Lo sentimos. No hallamos ninguna coincidencia para tu búsqueda.

Le sugerimos que pruebe lo siguiente para encontrar lo que busca:

  • Verifique la ortografía de su búsqueda de palabras clave.
  • Utilice sinónimos para la palabra clave que escribió; por ejemplo, intente con “aplicación” en lugar de “software”.
  • Comience una nueva búsqueda.
Country Comunicarse con nosotros Iniciar sesión en Oracle Cloud

Preguntas frecuentes de Key Management

Temas de las preguntas frecuentes

Preguntas generales

¿Qué es Oracle Cloud Infrastructure Vault—Key Management?

Oracle Cloud Infrastructure (OCI)Vault te permite administrar y controlar de forma centralizada el uso de claves y secretos en una amplia gama de servicios y aplicaciones de OCI. OCI Vault es un servicio gestionado seguro y resistente que te permite concentrarte en tus necesidades de cifrado de datos sin preocuparte por tareas administrativas que consumen mucho tiempo, como el aprovisionamiento de hardware, la aplicación de parches de software y la alta disponibilidad.

Key Management utiliza módulos de seguridad de hardware (HSM) que cumplen con la certificación de seguridad de nivel 3 de los Federal Information Processing Standards (FIPS) 140-2, para proteger tus claves. Puedes crear claves de cifrado maestras protegidas por HSM o por software. Con las claves protegidas por HSM, todas las operaciones criptográficas y el almacenamiento de claves están dentro del HSM. Con las claves protegidas por software, tus claves de cifrado se almacenan y procesan en el software, pero están protegidas en reposo con una clave raíz de HSM.

¿Cuál es la diferencia entre OCI Vault y Oracle Key Vault?

OCI Vault y Oracle Key Vault son dos productos de gestión de claves de Oracle.

OCI Vault—Key Management es un servicio completamente gestionado que proporciona administración centralizada de las claves de cifrado para proteger sus datos almacenados solo en OCI. La visión de Key Management es admitir diferentes tipos de claves de cifrado (simétricas y asimétricas) y un conjunto genérico de cargas de trabajo, incluidas las de Oracle Database TDE y las que no son de base de datos. OCI Vault es el servicio de cifrado nativo de Gen2 Cloud.

Oracle Key Vault proporciona gestión de claves para bases de datos de Oracle habilitadas para TDE que se ejecutan en las instalaciones (que incluyen Oracle Exadata Cloud@Customer y Oracle Autonomous Database—Dedicated) y en OCI, así como gestión de claves para archivos de seguimiento de Oracle GoldenGate cifrados y sistemas de archivos ACFS cifrados.

¿Cuál es la diferencia entre el cifrado gestionado por Oracle y el gestionado por el cliente?

El cifrado gestionado por Oracle es el predeterminado para muchos servicios de OCI. "Gestionado por Oracle" significa que los datos se cifrarán en reposo con una clave de cifrado y que la gestión del ciclo de vida está controlada por Oracle. Los clientes que no quieran gestionar sus claves de cifrado o acceder a ellas, y estén buscando una forma más sencilla de proteger todos los datos almacenados en OCI pueden elegir el cifrado gestionado por Oracle.

El cifrado gestionado por el cliente lo ofrece el servicio OCI Vault—Key Management en el que el cliente controla y gestiona las claves que protegen sus datos. Además, los clientes que requieren una seguridad elevada y protección de nivel 3 de FIPS 140-2 para mantener el cumplimiento eligen la gestión por el cliente, ya que las claves de cifrado se almacenan en módulos de seguridad de hardware (HSM).

¿Cuáles son los diferentes tipos de aislamiento del almacén de claves en OCI Vault—Key Management?

OCI Vault también se define como una agrupación lógica de claves. El almacén de claves debe crearse para poder generar o importar claves.

Existen dos tipos de almacén: Virtual Private Vault y Vault por defecto. El tipo de almacén de claves que cree determina el grado de aislamiento y rendimiento de sus claves. Cada inquilino puede tener desde ninguno hasta múltiples almacenes.

Un almacén privado virtual proporciona una partición dedicada en el HSM (cliente único). Una partición es un límite físico en el HSM que está aislada de otras particiones. El almacén privado virtual proporciona transacciones mejores y constantes por segundo para operaciones criptográficas.

