Thales banner

CipherTrust データ保護 ゲートウェイ (DPG)

RESTful WebサービスやREST APIを使用するマイクロサービスに対して、透過的なデータ保護を提供

多くの新しいアプリケーションや進化するアプリケーションにおいて、DevOpsチームは、アプリケーションやデータベース、またはデータストアにアクセスすることなく、Webサービスベースのアプリケーションのデータを保護するという課題に直面することになります。さらに、コンテナやクラウドスケーラビリティソリューション(KubernetesやHelmなど)を含む展開アーキテクチャでは、クラウドファーストのイニシアティブに対応したアーキテクチャを提供するデータ保護ソリューションが求められています。

このような課題に対応するために、タレスのCipherTrust データ保護 ゲートウェイ(DPG)は、RESTful Web サービスやREST APIを活用するマイクロサービスに対して透過的なデータ保護を提供します。DPGはクライアントとWebサービスの間に展開され、レガシーアプリケーションやクラウドネイティブのアプリケーションを修正することなく、インラインで透過的に機密データを保護します。DPGは、タレスのCipherTrust Managerで一元的に定義されたポリシーに基づいてRESTfulなデータを解釈し、データ保護処理を実行して、他のポッドサポートサービスに合わせてシームレスに動作します。

データ保護の複雑さをCipherTrust Managerに移行することで、DPGはDevSecOpsの世界において、以下のように真の職務分掌を実現します。

  • DevOpsがDPGの展開をオーケストレーションする
  • Secが保護およびアクセスポリシーを作成する
  • DevSecOpsがDPGの各展開を一緒に構成する

またDPGは、動的データマスキング機能を提供するCipherTrust Managerで定義されたポリシーを通じて、きめ細かなアクセス制御も提供します。さらに、アクセスポリシーでは、以下のようにデータの公開方法を「ユーザーごとに」定義することができます。

  • 平文
  • 暗号文
  • エラー代替値(何も返さないか、あらかじめ設定された値を返す)
  • マスキング適用(最初の4つ、最後の4つ、カスタムなど)
CipherTrust-DP-Gateway-overview-diagram
CipherTrust DPG (データ保護 ゲートウェイ)のアーキテクチャ概要図
  • メリット
  • 機能

クラウド対応およびクラウドスケール

DPGはコンテナとして展開され、Helm、Ansible、Terraform、Kubernetesの水平スケーリングといったKubernetesオーケストレーションシステムと完全に互換性があります。DPGは、開発およびテストのユースケースに加え、レガシーな本番環境でもスタンドアロン型コンテナとして展開することができます。

アプリケーション層の保護

DPGは、タレスが提供するさまざまなアプリケーション層データ保護製品の1つです。CipherTrust アプリケーションデータ保護は、開発者の支援を最小限に抑えながら、アプリケーション内部からデータ保護を行います。CipherTrust データベース保護は、幅広いデータベースに対して透過的な列レベルのデータ保護を行います。そして、CipherTrust 一括データ変換は、データベースと構造化ファイルに対して高性能の暗号化、トークン化、および静的データマスキングを行います。

CipherTrust データセキュリティ プラットフォーム

データ保護 ゲートウェイはCipherTrust Data Security Platform (CDSP: データセキュリティ プラットフォーム) の一部であり、鍵を一元管理しながら、データの検出、分類、保護に加えて、きめ細かなアクセス制御を実行します。これにより、データセキュリティオペレーションの簡素化、コンプライアンス準拠にかかる時間の短縮、クラウド移行の保護、ビジネス全体におけるリスクの軽減が実現します。タレスのCipherTrust データセキュリティ プラットフォームを利用することで、機密データがどこに存在していても、組織はそれらのデータを検出、保護、制御することができます。

保護方法

データセキュリティ管理者はDPGを使用することで、AES、DES、およびFPEファミリー全体で増え続ける暗号化アルゴリズムのリストから選択することにより、セキュリティポリシーを定義することができます。

Create-protection-policy
保護ポリシーの作成

保存中の機密データの保護

どのフィールドを保護するかを、迅速かつ簡単に選択できます。フィールドの選択と、保護および/またはアクセスポリシーはCipherTrust Managerで一元的に設定され、DevSecOpsの職務が完全に分離されます。

Create-token-REST-field
RESTフィールドを保護するための設定

 

CipherTrust Data Protection Gateway

Operating transparently to all entities on the network, DPG interprets RESTful data and performs protection operations based on profiles defined centrally in CipherTrust Manager. DPG is deployed as a container and is fully compatible with Kubernetes orchestration systems. DPG can also be deployed as a standalone container for development and testing use cases as well as legacy production deployments.