Não foi possível encontrar uma correspondência para sua pesquisa.

Sugerimos que você tente o seguinte para ajudar a encontrar o que procura:

  • Verifique a ortografia da sua pesquisa por palavra-chave.
  • Use sinônimos para a palavra-chave digitada; por exemplo, tente “aplicativo” em vez de “software.”
  • Inicie uma nova pesquisa.
Entre em Contato Faça login na Oracle Cloud

Perguntas Frequentes sobre Gerenciamento de Chaves

Perguntas gerais

O que é Oracle Cloud Infrastructure Vault—Key Management

Oracle Cloud Infrastructure (OCI) Vault permite que você gerencie e controle o uso de chaves e segredos de maneira centralizada em uma grande variedade de serviços e aplicativos OCI. OCI Vault é um serviço gerenciado seguro e resiliente que permite que você se concentre nas necessidades de criptografia de dados sem se preocupar com tarefas administrativas demoradas, como provisionamento de hardware, aplicação de patches de software e alta disponibilidade.

O Key Management usa HSMs (Hardware Security Modules, Módulos de segurança de hardware) que atendem aos FIPS (Federal Information Processing Standards, Padrões de processamento da informação federais) 140-2 em certificação de segurança nível 3 para proteger as chaves. Você pode criar chaves mestras de criptografia protegidas por HSM ou software. Com as chaves protegidas por HSM, todas as operações criptográficas e o armazenamento de chaves estão dentro do HSM. Com as chaves protegidas por software, as chaves de criptografia são armazenadas e processadas no software, mas são protegidas em repouso por uma chave raiz do HSM.

Qual a diferença entre o OCI Vault e o Oracle Key Vault

OCI Vault e Oracle Key Vault são dois produtos de gerenciamento principais da Oracle.

OCI Vault – Key Management é um serviço totalmente gerenciado e oferece gerenciamento centralizado das chaves de criptografia para proteger os dados armazenados apenas em OCI. A visão do Key Management é dar suporte a diferentes tipos de chaves de criptografia – simétricas e assimétricas – e a um conjunto genérico de cargas de trabalho, inclusive Oracle Database TDE e cargas de trabalho que não sejam de banco de dados. OCI Vault é o serviço de criptografia Gen2 Cloud nativo.

O Oracle Key Vault oferece gerenciamento de chaves para bancos de dados Oracle habilitados para TDE em execução on-premise (o que inclui Oracle Exadata Cloud@Customer e Oracle Autonomous Database—Dedicated) e OCI, bem como gerenciamento de chaves para arquivos de trilha do Oracle GoldenGate criptografados e sistemas de arquivos ACFS criptografados.

Qual a diferença entre o Oracle-Managed e Customer-Managed Encryption

Gerenciada pela Oracle é a criptografia padrão de muitos serviços OCI. Gerenciada pela Oracle significa que os dados serão criptografados em repouso com uma chave de criptografia cujo gerenciamento do ciclo de vida é controlado pela Oracle. Os clientes que não queiram gerenciar nem acessar as chaves de criptografia e estejam à procura de uma maneira mais fácil de proteger todos os dados armazenados na OCI podem escolher a criptografia gerenciada pela Oracle.

A criptografia gerenciada pelo cliente é oferecida pelo serviço OCI Vault—Key Management no qual o cliente controla e gerencia as chaves que protegem os dados. Além disso, os clientes que exigem segurança elevada e proteção FIPS 140-2 de nível 3 para atender à conformidade optam pela gerenciada pelo cliente porque as chaves de criptografia são armazenadas em HSMs.

Quais são os diferentes tipos de isolamento do Vault no OCI Vault—Key Management

OCI Vault também é definido como um agrupamento lógico de chaves. O Vault deve ser criado para que eventuais chaves sejam geradas ou importadas.

Há dois tipos de Vault: Vault Privado Virtual e o Vault padrão. O tipo de Vault que você cria determina o grau de isolamento e desempenho das chaves. Cada inquilino pode ter de zero a muitos Vaults.

Um Virtual Private Vault oferece uma partição dedicada no HSM (locatário único). Partição é um limite físico no HSM isolado de outras partições. Virtual Private Vault oferece transações melhores e consistentes por segundo para operações criptográficas.

Como o Vault padrão usa uma partição multilocatária, ele tem um nível moderado de isolamento.

Primeiros passos com o Vault—Key Management

1. Verifique se os limites para a locação permitem a criação do tipo de vault que deseja criar.

2. Verifique se as políticas do Oracle Identity and Access Management (IAM) foram criadas para a conta do usuário a fim de ter as permissões necessárias para criar um vault. Veja as Referências de Política do IAM para construir uma declaração.

3. Primeiro você cria um vault de chaves selecionando Segurança no console da Oracle Cloud Infrastructure e, em seguida, Vault.

Crie um vault e selecione um dos dois tipos de vault disponíveis que melhor atendem aos seus requisitos de isolamento e processamento:

  • Virtual Private Vault: Escolha um Vault Privado Virtual caso precise de maior isolamento no HSM e processamento dedicado de operações de criptografia/descriptografia.
  • Vault (padrão): Escolha o vault padrão caso esteja disposto a aceitar um isolamento moderado (partição multilocatária em HSM) e processamento compartilhado para criptografar/descriptografar operações.