El almacén de claves predeterminado utiliza una partición multicliente, por lo que tiene un nivel moderado de aislamiento.

¿Cómo puedo empezar a usar Vault—Key Management?

1. Asegúrate de que los límites de tu arrendamiento permiten la creación del tipo de almacén de claves que pretendes crear.

2. Asegúrate de que se hayan creado las políticas de Oracle Identity and Access Management (IAM) para que la cuenta de usuario tenga los permisos necesarios para crear un almacén de claves. Consulta Referencia de las políticas de IAM para crear una declaración.

3. Para crear por primera vez un almacén de claves, selecciona Security en la consola de Oracle Cloud Infrastructure y después Vault.

Crea un almacén de claves y selecciona entre los dos tipos de almacén disponibles el que mejor se adapte a tus requisitos de aislamiento y procesamiento:

  • Virtual Private Vault: Elige un Virtual Private Vault si necesitas mayor aislamiento en el HSM y procesamiento dedicado para las operaciones de cifrado y descifrado.
  • Vault (Default): Elige el almacén predeterminado si estás dispuesto a aceptar un aislamiento moderado (partición multiinquilino en HSM) y procesamiento compartido para las operaciones de cifrado y descifrado.

4. Crea las claves maestras de cifrado dentro del almacén. Las claves maestras de cifrado pueden tener uno de dos modos de protección: HSM o software.

  • Una clave maestra de cifrado protegida por un HSM se almacena en un HSM y no se puede exportar desde el HSM. Todas las operaciones criptográficas en las que se utiliza la clave también tienen lugar en el HSM.
  • Una clave maestra de cifrado protegida por software se almacena en un servidor y se puede exportar desde el servidor para realizar operaciones criptográficas en el cliente en lugar de en el servidor. Mientras está en reposo, la clave protegida por software se cifra mediante una clave raíz en el HSM.

5. Asegúrate de que las políticas de IAM para el servicio o la entidad que llaman al almacén de claves dispongan de los permisos necesarios.

Ejemplo: permitir que el servicio objectstorage-us-ashburn-1 utilice claves en el compartimento

Utiliza las claves:

  • Con el almacenamiento nativo de Oracle Cloud Infrastructure: Al crear el almacenamiento (depósito, archivo y volumen), activa “ENCRYPT USING CUSTOMER-MANAGED KEYS” (CIFRAR MEDIANTE CLAVES GESTIONADAS POR EL CLIENTE) y luego selecciona el almacén y la clave maestra de cifrado. Los datos de ese depósito/volumen/almacenamiento de archivos se cifrarán con una clave de cifrado de datos encapsulada con la clave maestra de cifrado en el almacén.
  • Con operaciones criptográficas, utilizando la interfaz de línea de comandos (CLI) como ejemplo: oci kms crypto encrypt --key-id --plaintext

Las operaciones criptográficas también están disponibles en el SDK y la API. Para obtener más detalles, consulta Descripción general de Vault en la documentación.

6. Supervisa tu uso de las operaciones con métricas en la consola y el servicio de Monitoring. Consulta las métricas y las dimensiones.

¿Cuáles son los límites predeterminados de Vault?

El límite del almacén privado virtual es 0 de forma predeterminada. El usuario debe solicitar un aumento del límite para usarlo. Una vez que se habilita el almacén privado virtual, el usuario obtiene un límite flexible de 1000 y un límite estricto de 3000 versiones de clave simétrica.

Cuando usa el almacén predeterminado para almacenar sus claves, no se aplican límites. El valor predeterminado es de 10 almacenes con 100 claves por almacén.

Todas las versiones de claves que guardas en un almacén de claves cuentan para este límite, independientemente de que la clave correspondiente esté habilitada o deshabilitada.

Los límites impuestos a OCI Vault se rigen por los límites de servicio de OCI. Se establecen los mismos límites predeterminados para todos los inquilinos. No obstante, los clientes pueden solicitar una ampliación del límite de servicio para las claves guardadas dentro de un almacén siguiendo los pasos que se describen en la sección Solicitar una ampliación del límite de servicio de la documentación de Oracle Cloud Infrastructure. Dado que tanto las claves habilitadas como las deshabilitadas cuentan para el límite, Oracle recomienda eliminar las claves deshabilitadas que ya no utilice.

