Oracle Cloud Infrastructure (OCI) Vault permite que você gerencie e controle o uso de chaves e segredos de maneira centralizada em uma grande variedade de serviços e aplicativos OCI. OCI Vault é um serviço gerenciado seguro e resiliente que permite que você se concentre nas necessidades de criptografia de dados sem se preocupar com tarefas administrativas demoradas, como provisionamento de hardware, aplicação de patches de software e alta disponibilidade.
O Key Management usa HSMs (Hardware Security Modules, Módulos de segurança de hardware) que atendem aos FIPS (Federal Information Processing Standards, Padrões de processamento da informação federais) 140-2 em certificação de segurança nível 3 para proteger as chaves. Você pode criar chaves mestras de criptografia protegidas por HSM ou software. Com as chaves protegidas por HSM, todas as operações criptográficas e o armazenamento de chaves estão dentro do HSM. Com as chaves protegidas por software, as chaves de criptografia são armazenadas e processadas no software, mas são protegidas em repouso por uma chave raiz do HSM.
OCI Vault e Oracle Key Vault são dois produtos de gerenciamento principais da Oracle.
OCI Vault – Key Management é um serviço totalmente gerenciado e oferece gerenciamento centralizado das chaves de criptografia para proteger os dados armazenados apenas em OCI. A visão do Key Management é dar suporte a diferentes tipos de chaves de criptografia – simétricas e assimétricas – e a um conjunto genérico de cargas de trabalho, inclusive Oracle Database TDE e cargas de trabalho que não sejam de banco de dados. OCI Vault é o serviço de criptografia Gen2 Cloud nativo.
O Oracle Key Vault oferece gerenciamento de chaves para bancos de dados Oracle habilitados para TDE em execução on-premise (o que inclui Oracle Exadata Cloud@Customer e Oracle Autonomous Database—Dedicated) e OCI, bem como gerenciamento de chaves para arquivos de trilha do Oracle GoldenGate criptografados e sistemas de arquivos ACFS criptografados.
Gerenciada pela Oracle é a criptografia padrão de muitos serviços OCI. Gerenciada pela Oracle significa que os dados serão criptografados em repouso com uma chave de criptografia cujo gerenciamento do ciclo de vida é controlado pela Oracle. Os clientes que não queiram gerenciar nem acessar as chaves de criptografia e estejam à procura de uma maneira mais fácil de proteger todos os dados armazenados na OCI podem escolher a criptografia gerenciada pela Oracle.
A criptografia gerenciada pelo cliente é oferecida pelo serviço OCI Vault—Key Management no qual o cliente controla e gerencia as chaves que protegem os dados. Além disso, os clientes que exigem segurança elevada e proteção FIPS 140-2 de nível 3 para atender à conformidade optam pela gerenciada pelo cliente porque as chaves de criptografia são armazenadas em HSMs.
OCI Vault também é definido como um agrupamento lógico de chaves. O Vault deve ser criado para que eventuais chaves sejam geradas ou importadas.
Há dois tipos de Vault: Vault Privado Virtual e o Vault padrão. O tipo de Vault que você cria determina o grau de isolamento e desempenho das chaves. Cada inquilino pode ter de zero a muitos Vaults.
Um Virtual Private Vault oferece uma partição dedicada no HSM (locatário único). Partição é um limite físico no HSM isolado de outras partições. Virtual Private Vault oferece transações melhores e consistentes por segundo para operações criptográficas.
Como o Vault padrão usa uma partição multilocatária, ele tem um nível moderado de isolamento.
1. Verifique se os limites para a locação permitem a criação do tipo de vault que deseja criar.
2. Verifique se as políticas do Oracle Identity and Access Management (IAM) foram criadas para a conta do usuário a fim de ter as permissões necessárias para criar um vault. Veja as Referências de Política do IAM para construir uma declaração.
3. Primeiro você cria um vault de chaves selecionando Segurança no console da Oracle Cloud Infrastructure e, em seguida, Vault.
Crie um vault e selecione um dos dois tipos de vault disponíveis que melhor atendem aos seus requisitos de isolamento e processamento:
4. Crie as chaves [Master Encryption] dentro do seu vault. As chaves mestras de criptografia podem ter um destes dois modos de proteção: HSM ou software.
5. Verifique se as políticas do IAM para o serviço ou entidade que chama o vault têm as permissões necessárias.
Exemplo: permitir que o serviço objectstorage-us-ashburn-1 use as chaves no compartimento
Use a(s) chave(s):
As operações de criptografia também estão disponíveis no SDK e na API. Para obter mais detalhes, consulte Visão geral do vault na documentação.
6 Monitore o uso das operações com métricas no console e no serviço de monitoramento. Consulte as métricas e as dimensões.
O limite do vault privado virtual é 0 por padrão. O usuário deve solicitar um aumento do limite para usá-lo. Assim que o vault privado virtual é habilitado, o usuário recebe um limite flexível de 1.000 e um limite fixo de 3.000 versões de chave simétrica.
