Perguntas Frequentes sobre Gerenciamento de Chaves

Perguntas gerais

O que é o Oracle Cloud Infrastructure Key Management Service (KMS)?

O KMS (Key Management Service) da OCI (Oracle Cloud Infrastructure) é um serviço baseado na nuvem que fornece gerenciamento e controle centralizados de chaves de criptografia para dados armazenados na OCI. O OCI KMS é uma criptografia gerenciada pelo cliente e oferece os seguintes serviços:

  • OCI Vault: O OCI Vault é um serviço de criptografia gerenciado pelo cliente que permite controlar as chaves hospedadas nos módulos de segurança de hardware (HSMs) da OCI enquanto a Oracle gerencia e administra os HSMs. O OCI Vault oferece as seguintes opções:
    • Virtual Vault: Virtual Vault é um serviço de criptografia multitenant no qual suas chaves são armazenadas em partições HSM que também hospedam chaves de outros clientes. É o serviço de criptografia padrão no OCI Vault.
    • Vault Privado: O Vault Privado é um serviço de criptografia de tenant único que armazena chaves em uma partição HSM dedicada com núcleos dedicados que são isolados na sua tenancy.
  • OCI Dedicated KMS: a ser lançado em breve, o OCI Dedicated KMS é uma partição HSM de locatário único como um serviço que fornece um ambiente totalmente isolado para armazenar e gerenciar chaves de criptografia. A diferença entre o Private Vault e o OCI Dedicated KMS é a forma como as partições HSM são controladas. Com o OCI Dedicated KMS, você pode controlar e reivindicar a propriedade das partições HSM e usar interfaces padrão, como PKCS#11, para executar operações criptográficas. A Oracle também administra essas partições do HSM para aplicação de patches de segurança e firmware.
  • OCI External KMS: o External KMS permite que você use seu sistema de gerenciamento de chaves de terceiros para proteger dados nos serviços do OCI. Além de controlar as chaves e o HSM fora da OCI, você também é responsável pela administração e capacidade de gerenciamento desses HSMs. Suas chaves mestras são sempre armazenadas fora da OCI e nunca são importadas para o OCI External KMS. Portanto, as operações de criptografia e descriptografia acontecem fora da OCI.

Para saber mais sobre as ofertas de criptografia da OCI, consulte este blog.

Quais requisitos de segurança e conformidade são atendidos pelo OCI KMS?

O OCI MKS usa HSMs (Hardware Security Modules, Módulos de segurança de hardware) que atendem aos FIPS (Federal Information Processing Standards, Padrões de processamento da informação federais) 140-2, com certificação de segurança nível 3, para proteger as chaves. O certificado FIPS podeser encontrado no site do Cryptographic Module Validation Program (CMVP) do NIST(National Institute of Standards and Technology), aqui.

O OCI KMS foi validado com a funcionalidade e os controles de segurança para ajudar você a atender aos requisitos de criptografia e gerenciamento de chaves do PCI DSS 3.2.1 (citados nas seções 3.5 e 3.6).

Quais capacidades ou recursos são suportados pelo OCI KMS?

O OCI KMS suporta diversas funcionalidades para permitir que você controle suas chaves e garanta a proteção de segurança necessária para seus dados nos serviços da OCI. Veja a seguir a matriz de recursos para funcionalidades críticas em diferentes serviços no OCI KMS.

Recursos Vault virtual Vault privado KMS dedicado (em breve) KMS externo
HSMs para FIPS 140-2 Nível 3 Sim Sim Sim Externos
Criptografia simétrica (AES) Sim Sim Sim Sim
Criptografia assimétrica (RSA e ECDSA) Sim Sim Sim Não
Chaves de software Sim Sim Não Externos
Fazer backup/restaurar Não Sim Sim Não
Replicação entre regiões Em breve Sim Não Não
Traga as próprias chaves Sim Sim Sim Externos
Integração de serviços da OCI (Armazenamento, Database, SaaS) Sim Sim Não Sim
Rotação automática de chaves Em breve Em breve Não Não
Histórico de auditoria Sim Sim Sim Sim
Exclusão programada Sim Sim Sim Sim

Como a Oracle oferece alta disponibilidade de chaves em uma região? Em quais regiões geográficas minhas chaves estão armazenadas?

A Oracle usa um cluster de nós e HSMs para armazenar réplicas de suas chaves na mesma região onde foram criadas, o que nos permite fornecer 99,9% de contrato de nível de serviço (SLA) e 99,99% de objetivo de nível de serviço (SLO) para o gerenciamento de chaves. Consulte o Documento do Pilar do Oracle PaaS and IaaS Public Cloud Services.

