化機能も使用できます。

IIAS では、ソルト付き SHA1 (SSHA) スキームを使用して内部ユーザー・パスワードを LDAP データベースに保管します。

暗号化スキーム

暗号化スキームでは、保護の必要なデータを、暗号アルゴリズムと暗号鍵を適用することで判読不能な形式に変換します。暗号アルゴリズムは、暗号化/復号の処理で使用される数学関数です。暗号鍵は、暗号アルゴリズムの処理を制御して、信頼できるデータ暗号化/復号を可能にする文字列です。鍵の管理には、通常、ローカルまたは外部の鍵マネージャーが使用されます。

ネイティブ・データベース暗号化では、基礎となるファイル・システムを呼び出してディスクにデータを書き込む前に、データベース・システム自体によってデータが暗号化されます。つまり、現在のデータが保護されるだけではなく、今後追加される可能性のある新規の表スペース・コンテナーまたは表スペース内のデータも保護されます。データベース暗号化鍵 (DEK) は、実際のユーザー・データの暗号化に使用される暗号化鍵です。 マスター鍵は、この DEK を保護するために使用される「鍵暗号化鍵」です。DEK はデータベースによって保管および管理されますが、マスター鍵はデータベースの外部で保管および管理されます。マスター鍵の入れ替えについて詳しくは、Db2 Warehouse native encryption を参照してください。

ハードウェア暗号化では、フラッシュ・サブシステムなどのストレージ・デバイスで、データのメディアへの書き込み時に暗号鍵に基づいてデータを暗号化できます。暗号鍵は、ストレージ・コントローラーに常駐させることも、外部の IBM Security Key Lifecycle Manager などの暗号鍵サーバーに保持することもできます。

統合ラック・モデルでのストレージ暗号化について詳しくは、統合ラックを使用するシステムでのストレージ・ハードウェア暗号化を参照してください。

M4002-001 モデルでのストレージ暗号化について詳しくは、M4002-001 モデルのストレージ・ハードウェア暗号化を参照してください。

現行では、Db2 ソフトウェア暗号化はデフォルトで有効になっており、無効にすることはできません。鍵は常に Db2 ソフトウェアによって管理されます。統合ラック・モデルでは、IBM Security Key Lifecycle Manager (IBM SKLM) を介した外部暗号鍵管理がサポートされます。

統合ラック・モデルの永続メディア・タイプ

IIAS には、3 つのタイプの基本永続メディアがあります。
  1. サーバー常駐のハード・ディスク・ドライブ (OS ディスク)
    • ディスクには、OS、他のソフトウェア・パッケージ、ログ・ファイル、および OS スワップ領域が保持されます。
    • ハードウェア暗号化されません。
    • ディスクのハードウェア暗号化は、現在の Power® P8 サーバーではサポートされていません。
  2. 第 1 層のストレージ (ホット表データ)
    • データは FlashSystem 900 ストレージ・アレイで提供されます。
    • データは常に暗号化されてフラッシュ・モジュールに書き込まれ、デフォルトで、鍵はフラッシュ・アレイ・コントローラーに常駐します。IIAS と外部 IBM Security Key Lifecycle Manager (IBM SKLM) を統合することによって管理できます。
    • フラッシュ・モジュールが削除された場合、データは判読不能です。フラッシュ・アレイ全体が削除された場合、データはアクセス可能ですが (鍵が IBM SKLM によって外部で管理されていない場合)、同時に Db2 ソフトウェアによって暗号化されています。
  3. 第 2 層のストレージ (クール・データ)
    • データは V5020 HDD ストレージ・アレイで提供されます。
    • データは暗号化されずに書き込まれますが、Db2 ソフトウェア暗号化によって保護されます。

IIAS ハードウェア・ビルディング・ブロックについて詳しくは、ラック提供モデルのハードウェアを参照してください。

M4002-001 モデルの永続メディア・タイプ

IIAS M4002-001 には、2 つのタイプの基本永続メディアがあります。
  1. 2 つの M.2 ドライブ - OS およびプラットフォーム用
    • ホット・スワップには対応していません。
    • 暗号化はサポートされていません。
  2. 4 つの 4 TB NVMe SSD ドライブ - 4 つのユーザー・データ
    • ユーザー・データ・ストレージ用に使用されるホット・スワップ対応ドライブです。
    • Data at Rest 暗号化が常に有効です。
    • データの保護および冗長性は GPFS によって管理されます。