4. Crie as chaves [Master Encryption] dentro do seu vault. As chaves mestras de criptografia podem ter um destes dois modos de proteção: HSM ou software.

  • Uma chave mestra de criptografia protegida por um HSM é armazenada em um HSM e não pode ser exportada do HSM. Todas as operações criptográficas envolvendo a chave também acontecem no HSM.
  • Uma chave mestra de criptografia protegida por software é armazenada em um servidor e pode ser exportada do servidor para realizar operações criptográficas no cliente, e não no servidor. Em repouso, a chave protegida por software é criptografada por uma chave raiz no HSM.

5. Verifique se as políticas do IAM para o serviço ou entidade que chama o vault têm as permissões necessárias.

Exemplo: permitir que o serviço objectstorage-us-ashburn-1 use as chaves no compartimento

Use a(s) chave(s):

  • Com o armazenamento da Oracle Cloud Infrastructure: ao criar armazenamento (bloco, arquivo, volume), marque com "CRIPTOGRAFAR USANDO CHAVES GERENCIADAS AO CLIENTE" e selecione o vault e a chave mestra de criptografia. Os dados desse armazenamento de bucket/volume/arquivo serão criptografados com uma chave de criptografia de dados agrupada com a Chave de Criptografia Mestre no Vault.
  • Com operações de criptografia, usando a CLI (Command Line Interface) como exemplo: oci kms crypto encrypt --key-id --plaintext

As operações de criptografia também estão disponíveis no SDK e na API. Para obter mais detalhes, consulte Visão geral do vault na documentação.

6 Monitore o uso das operações com métricas no console e no serviço de monitoramento. Consulte as métricas e as dimensões.

Quais são os limites padrões do Vault

O limite do vault privado virtual é 0 por padrão. O usuário deve solicitar um aumento do limite para usá-lo. Assim que o vault privado virtual é habilitado, o usuário recebe um limite flexível de 1.000 e um limite fixo de 3.000 versões de chave simétrica.

Quando você usa o vault padrão para armazenar as chaves, não há limite rígido. O padrão tem 10 vaults virtuais com 100 chaves por vault.

Todas as versões de chave armazenadas em um vault contam para esse limite, independentemente da chave correspondente estar ativada ou desativada.

Os limites impostos ao OCI Vault são regidos pelos limites do serviço OCI. Os limites padrão são definidos para todas as locações. Os clientes podem solicitar um aumento no limite do serviço para chaves armazenadas em um vault seguindo as etapas em Solicitação de um aumento no limite de serviços da documentação da Oracle Cloud Infrastructure. Como as chaves ativadas e desativadas contam para o limite, a Oracle recomenda excluir as chaves desativadas que você não usa mais.

Quais os recursos oferecidos pelo OCI Vault—Key Management

Os seguintes recursos de gerenciamento de chaves estão disponíveis quando você usa o serviço Vault. Para obter mais detalhes, consulte Visão geral do vault na documentação.

  • Crie as próprias chaves de criptografia que protejam os dados
  • Traga as próprias chaves
  • Alterne as chaves
  • Suporte para backup e restauração entre regiões para as chaves
  • Restrinja permissões em chaves usando as políticas IAM
  • Integração aos serviços internos da OCI: Oracle Autonomous Database—Dedicated, Oracle Block Storage, Oracle File storage, Oracle Object Storage, Streaming e Container engine for Kubernetes

Quais formatos/tamanhos de chaves posso criar e armazenar no Vault—Key Management

Ao criar uma chave, você pode escolher um formato de chave que indique o comprimento da chave e o algoritmo usado com ela. Todas as chaves são Advanced Encryption Standard (AES - GCM) e você pode escolher entre três comprimentos de chave: AES-128, AES-192 e AES-256. Recomendamos o AES-256.

Quais regiões da Oracle Cloud Infrastructure o Vault—Key Management está disponível

O Key Management está disponível em todas as regiões comerciais e governamentais da Oracle Cloud Infrastructure.


Gerenciamento de Chaves e Vaults de Chaves

Posso girar as chaves?

Sim. Você pode girar suas chaves regularmente de acordo com suas necessidades de governança de segurança e conformidade regulamentar ou ad hoc em caso de incidência de segurança. A rotação regular de suas chaves (por exemplo, a cada 90 dias) usando o Console, API ou CLI limita a quantidade de dados protegidos por uma única chave.

Observação: alternar uma chave não criptografa automaticamente os dados que foram criptografados anteriormente com a versão antiga da chave; esses dados são criptografados na próxima vez que forem modificados pelo cliente. Se você suspeitar que uma chave foi comprometida, você deve criptografar novamente todos os dados protegidos por essa chave e desativar a versão anterior da chave.

Posso trazer as minhas chaves para o Vault—Key Management

Sim. Você pode importar uma cópia da chave da própria infraestrutura do gerenciamento de chaves para o Vault e usá-la com quaisquer serviços OCI integrados ou dentro dos próprios aplicativos.