Uma chave é armazenada e usada somente na região em que foi criada. Se quiser fazer backup/replicar suas chaves para outra região no realm para atender aos requisitos de conformidade ou de DR, você poderá usar backup e restauração entre regiões ou replicação entre regiões.

Qual a diferença entre o OCI Vault e o Oracle Key Vault (OKV)?

O OCI KMS é um serviço de gerenciamento de chaves nativo da nuvem que a Oracle recomenda para todos os seus aplicativos em nuvem. O OCI KMS é integrado nativamente a muitos serviços do OCI relacionados a Armazenamento, Banco de Dados e SaaS, como FA. Se você estiver procurando um gerenciamento de chaves centralizado na Oracle Cloud e um serviço gerenciado para todos os seus aplicativos em nuvem com estrutura de preços de pagamento conforme o uso, a Oracle recomenda o OCI KMS.

O Oracle Key Vault é outro produto de gerenciamento importante da Oracle. O Oracle Key Vault oferece gerenciamento de chaves para Oracle Databases habilitados para TDE e executados on-premises (incluindo o Oracle Exadata Cloud@Customer e o Oracle Autonomous Database—Dedicated) e na OCI, bem como gerenciamento de chaves para arquivos de trilha criptografados do Oracle GoldenGate e sistemas de arquivos criptografados do Oracle Automatic Storage Management Cluster.

Em quais regiões da OCI fica o OCI KMS e onde posso encontrar recursos para o OCI KMS?

O OCI KMS está disponível em todas as regiões e realms da OCI, incluindo Governança, Nuvem Soberana da UE, Regiões do Oracle National Security e OCI Dedicated Region Cloud@Customer. Você pode saber mais sobre a disponibilidade das regiões e as ofertas do OCI KMS em nossos blogs e documentação.

Vault

O que é o OCI Vault?

O OCI Vault é um serviço seguro, resiliente e gerenciado que permite que você se concentre nas necessidades de criptografia de dados sem se preocupar com tarefas administrativas demoradas para alcançar alta disponibilidade, como provisionamento de hardware e aplicação de patches de software. O Vaultt usa HSMs (Hardware Security Modules, Módulos de segurança de hardware) que atendem aos FIPS (Federal Information Processing Standards, Padrões de processamento da informação federais) 140-2, com certificação de segurança nível 3, para proteger as chaves. O OCI Vault é o serviço de criptografia da Oracle nativo da Gen 2 Cloud.

O Vault suporta diferentes tipos de chaves de criptografia - simétricas (chaves AES) e assimétricas (chaves RSA e ECDSA) - e um conjunto genérico de cargas de trabalho, incluindo Oracle Exadata Cloud Service, Oracle Autonomous Database, Criptografia Transparente de Dados no Oracle Database e cargas de trabalho que não são de banco de dados.

Há dois tipos de OCI Vault : Vault Privado e Vault Virtual padrão. O tipo de Vault que você cria determina o grau de isolamento e desempenho das chaves. Cada inquilino pode ter de zero a muitos Vaults.

Um Vault Privado oferece uma partição dedicada no HSM (locatário único). Partição é um limite físico no HSM isolado de outras partições. As transações por segundo oferecidas pelo Vault Privado são melhores e mais consistentes para operações criptográficas. São HSMs de locatário único. Os Vaults Privados também têm recursos adicionais, como Replicação entre regiões e Backup e restauração de chaves entre regiões.

O Vault Virtual padrão usa uma partição multilocatária, fornecendo um nível moderado de isolamento.

As duas opções do Vault permitem criar chaves de criptografia mestras armazenadas de uma das seguintes maneiras:

  • Chaves HSM: uma chave mestra de criptografia protegida por um HSM é armazenada em um HSM e não pode ser exportada do HSM. Todas as operações criptográficas envolvendo a chave também acontecem no HSM. Essas chaves são compatíveis com FIPS de Nível 3.
  • Chaves de software: uma chave mestra de criptografia protegida por software é armazenada em um servidor e pode ser exportada do servidor para executar operações criptográficas no cliente, e não no servidor. Em repouso, a chave protegida por software é criptografada por uma chave raiz no HSM. Essas chaves são compatíveis com FIPS de Nível 3.

Quais capacidades o OCI Vault oferece?