¿Qué funcionalidades ofrece OCI Vault—Key Management?

Al utilizar el servicio Vault, dispones de las siguientes prestaciones de gestión de claves. Para obtener más detalles, consulta Descripción general de Vault en la documentación.

  • Crea sus propias claves de cifrado que protejan sus datos
  • Trae tus propias claves
  • Rota tus claves
  • Soporte para copia de seguridad y restauración entre regiones para tus claves
  • Restringir los permisos de las claves mediante políticas de IAM
  • Integración con servicios internos de OCI: Dedicated Oracle Autonomous Database, Oracle Block Storage, Oracle File Storage, Oracle Object Storage, Streaming y Container Engine for Kubernetes

¿Qué formato y longitud de claves puedo crear y almacenar en Vault—Key Management?

Cuando creas una clave, puedes elegir una forma que indique la longitud de la clave y el algoritmo utilizado con ella. Actualmente, todas las claves siguen el Estándar de cifrado avanzado (AES-GCM) y puedes elegir entre tres longitudes de clave: AES-128, AES-192, y AES-256. Se recomienda utilizar AES-256.

¿En qué regiones de Oracle Cloud Infrastructure está disponible Vault—Key Management?

Key Management está disponible en todas las regiones comerciales y gubernamentales de Oracle Cloud Infrastructure.


Gestión de claves y almacenes de claves

¿Puedo rotar mis claves?

Sí. Puedes rotar periódicamente las claves según tus necesidades de cumplimiento normativo y gobernanza de seguridad o ad hoc en caso de que se produzca un incidente de seguridad. La rotación periódica de las claves (por ejemplo, cada 90 días) mediante la consola, la API o la CLI limita la cantidad de datos protegidos por una sola clave.

Nota: La rotación de una clave no vuelve a cifrar automáticamente los datos que se cifraron previamente con la versión anterior de la clave; estos datos se volverán a cifrar la próxima vez que el cliente los modifique. Si sospechas que una clave se ha visto comprometida, debes volver a cifrar todos los datos protegidos por esa clave y deshabilitar la versión anterior de la clave.

¿Puedo traer mis propias claves a Vault—Key Management?

Sí. Puedes importar una copia de su clave desde tu propia infraestructura de gestión de claves a Vault y usarla con cualquier servicio OCI integrado o desde tus propias aplicaciones.

¿Puedo eliminar un almacén de claves?

Sí, pero no inmediatamente. Puedes programar la eliminación y configurar un período de espera de 7 a 30 días. El almacén de claves y todas las claves creadas dentro de él se eliminan al finalizar el período de espera, y todos los datos que estaban protegidos por esas claves dejan de ser accesibles. Después de eliminar un almacén de claves, no se puede recuperar.

¿Puedo eliminar una clave o una versión de una clave?

Sí, pero no inmediatamente. Puedes programar la eliminación y configurar un período de espera de 7 a 30 días. También puedes deshabilitar una clave, lo que impedirá cualquier operación de cifrado o descifrado que use esa clave.


Uso de claves

¿Dónde se cifran mis datos si utilizo OCI Vault—Key Management?

Puedes enviar datos directamente a las API de Key Management para cifrarlos y descifrarlos con tus claves de cifrado maestras almacenadas en Vault.

Además, puedes cifrar tus datos localmente dentro de tus aplicaciones y servicios OCI mediante un método conocido como cifrado de sobres.

Con el cifrado de sobres, generas y recuperas las claves de cifrado de datos (DEK) de las API de Key Management. Las DEK no se almacenan ni se gestionan en el servicio Key Management, sino que están cifradas por tu clave maestra de cifrado. Tus aplicaciones pueden usar las DEK para cifrar sus datos y almacenar las DEK cifradas junto con los datos. Cuando tus aplicaciones quieran descifrar los datos, deben solicitar el descifrado de la API de Key Management en las DEK cifradas para recuperar las DEK. Después, puede descifrar tus datos localmente con la DEK.