Posso excluir um Vault?

Sim, mas não imediatamente. Você pode agendar a exclusão configurando um período de espera de 7 a 30 dias. O vault de chaves e todas as chaves criadas dentro do Vault são excluídos no final do período de espera, e todos os dados que foram protegidos por essas chaves não estão mais acessíveis. Depois que um vault é excluído, ele não pode ser recuperado.

Posso excluir uma chave ou versão da chave?

Sim, mas não imediatamente. Você pode agendar a exclusão configurando um período de espera de 7 a 30 dias. Você também pode desativar uma chave, o que impedirá qualquer operação de criptografia/descriptografia usando essa chave.


Uso das Chaves

Onde os dados são criptografados ao usar o Vault—Key Management?

Você pode enviar dados diretamente para APIs do Key Management para criptografar e descriptografar usando as chaves mestras de criptografia armazenadas no Vault.

Além disso, você pode criptografar os dados localmente nos aplicativos e serviços OCI usando um método conhecido como criptografia de envelope.

Com a criptografia de envelope, você gera e recupera DEKs (Data Encryption Keys, Chaves de criptografia de dados) das APIs do Key Management. As DEKs não são armazenadas ou gerenciadas no serviço Key Management, e sim criptografadas pela chave mestra de criptografia. Os aplicativos podem usar DEK para criptografar os dados e armazenar a DEK criptografada com os dados. Quando os aplicativos quiserem descriptografar os dados, você deverá chamar a API Key Management na DEK criptografada para recuperar a DEK. Você pode descriptografar os dados localmente com a DEK.

Por que usar a criptografia de envelope? Por que não enviar os dados ao Vault—Key Management para serem criptografados diretamente

O Key Management é compatível com o envio de até 4 KB de dados para serem criptografados diretamente. Além disso, a criptografia de envelope pode oferecer benefícios significativos em termos de desempenho. Quando você criptografa dados diretamente com APIs Key Management, eles devem ser transferidos pela rede. A criptografia de envelope reduz a carga da rede, uma vez que apenas a solicitação e a entrega da DEK muito menor passam pela rede. A DEK é usada localmente no aplicativo ou no serviço OCI de criptografia, evitando a necessidade de envio de todo o bloco de dados.


Alta Disponibilidade e Recuperação de Desastres

Como a Oracle oferece uma grande disponibilidade de chaves em uma região?

A Oracle usa um cluster de nós e HSMs para armazenar réplicas das chaves na mesma região onde foram criadas, o que nos permite fornecer 99,9% de SLA e 99,99% de SLO para o Key Management. Vide o documento Oracle PaaS and IaaS Public Cloud Services Pillar (PDF).

Posso transferir e usar as minhas chaves em uma região diferente do local onde estão armazenadas?

Sim. O Key Management dá suporte ao backup e à restauração entre regiões para Virtual Private Vault, de maneira que as chaves possam ser usadas em uma região diferente de onde foram criadas. O backup e a restauração atendem aos requisitos FIPS porque os materiais da chave real não são exportados, em vez de um objeto binário que representa o material da chave. As operações de restauração só podem acontecer para HSMs gerenciados pela OCI.


Faturamento

Como serei cobrado pelo uso do Vault—Key Management?

A cobrança se baseia no tipo de vault criado.

Por padrão, o vault é cobrado com base no número de versões da chave. As chaves protegidas por software são gratuitas, mas as protegidas por HSM custam 50 centavos por versão (as primeiras 20 versões de chave são gratuitas).

No entanto, se você criar um vault privado virtual (HSM de locatário único), o preço será cobrado por hora. O preço começa no momento da criação do vault e continua até que o vault esteja programado para ser excluído. Você não é cobrado pelas versões da chave em um vault privado virtual.

Para obter mais detalhes, consulte Preços do Oracle Cloud Security.

Serei cobrado pelas chaves mesmo quando estiverem agendadas para exclusão?

Não, não há cobrança pelas chaves programadas para exclusão. Se você cancelar a exclusão das chaves, a cobrança recomeçará.


Segurança

Como as chaves que eu criei no Vault—Key Management ficam protegidas?

Quando você solicita o serviço para criar uma chave com o modo de proteção HSM, o Key Management armazena a chave e todas as versões subsequentes no HSM. O material da chave de texto sem formatação nunca pode ser visualizado ou exportado do HSM. Com o modo de proteção Software, as chaves são armazenadas em servidores do Key Management, mas protegidas em repouso por uma chave raiz do HSM.

Somente usuários, grupos ou serviços que você autoriza por meio de uma política IAM podem usar as chaves, invocando o Gerenciamento de Chaves para criptografar ou descriptografar dados.

Posso exportar uma chave que eu criei no Vault—Key Management?

Sim. Se você criar uma chave com modo de proteção Software, o material da chave poderá ser exportado em texto simples. No entanto, se criar as chaves com o modo de proteção HSM, você não poderá exportar o material da chave porque a chave jamais deixa o HSM. Você pode fazer backup do material da chave para restaurá-lo na mesma região ou em uma região diferente. No entanto, esse backup não dá acesso ao material da chave.