As seguintes capacidades de gerenciamento de chaves estão disponíveis quando você usa o OCI Vault:

  • Crie as próprias chaves de criptografia que protegem seus dados
  • Traga as próprias chaves
  • Alterne as chaves
  • Crie e verifique assinaturas digitais com operações de assinatura e verificação usando suas chaves assimétricas
  • Faça backup e restauração de seus Vaults e chaves (somente Vaults Privados) entre regiões
  • Faça replicação de Vaults e chaves (somente Vaults Privados) entre regiões
  • Desative chaves temporariamente para proteger dados
  • Programe a exclusão de chaves e vaults que você não usa mais
  • Restrinja permissões refinadas no gerenciamento e uso de chaves e Vaults usando políticas do OCI IAM.
  • Monitore o estado do ciclo de vida da chave e do Vault com o Oracle Audit and Database Firewall
  • Integração perfeita com os serviços internos da OCI: Oracle Exadata Cloud Service, Oracle Autonomous Database-Dedicated e Oracle Cloud Infrastructure (OCI) Block Storage, File Storage, Object Storage, Streaming e Container Engine for Kubernetes.

No OCI Vault, você pode criar chaves Advanced Encryption Standard (AES-GCM), Rivest-Shamir-Adleman (RSA) e Elliptic Curve Digital Signature Algorithm (ECDSA). Você pode escolher entre três tamanhos de chave AES: AES-128, AES-192 e AES-256. AES-256 é recomendado. O OCI Vault suporta os seguintes tipos de chave assimétrica: RSA 2048, RSA 3072, RSA 4096, NIST P-256, NIST P384 e ECC_NIST521.

Você pode criar e usar chaves simétricas AES e chaves assimétricas RSA para criptografia e decriptografia. Você também pode usar chaves assimétricas RSA ou ECDSA para assinar mensagens digitais.

Para obter mais detalhes e começar a usar, consulte Visão geral do OCI Vault.

Onde meus dados serão criptografados se eu usar o OCI Vault?

Você pode enviar dados diretamente para APIs de gerenciamento de chaves para criptografar e descriptografar usando suas chaves mestras de criptografia armazenadas no Vault. Além disso, você pode criptografar os dados localmente nos aplicativos e serviços da OCI usando um método conhecido como criptografia de envelope.

Com a criptografia de envelope, você gera e recupera DEKs (Data Encryption Keys, Chaves de criptografia de dados) das APIs de gerenciamento de chaves. As DEKs não são armazenadas nem gerenciadas no serviço de gerenciamento de chaves, mas são criptografadas pela chave mestra de criptografia. Os aplicativos podem usar DEKs para criptografar os dados e armazenar as DEKs criptografadas junto com os dados. Quando os aplicativos quiserem descriptografar os dados, você deverá chamar a API de gerenciamento de chaves na DEK criptografada para recuperar a DEK. Você pode descriptografar os dados localmente com a DEK.

Por que usar a criptografia de envelope? Por que não posso simplesmente enviar dados para o OCI Key Management Service e o OCI Vault para criptografia direta?

O Key Management suporta até 4 KB de dados para serem criptografados diretamente. Além disso, a criptografia de envelope pode oferecer benefícios significativos em termos de desempenho. Quando você criptografa dados diretamente com APIs de gerenciamento de chaves, eles devem ser transferidos pela rede. A criptografia de envelope reduz a carga da rede, uma vez que apenas a solicitação e a entrega de DEKs muito menores passam pela rede. A DEK é usada localmente no aplicativo ou no serviço OCI de criptografia, evitando a necessidade de envio de todo o bloco de dados.

Posso trazer minhas próprias chaves (BYOK) para o OCI Vault?

Sim. Você pode importar no Vault uma cópia da chave da sua própria infraestrutura de gerenciamento de chaves e usá-la com quaisquer serviços OCI integrados ou em próprios aplicativos. Você pode importar todos os algoritmos de chaves AES, RSA e ECDSA. A importação de ambos os tipos de chaves é suportada - HSM, bem como chaves de software. Observação: não é possível exportar chaves HSM do HSM.

Posso girar minhas chaves?

Sim. Você pode rotacionar suas chaves regularmente de acordo com suas necessidades de governança de segurança e conformidade regulamentar, ou de forma ad hoc em caso de incidência de segurança. A rotação regular de suas chaves (por exemplo, a cada 90 dias) usando o console, a API ou CLI, limita a quantidade de dados protegidos por uma única chave.

Observação: alternar uma chave não criptografa automaticamente os dados que foram criptografados anteriormente com a versão antiga da chave; esses dados são criptografados na próxima vez que forem modificados pelo cliente. Se você suspeitar que uma chave foi comprometida, você deve criptografar novamente todos os dados protegidos por essa chave e desativar a versão anterior da chave.