¿Por qué utilizar el cifrado de sobres? ¿Por qué no basta con enviar los datos a Vault—Key Management para cifrarlos directamente?

Key Management admite el envío de hasta 4 KB de datos para cifrarlos directamente. Además, el cifrado de sobres puede ofrecer importantes ventajas de rendimiento. Cuando se cifran datos directamente con las API de Key Management, se deben transferir a través de la red. El cifrado de sobres reduce la carga de la red, ya que solo pasan por la red la solicitud y la entrega de las DEK, mucho más pequeñas. La DEK se utiliza localmente en tu aplicación o en el servicio OCI de cifrado, lo que evita la necesidad de enviar todo el bloque de datos.


Alta disponibilidad y recuperación ante desastres

¿Cómo proporciona Oracle alta disponibilidad de las claves en una región?

Oracle utiliza un clúster de nodos y HSM para almacenar réplicas de sus claves en la misma región donde se crearon, lo que nos permite proporcionar un SLA del 99,9% y un SLO del 99,99% para Key Management. Consulta el documento de referencia sobre los servicios de PaaS e IaaS de Oracle en la nube pública (PDF).

¿Puedo transferir y usar mis claves en una región diferente de la región donde se crearon?

Sí. Key Management admite la copia de seguridad y la restauración entre regiones del almacén privado virtual para que las claves se puedan usar en una región diferente a aquella donde fueron creadas. La copia de seguridad y la restauración cumplen con los requisitos de FIPS, ya que no se exportan materiales clave reales, sino un objeto binario que representa el material clave. Las operaciones de restauración solo pueden ocurrir en los HSM gestionados por OCI.


Facturación

¿Cómo se me cobrará por usar Vault—Key Management?

Se te cobra en función del tipo de almacén de claves que se crea.

De forma predeterminada, a tu almacén de claves se le pasarán cobros en función de la cantidad de versiones de clave. Las claves protegidas por software son gratuitas, pero las claves protegidas por HSM se cobran a 50 céntimos por versión de clave. (las primeras 20 versiones de claves son gratuitas).

No obstante, si creas un almacén privado virtual (HSM de cliente único), se te cobrará un precio por hora. El precio se calcula desde el momento de la creación del almacén de claves y continúa hasta que se programe su eliminación. No se te cobrarán las versiones de clave dentro de un almacén privado virtual.

Para obtener más detalles, consulta Precios de Oracle Cloud Security.

¿Se me factura por mis claves cuando su eliminación está programada?

No, no se te facturan las claves cuya eliminación ya está programada. Si cancelas la eliminación de Tus claves, se reanuda la facturación.


Seguridad

¿Cómo se protegen las claves que creo dentro de Vault—Key Management?

Cuando solicitas que el servicio cree una clave con un HSM en modo de protección, Key Management almacena la clave y todas las versiones posteriores de la misma en el HSM. El material de claves de texto sin formato nunca se puede ver ni exportar desde el HSM. Con el software en modo de protección, las claves se almacenan en los servidores de Key Management, pero están protegidas en reposo por una clave raíz de HSM.

Solo aquellos usuarios, grupos o servicios a los que autorices a través de una política de IAM pueden usar las claves invocando Key Management para cifrar o descifrar datos.

¿Puedo exportar una clave que haya creado en Vault—Key Management?

Sí. Si creas una clave con software en modo de protección, el material de la clave se puede exportar en texto sin formato. Sin embargo, si creas tus claves con HSM en modo de protección, no puedes exportar el material de la clave, ya que la clave nunca sale del HSM. Puedes realizar una copia de seguridad del material de la clave para restaurarlo en la misma región o en una diferente. Sin embargo, esa copia de seguridad no da acceso al material de la clave.


KMS externo

¿Qué es OCI External Key Management Service (KMS Externo)?

OCI External KMS es un servicio que permite a los clientes utilizar claves de cifrado almacenadas y gestionadas fuera de OCI. Puede resultar útil para los clientes que tienen requisitos normativos para almacenar claves de cifrado locales o fuera de OCI, o que desean tener más control sobre sus claves de cifrado. Está disponible en todas las regiones de OCI.

¿Cuáles son las ventajas de OCI External KMS?

