ローカルに保存されたキー

プライベート キーは、NSX Advanced Load Balancer サービス エンジンのファイル システムには保存されません。プライベート キーは、NSX Advanced Load Balancer コントローラから SE にプッシュダウンされ、クライアントとの SSL セッションを確立するためにメモリに保持されます。SE が侵害されるか、再起動すると、プライベート キーとパブリック証明書を含むすべての構成がワイプされます。SE がオンラインに戻ると、コントローラは状況に応じて、新しい（または同じ）構成で SE を別の用途に転用するか、SE を削除することがあります。

コントローラは、キーを機密情報が暗号化されているデータベースにローカルで保存します。バックアップ プロセス中にパスフレーズが含まれる場合、キーはバックアップ中に暗号化されます。パスワードやプライベート キーなどのすべての機密フィールドを暗号化してからデータベースに保存するには、以下を使用します。

• 暗号化アルゴリズム：AES_256_CBC

• IV：16 バイトのランダム データ

• キー：ランダムな 32 バイト

ユーザー パスワードは、SHA256 ハッシュを使用する PBKDF2（パスワードベースの鍵導出関数 2）アルゴリズムを使用してハッシュされます。他のすべてのパスワード（クラウド認証情報など）もこの方法を使用して暗号化されます。

コントローラはプライベート SSL キーなどのシステム構成を保存するため、適切なセキュリティを確保することが重要です。管理者のアクセス レベルをロックダウンし、強力なパスワードを確保し、管理用の送信元 IP アドレス範囲を制限するための多くのオプションがあります。

証明書とキーへのフル アクセス権を持つ管理者の場合、プライベート キーをエクスポートしようとする試みは、[操作] > [イベント] > [構成監査] ログに記録されます。ロールベースのアクセスを使用して、エクスポート機能を可能な限り少数の管理者に制限する必要があります。

Thales Luna（旧称：SafeNet Luna）HSM と外部に保存されたキー

NSX Advanced Load Balancer は、外部ハードウェア セキュリティ モジュールと証明書ストアをサポートし、より高いレベルの物理的セキュリティを保証します。元のキーは外部システムに保存され、パブリック キーを NSX Advanced Load Balancer で利用できます。次のタイプの外部キー ストアがサポートされています。

• Thales Luna（旧称：SafeNet Luna）HSM