Posso excluir uma chave ou Vault?

Sim, mas não imediatamente. Você pode agendar a exclusão de um Vault, de uma chave ou versão de chave configurando um período de espera de 7 a 30 dias.

Para excluir o Vault, tanto o Vault quanto todas as chaves criadas dentro do Vault serão excluídos no final do período de espera, e todos os dados que foram protegidos por essas chaves não estarão mais acessíveis. Depois que um vault é excluído, ele não pode ser recuperado.

Você também pode desativar uma chave, o que impedirá qualquer operação de criptografia/descriptografia usando essa chave.

Posso transferir e usar minhas chaves em uma região diferente daquela onde elas foram criadas?

Sim. O Vault suporta replicação de chaves e vaults entre regiões. Você pode replicar Vaults Privados de uma região para outra para que eles e as chaves contidas neles fiquem disponíveis para atender aos requisitos de conformidade ou melhorar a latência.

Quando você configura a replicação entre regiões para um Vault Privado, o serviço Vault sincroniza automaticamente a criação, a exclusão, a atualização ou a movimentação de quaisquer chaves ou versões de chaves entre o vault inicial e um vault em uma região de destino. O vault do serviço no qual os dados são replicados é conhecido como vault de origem. O vault na região de destino para a qual o serviço replica os dados do vault de origem é conhecido como réplica do vault. O serviço suporta operações criptográficas no vault e nas chaves da região de destino.

O OCI Vault também suporta backup e restauração entre regiões para Vault Privado para que as chaves possam ser usadas em uma região diferente daquela onde foram criadas. O backup e a restauração atendem aos requisitos FIPS porque os materiais da chave real não são exportados, em vez de um objeto binário que representa o material da chave. Operações de restauração só podem acontecer para HSMs gerenciados pela OCI.

Como é feita a cobrança pelo uso do OCI Key Management Service e do OCI Vault?

A cobrança se baseia no tipo de vault criado.

Por padrão, o vault é cobrado com base no número de versões da chave. As chaves protegidas por software são gratuitas, mas as protegidas por HSM custam 50 centavos por versão. (As primeiras 20 versões da chave são gratuitas.) No entanto, se você criar um vault privado virtual (HSM de locatário único), o preço será cobrado por hora. O preço começa a ser cobrado no momento da criação do vault e continua até que o vault esteja programado para ser excluído. Você não é cobrado pelas versões da chave em um vault privado virtual.

Você não é cobrado com base no número de solicitações de API para Vaults e chaves que foram feitas ao serviço, em nenhuma das operações de gerenciamento ou criptografia.

Para obter mais detalhes, consulte Preços do Oracle Cloud Security.

Não há cobrança de chaves programadas para exclusão. Você não é cobrado pelas chaves que estão programadas para exclusão. Se você cancelar a exclusão das chaves, a cobrança recomeçará.

Quais são os limites padrões do OCI Vault ?

O limite do Vault Privado é 0 por padrão. O usuário deve solicitar um aumento do limite para usá-lo. Quando o Vault Privado é habilitado, o usuário recebe um limite flexível de 1.000 e um limite fixo de 3.000 versões de chave simétrica.

Não há limite fixo quando você usa o vault virtual padrão para armazenar as chaves. O padrão tem 10 vaults virtuais com 100 chaves por vault.

Todas as versões de chave armazenadas em um vault contam para esse limite, independentemente de a chave correspondente estar ativada ou desativada.

Os limites impostos ao OCI Vault são regidos pelos limites do serviço da OCI. Os limites padrão são definidos para todas as locações. Os clientes podem solicitar um aumento no limite do serviço para chaves armazenadas em um vault seguindo as etapas descritas aqui, na documentação da Oracle Cloud Infrastructure. Como as chaves ativadas e desativadas contam para o limite, a Oracle recomenda excluir as chaves desativadas que não estão mais sendo usadas.

Quem pode usar e gerenciar minhas chaves no OCI Vault? Posso ver quem fez alterações no status do ciclo de vida de chaves e Vaults?

Quando você usa o OCI Key Management Service para criptografar ou decriptografar dados, somente os usuários, grupos ou serviços que você autorizar por meio de uma política do OCI IAM poderão gerenciar e usar as chaves. Você pode aplicar políticas refinadas de uso e gerenciamento para conceder permissões específicas a usuários específicos.

Para rastrear alterações no estado do ciclo de vida, você pode usar logs no OCI Audit, que mostrará todos os detalhes da solicitação de gerenciamento do OCI Vault – como criar, rotacionar, desativar e muito mais – para todos os Vaults, chaves ou versões de chave em sua tenancy.

