Orchestrator データの暗号化
公開日: 2016年3月
対象: System Center 2012 SP1 - Orchestrator、System Center 2012 - Orchestrator、System Center 2012 R2 Orchestrator
次のセクションでは、Orchestrator のデータの暗号化について説明します。
Orchestrator で暗号化されるデータと暗号化解除されるデータ
Orchestrator の暗号化データの管理方法
Orchestrator インスタンス間の暗号化データの移動方法
暗号化された変数のベスト プラクティス
System Center 2012 で導入された Orchestrator の暗号化された変数によって、Runbook 活動に機密データを提供するため、より安全に変数を使用できるようになりました。 暗号化された変数は、標準グローバル変数と同様に、サブスクリプションにより使用できます。 再公開される活動フィールドの変数にサブスクライブすると、変数の内容がデータ バスで公開される可能性があります。 このため、暗号化された変数は、再公開されないフィールドのみにサブスクライブします。 このベスト プラクティスは Orchestrator によって適用されるものではありませんが、計画プロセスの一部として使用する必要があります。
一方、暗号化されたデータを別のシステム (別のサーバーで実行されている製品など) に送信するためにデータ バスで公開する場合は、その製品へのチャネルのセキュリティを確保する必要があります。 たとえば、BMC Remedy は接続にはセキュリティ保護モードをサポートし、Web インターフェイスを使用する製品では一般的に、(HTTPS プロトコルを使用する) Secure Sockets Layer (SSL) 接続の使用を許可します。
Orchestrator で暗号化されるデータと暗号化解除されるデータ
Orchestrator は、Orchestrator プラットフォームの暗号化データの生成に使用される、暗号化サービスと暗号化解除サービスのコード セットを提供します。 これらのサービスを使用して、Orchestrator データベースで暗号化フラグが設定されたデータのセキュリティを保護し、Runbook の一部に使用できるようにデータの暗号化を解除してプレーンテキストに変換することができます。 これらのコアとなる暗号化サービスは、Orchestrator データベースと Management サーバーによって管理されます。 これらのサービスに関する権限は、Orchestrator ユーザー グループまたは Orchestrator システム グループのメンバーシップを通じて付与されます。
[!メモ]
Orchestrator Runbook には、外部の暗号化サービスによって暗号化され、Runbook の公開データとして使用されるデータが含まれることがあります。 Orchestrator は、そのような外部システムからのデータと他のデータ部分を区別せず、同様に処理します。
Orchestrator は、次の製品の機能分野で暗号化を使用します。
| 機能分野 | 説明 |
|---|---|
| Runbook 活動 | フィールド入力時にマスク処理されるプロパティは、すべて暗号化されます。 これには [セキュリティの資格情報] タブのパスワードが含まれますが、他のプロパティも対象となります。 |
| [オプション] メニュー | [オプション] メニューは、資格情報と、統合パックの構成に使用されるその他の情報の保存に使用されます。 接続設定のプロパティに暗号化されたプロパティを含めることができます。 |
| 変数 | [暗号化された変数] チェックボックスがオンになっている変数は、暗号化されます。 |
[!メモ]
暗号化された変数は、Runbook 活動で使用されるパスワードのように値を暗号化する必要のあるプロパティにおいて、サブスクリプションによって使用されます。 暗号化された変数が暗号化されていないフィールドにサブスクライブされると、暗号化された値が入力されます。 プレーンテキスト値を使用できるのは、暗号化されたプロパティにおいてのみです。
Orchestrator の暗号化データの管理方法
Orchestrator は、コアとなる暗号サービスであり、その設計は、SQL Server のセル レベルの暗号化を使用した AES をベースにしています。 そのため、すべての暗号化と暗号解除は、SQL Server で一元的に実行されます。 暗号化キーは、SQL Server で集中管理されます。 SQL Server サービス マスター キーと Orchestrator データベースのマスター キーの両方が、データの暗号化と暗号化解除に必要です。
Orchestrator は、実行時と設計時の両方の操作で暗号を使用します。 Runbook 作成者は Runbook Designer で Runbook 活動を対話的に操作します。しばしば、それらの活動は外部活動とのやりとりを行って、プロパティ グリッド、リスト値やその他のプロパティを "検出" します。 同じように、Runbook Tester で Runbook をテストする場合は、保護されたフィールドに入力された暗号化データをターゲット システムに渡せるようにするため、暗号化解除が必要となります。 また、Runbook Server で、暗号化されたデータの暗号を解除して、Runbook が外部システムとやりとりできるようにする機能が必要とされます。 そのため、Runbook Server、Runbook Designer、および Runbook Tester からデータベースの暗号サービスへのアクセスが必要となります。
コアとなる暗号サービスは、Orchestrator データベースに存在するため、基本的に、データベースへのアクセスにより暗号化されていないデータへのアクセスが定義されます。
Runbook サーバーはデータベースに直接アクセスします。 そのため、SQL Server が提供する暗号サービスに直接アクセスします。 SQL Server が提供する暗号サービスへの実行時アクセスは、Orchestrator システム グループのメンバーに限定されます。
Runbook Designer と Runbook Tester は、Management サーバーを通じて間接的にデータベースにアクセスします。 Management サーバーは、Runbook Designer と Runbook Tester からの暗号化/暗号化解除の要求に対応する新しいサービスを提供します。 Management サーバーは、Runbook 作成者のセキュリティ コンテキストを引き渡し、その資格情報が暗号サービスへのアクセスに使用されます。 SQL Server が提供する暗号サービスへの設計時アクセスは、Orchestrator ユーザー グループのメンバーに限定されます。
Orchestrator から暗号化データへのアクセスは、Orchestrator ユーザー グループと Orchestrator システム グループによって管理されます。 基本的に、これら 2 つのセキュリティ グループのメンバーは、コアとなる暗号サービスにアクセスする権限や、データベース内の暗号化された保存データの暗号化を解除する権限など、広範な Orchestrator の管理用アクセス権を持ちます。
Orchestrator インスタンス間の暗号化データの移動方法
Orchestrator データベースのインストール時に、データベースのマスター暗号化キーが作成されます。 このデータベース マスター キーは SQL Server マスター キーとともに、Orchestrator データベースに保存されたデータの暗号化と暗号解除に使用されます。 これは原則的に、暗号化データが、暗号化の実行元の SQL Server 2008 R2 インスタンスに対して "鍵" で固定されたことを意味します。 たとえば、特定の SQL Server 2008 R2 インスタンスの列から暗号化された文字列を "コピー" して、別の Orchestrator データベース インスタンスにその値を "貼り付け" ても、データベース マスター キーとサーバー マスター キーの両方が、そのデータが暗号化されたシステムのキーと一致しない限り、データの暗号を解除できません。
そのため、Orchestrator のインスタンス間で暗号化データを移動するには、次の 2 つのシナリオのいずれかが条件となります。
SQL Server サービス マスター キーと Orchestrator データベース マスター キーの両方が、そのデータがもともと暗号化されたシステムのキーと同一である
Runbook とその関連暗号化データをエクスポートしてから、新しいシステムにインポートする
基本的に、エクスポート機能は、エクスポート中にユーザーが入力したパスワードで暗号化されたデータのエクスポート ファイルを作成します。 このエクスポート ファイルには、インポート中に同じパスワードを入力して暗号を解除できる暗号化データが含まれます。 新しいデータベースの暗号化キーを使用して、データが暗号化され、データベースに保存されます。