Unified Key Orchestrator for IBM z/OS(旧:IBM Enterprise Key Management Foundation-Web Edition)は、オンプレミス環境と複数のクラウド環境(IBM Cloud、AWS KMS、Azure Key Vault、Google Cloudなど)の両方で、企業全体の暗号化キーのライフサイクルを一元的にオーケストレーションし、セキュリティで保護するキー管理ソフトウェアです。
Unified Key Orchestrator for IBM z/OS(UKO for z/OS)は、オンプレミス環境とクラウド環境間でキー管理ワークロードを企業が管理・移動する際に役立ち、コンプライアンスとセキュリティーを支援します。UKO for z/OSを使用すると、信頼できる単一のユーザー・インターフェースから企業全体の暗号化キーを管理できます。UKO for z/OSはz/OSソフトウェアとしてデプロイされ、すべてのIBM z/OSシステムと複数のパブリッククラウドにあるキーをオーケストレーションできます。さらに、zKey on Linux on IBM ZとIBM Security Guardium Key Lifecycle Managerのキー管理もサポートします。Unified Key Orchestrator for z/OSは、IBMZ Pervasive Encryptionのでの取り組みをサポートするために、IBM z/OSデータセット暗号化に特化したキー管理向けにも設計されています。
機能と性能の更新と強化
z/OSデータ・セット暗号化に使用する鍵の数を確認する
オンプレミス環境とクラウド環境の両方について、企業全体のキーを1つの画面から調整します。
IBM Cloud Key Protect、AWS KMS、Microsoft Azure Vault、Google Cloudへのセキュアな転送に向けた準備とBYOK(Bring Your Own Key:独自のキー使用)を行います。
キー・マテリアルをバックアップ・復旧して、暗号の消去によるアクセスの喪失を防ぎます。
どのデータ・セットが暗号化され、どのキーが使用されているかをエンタープライズ・ビューで、データ・セット暗号化デプロイメントをプロアクティブに管理します。
ハードウェア生成キー用に、IBM Z上でIBM連邦情報処理標準(FIPS)140-2レベル4認定のCryptoExpressカードでキーを生成します。
キー・テンプレートを作成し、キーの命名規則の適用など、社内ポリシーに準拠したキーを生成します。
各ロールの機能を定義するロール・ベースのアクセスでセキュリティー標準に準拠し、EKMFをアクティブ化するために2人以上のユーザーを必要とする二重制御を適用します。
キー管理をビジネス・プロセスと統合します。全方位型暗号化、Key Protect、Azure、AWS、zkey、Google Cloud、IBM® Security Guardium Key Lifecycle Manager(GKLM)用のキーを設定します。
管理されているすべてのキーの統合キー管理ログを監査員に提供します。
マスター・キーを含むマネージド・キーをオンデマンドでローテーションして、ポリシー要件に準拠します。
「保管庫」と呼ばれるきめ細かなアクセス制御が可能な安全なリポジトリーを使用することで、マルチテナントやセルフサービスによるキー管理が可能になります。
セキュア・ルームのオペレーションに対応するUKO for z/OSとEnterprise Key Management Foundationワークステーション(EKMFワークステーション)をセットアップします。