Fujitsu Enterprise Postgresは、PostgreSQLのセキュリティを強化する独自の機能を提供します。これらのセキュリティ機能により、ユーザーはデータへの不正アクセスからデータの安全性を確保できます。このようなセキュリティ機能の1つに透過的データ暗号化(TDE)があり、保存データ、つまりディスク/永続ボリュームに保存されたデータが暗号化されます。

一方、TDEのデフォルト形式では、マスター暗号化キーはパスワードで保護されたファイルに格納されます。鍵管理システムを使用すると、クラウド・ベースのキーストアにマスター暗号化キー(MEK)を格納することができ、セキュリティを次のレベルに引き上げることができます。

透過的データ暗号化で利用できる鍵管理システムは以下のいずれかです。

• KMIPプロトコルを使用する鍵管理サーバ

• AWSの鍵管理サービス

• Azureの鍵管理サービス

鍵管理システムの詳細な要件は、“付録D 透過的データ暗号化で利用できる鍵管理システム”を参照してください。

鍵管理システムを利用した透過的データ暗号化は、FEPClusterを最初に作成したときのみ構成できます。ユーザーは鍵管理システムを利用した透過的データ暗号化を既存のFEPClusterに設定することはできません。

鍵管理システム上のマスタ暗号化キーが失われた場合、暗号化されたデータ/バックアップデータを復号することはできません。マスタ暗号化キーで暗号化されたデータが有効である限り、マスタ暗号化キーも利用可能であるよう鍵管理システム上で管理する必要があります。

鍵のローテーションによってマスタ暗号化キーが更新されたとしても、古い暗号化キーでバックアップデータを暗号化している場合、古い暗号化キーも保持し続ける必要があります。古い暗号化キーが保持されない場合、バックアップから復元されたデータベースを開くことができなくなります。

また、鍵の管理者は古いマスタ暗号化キーで暗号化されたデータが有効な期間、参照されているマスタ暗号化キーを保持し続ける必要があります。