キー管理フレームワークの理解
キー管理フレームワーク (KMF) API/UX を使用すると、ServiceNow インスタンスでの暗号化操作の実行方法を完全にカスタマイズして管理できます。ServiceNow キー管理フレームワーク は、インスタンス側の暗号化キー管理サービスのための安全で包括的なインターフェイスを提供します。
NIST 800-57 ガイドラインに従って、KMF は次の機能を提供します。
- 暗号化の管理と操作、監査、および統合の専用ロールで職務を分離できます。
- 暗号化モジュールにより、一意の暗号化目的とキータイプに合わせて暗号化仕様を設定できます。
- 対称キー:暗号化と復号化、キーのラッピングとラップ解除、および認証
- 非対称キー:デジタル署名の生成と検証、暗号化と復号化、キーのラッピングとラップ解除
- いくつかのキーライフサイクル状況のサポートを含む、キーの生成、ローテーション、取り消し、および一時停止のためのキーライフサイクル管理
- ポリシーで設定されているとおりに暗号化モジュールにのみアクセスが許可されるように、モジュールアクセスポリシーでアクセス制御を強制します。
- キーの保護:連邦情報処理標準 (FIPS) 140-2-L3 ハードウェア Root of Trust (RoT)、公開鍵インフラストラクチャ (PKI)、キー階層、およびエンベロープ暗号化
- 主要な使用統計を含む監査
KMF のアクティブ化
KMF はデフォルトでアクティブになっています。
注:
KMF はドメインセパレーションをサポートしていませんが、オンプレミスのインスタンスで使用できます。
KMF の仕組み
この図は、KMF を構成するコンポーネントを示しています。
- 暗号化モジュールは、暗号化方法を定義するために使用されます。
- 暗号化仕様は、暗号化のアルゴリズムを定義する設定です。
- 仕様では、モジュールのキー、ServiceNow キー、または独自の顧客指定のキーを定義することもできます。
- モジュールアクセスポリシーは、暗号化モジュールへのアクセスが許可または拒否される条件を管理するインスタンスレベルのポリシーです。
KMF の詳細については、「暗号化モジュールの概要」を参照してください。
Key Management Framework (KMF) では、暗号化モジュールの特定のロールとキー管理関連の設定が導入されます。KMF アドミンのみがユーザーを他の KMF ロールに割り当てることができます。詳細については、「キー管理フレームワークとともにインストールされるロール」を参照してください。
CLE の後継である暗号化フレームワークの詳細については、「列レベル暗号化エンタープライズ」を参照してください。