Está disponible en todas las regiones de OCI. El servicio ayuda a los clientes a abordar lo siguiente:

  • Soberanía de datos, cumplimiento normativo y regulaciones: también ayuda a los clientes a mantener el control sobre sus claves de cifrado y dónde almacenan dichas claves. Esto es beneficioso para las organizaciones que deben cumplir con estrictos requisitos de soberanía de datos, como el Reglamento General de Protección de Datos (RGPD) de la Unión Europea.
  • Confianza y garantía: el KMS externo permite a los clientes poseer y gestionar el módulo criptográfico y convertirse en los custodios de sus claves de cifrado. Esto es beneficioso para las organizaciones que deben demostrar su control sobre los procesos de cifrado a los clientes finales, socios y partes interesadas.

¿Cuáles son las consideraciones operativas para utilizar KMS externos?

El KMS externo ofrece a los clientes más control sobre sus claves de cifrado, pero también conlleva una responsabilidad operativa: los clientes deben administrar, gestionar y mantener claves de cifrado y módulos de seguridad de hardware (HSM) locales. Se trata de un modelo de propiedad distinto del actual servicio OCI Vault, en el que Oracle gestiona y administra la infraestructura HSM en nombre de los clientes.

¿Cómo puedo rotar claves en un KMS externo?

Para rotar una clave (también conocida como referencia de clave) en un KMS externo, primero deberás rotar las claves en Thales CipherTrust Manager siguiendo el siguiente paso, ya que el material de las claves se almacena fuera de OCI.

  • Añadir una nueva versión de clave externa en Thales CipherTrust Manager.

En OCI, puedes hacer clic en Rotar referencia de clave y escribir el ID de versión de clave externa del paso anterior.

¿Qué servicios de OCI admiten KMS externo?

KMS externo admite claves de cifrado simétricas y es compatible con aplicaciones que ya están integradas con OCI Vault. Como resultado, los clientes no tienen que modificar las aplicaciones para beneficiarse de un KMS externo; pueden utilizar y asociar claves de la misma forma que lo harían con OCI Vault y con el mismo SLA del 99,9 %.

Los siguientes servicios están integrados con OCI Vault y pueden beneficiarse de un KMS externo sin ningún cambio:

  • Oracle Cloud Infrastructure Object Storage, Block Volume y File Storage
  • Oracle Cloud Infrastructure Container Engine for Kubernetes
  • Oracle Database, incluidas Oracle Autonomous Database on Dedicated Exadata Infrastructure, Oracle Autonomous Database on Shared Exadata Infrastructure y Oracle Database Cloud Service, y Database as a Service
  • Oracle Fusion Cloud Applications

¿Qué sucede si desactivo, bloqueo o elimino claves de Thales CipherTrust Manager en un KMS externo? ¿Seguiré teniendo acceso a mis datos en OCI?

La función de KMS externo está diseñada de tal manera que OCI no tiene acceso al material de claves criptográficas real. Una vez que un cliente ha bloqueado la clave en Thales CipherTrust, OCI no tiene forma de utilizar la referencia de clave para descifrar datos ni realizar ninguna operación con esa referencia de clave.

¿Qué regiones de OCI admiten KMS externo?

KMS externo está disponible en todas las regiones y dominios de OCI, y su valor se encuentra en regiones dedicadas (por ejemplo, Oracle Cloud Infrastructure Dedicated Region) y regiones que pueden acceder al sistema de gestión de terceros con baja latencia para respaldar la soberanía de datos y la confiabilidad de la red.

¿Cuál es el precio de un KMS externo?

KMS externo cuesta 3 dólares por versión de clave al mes, y no hay ningún costo adicional por el uso de estas versiones de clave. Los clientes tienen un límite de aviso de 10 almacenes y 100 versiones de claves por almacén. Contacta con Thales para obtener más información sobre los precios y límites de CipherTrust Manager.

¿Cómo puedo obtener más información sobre el KMS externo?

Para obtener más información sobre el KMS externo, lee la documentación técnica o pruébalo en la Consola de OCI. Accede al KMS externo en la Consola de OCI seleccionando Identity & Security en el menú de navegación de OCI, Key Management & Secret Management y, a continuación, External Key Management.