Serviço de gerenciamento de chaves dedicado

Em breve

External Key Management Service

O que é o OCI External Key Management Service (OCI External KMS)?

O OCI External KMS é um serviço que permite ao cliente usar chaves de criptografia que são armazenadas e gerenciadas fora da OCI. Isso pode ser útil para clientes que possuem requisitos regulatórios para armazenar chaves de criptografia on-premises ou fora da OCI, ou que desejam ter mais controle sobre suas chaves de criptografia. Consulte este blog para mais detalhes.

Quais são os benefícios do OCI External KMS?

O serviço ajuda os clientes a resolver o seguinte:

  • Soberania, conformidade e regulamentações de dados: o OCI External KMS ajuda o cliente a manter o controle sobre suas chaves de criptografia e o local onde são armazenadas. Isso é benéfico para organizações que devem cumprir requisitos rigorosos de soberania de dados, como o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia.
  • Confiança e garantia: o OCI External KMS permite que o cliente tenha e gerencie seu próprio módulo criptográfico, tornando-se o guardião de suas chaves de criptografia. É uma vantagem para organizações que devem demonstrar seu controle sobre os processos de criptografia para clientes finais, parceiros e partes interessadas.

Quais são as considerações operacionais para usar o OCI External KMS?

O OCI External KMS proporciona ao cliente maior controle de suas chaves de criptografia, porém isso requer responsabilidade operacional: o cliente deve administrar, gerenciar e manter chaves de criptografia e módulos de segurança de hardware (HSMs) on-premises. Se trata de um modelo de propriedade diferente do serviço OCI Vault existente, em que a Oracle gerencia e administra a infraestrutura de HSM pelos clientes.

Como faço para rotacionar chaves no OCI External KMS?

Antes de rotacionar uma chave (também conhecida como referência de chave) no OCI External KMS, você precisará rotacionar chaves no Thales CipherTrust Manager seguindo a etapa abaixo, pois o material da chave é armazenado fora da OCI.

  • Adicione uma nova versão de chave externa no Thales CipherTrust Manager.

Na OCI, você pode clicar em Rotate Key Reference (rotacionar referência de chave) e digitar o ID da chave externa da etapa anterior.

Quais serviços da OCI são compatíveis com o OCI External KMS?

O OCI External KMS suporta chaves de criptografia simétricas e é compatível com aplicativos que já estão integrados no OCI Vault. Como resultado, o cliente não precisa modificar os aplicativos para utilizar o OCI External KMS: ele pode usar e associar as chaves da mesma forma que faria com o OCI Vault e com o mesmo SLA de 99,9%.

Os seguintes serviços estão integrados ao OCI Vault e podem aproveitar o OCI External KMS sem quaisquer alterações:

  • Oracle Cloud Infrastructure Object Storage, Block Volume e File Storage
  • Oracle Cloud Infrastructure Container Engine for Kubernetes
  • Oracle Database, incluindo Oracle Autonomous Database on Dedicated Exadata Infrastructure, Oracle Autonomous Database on Shared Exadata Infrastructure, Database Cloud Service e Database as a Service
  • Oracle Fusion Cloud Applications

O que acontece se eu desativar, bloquear ou remover chaves do Thales CipherTrust Manager no OCI External KMS? Meus dados na OCI permanecerão acessíveis?

O OCI External KMS foi projetado de forma que a OCI não tenha acesso ao material da chave criptográfica. Quando um cliente bloqueia a chave no Thales CipherTrust, a OCI não tem como usar a referência de chave para descriptografar dados nem executar qualquer operação usando essa referência.

Você também pode desativar/excluir as referências de chave no console da OCI.

O OCI External KMS suporta replicação de chaves/valults entre regiões?

No momento, o OCI External KMS não suporta replicação de chaves/valults entre regiões.

Qual o preço do OCI External KMS?

O OCI External KMS custa US$ 3 por versão de chave por mês e não há custo adicional para o uso dessas versões de chave. Os clientes têm um limite flexível de 10 vaults e 100 versões de chave por vault. Entre em contato com a Thales para saber mais sobre os preços e limites do CipherTrust Manager.

Como posso saber mais sobre o OCI External KMS?

Você pode aprender mais sobre o OCI External KMS lendo a technical documentation ou testando-o no console da OCI. Access the External KMS in the OCI console by selecting Identity and Security in the OCI navigation menu, then Key Management and Secret Management, and then External Key Management.