Quando você usa o vault padrão para armazenar as chaves, não há limite rígido. O padrão tem 10 vaults virtuais com 100 chaves por vault.
Todas as versões de chave armazenadas em um vault contam para esse limite, independentemente da chave correspondente estar ativada ou desativada.
Os limites impostos ao OCI Vault são regidos pelos limites do serviço OCI. Os limites padrão são definidos para todas as locações. Os clientes podem solicitar um aumento no limite do serviço para chaves armazenadas em um vault seguindo as etapas em Solicitação de um aumento no limite de serviços da documentação da Oracle Cloud Infrastructure. Como as chaves ativadas e desativadas contam para o limite, a Oracle recomenda excluir as chaves desativadas que você não usa mais.
Os seguintes recursos de gerenciamento de chaves estão disponíveis quando você usa o serviço Vault. Para obter mais detalhes, consulte Visão geral do vault na documentação.
Ao criar uma chave, você pode escolher um formato de chave que indique o comprimento da chave e o algoritmo usado com ela. Todas as chaves são Advanced Encryption Standard (AES - GCM) e você pode escolher entre três comprimentos de chave: AES-128, AES-192 e AES-256. Recomendamos o AES-256.
O Key Management está disponível em todas as regiões comerciais e governamentais da Oracle Cloud Infrastructure.
Sim. Você pode girar suas chaves regularmente de acordo com suas necessidades de governança de segurança e conformidade regulamentar ou ad hoc em caso de incidência de segurança. A rotação regular de suas chaves (por exemplo, a cada 90 dias) usando o Console, API ou CLI limita a quantidade de dados protegidos por uma única chave.
Observação: alternar uma chave não criptografa automaticamente os dados que foram criptografados anteriormente com a versão antiga da chave; esses dados são criptografados na próxima vez que forem modificados pelo cliente. Se você suspeitar que uma chave foi comprometida, você deve criptografar novamente todos os dados protegidos por essa chave e desativar a versão anterior da chave.
Sim. Você pode importar uma cópia da chave da própria infraestrutura do gerenciamento de chaves para o Vault e usá-la com quaisquer serviços OCI integrados ou dentro dos próprios aplicativos.
Sim, mas não imediatamente. Você pode agendar a exclusão configurando um período de espera de 7 a 30 dias. O vault de chaves e todas as chaves criadas dentro do Vault são excluídos no final do período de espera, e todos os dados que foram protegidos por essas chaves não estão mais acessíveis. Depois que um vault é excluído, ele não pode ser recuperado.
Sim, mas não imediatamente. Você pode agendar a exclusão configurando um período de espera de 7 a 30 dias. Você também pode desativar uma chave, o que impedirá qualquer operação de criptografia/descriptografia usando essa chave.
Você pode enviar dados diretamente para APIs do Key Management para criptografar e descriptografar usando as chaves mestras de criptografia armazenadas no Vault.
Além disso, você pode criptografar os dados localmente nos aplicativos e serviços OCI usando um método conhecido como criptografia de envelope.
Com a criptografia de envelope, você gera e recupera DEKs (Data Encryption Keys, Chaves de criptografia de dados) das APIs do Key Management. As DEKs não são armazenadas ou gerenciadas no serviço Key Management, e sim criptografadas pela chave mestra de criptografia. Os aplicativos podem usar DEK para criptografar os dados e armazenar a DEK criptografada com os dados. Quando os aplicativos quiserem descriptografar os dados, você deverá chamar a API Key Management na DEK criptografada para recuperar a DEK. Você pode descriptografar os dados localmente com a DEK.
O Key Management é compatível com o envio de até 4 KB de dados para serem criptografados diretamente. Além disso, a criptografia de envelope pode oferecer benefícios significativos em termos de desempenho. Quando você criptografa dados diretamente com APIs Key Management, eles devem ser transferidos pela rede. A criptografia de envelope reduz a carga da rede, uma vez que apenas a solicitação e a entrega da DEK muito menor passam pela rede. A DEK é usada localmente no aplicativo ou no serviço OCI de criptografia, evitando a necessidade de envio de todo o bloco de dados.
A Oracle usa um cluster de nós e HSMs para armazenar réplicas das chaves na mesma região onde foram criadas, o que nos permite fornecer 99,9% de SLA e 99,99% de SLO para o Key Management. Vide o documento Oracle PaaS and IaaS Public Cloud Services Pillar (PDF).
Sim. O Key Management dá suporte ao backup e à restauração entre regiões para Virtual Private Vault, de maneira que as chaves possam ser usadas em uma região diferente de onde foram criadas. O backup e a restauração atendem aos requisitos FIPS porque os materiais da chave real não são exportados, em vez de um objeto binário que representa o material da chave. As operações de restauração só podem acontecer para HSMs gerenciados pela OCI.
A cobrança se baseia no tipo de vault criado.
Por padrão, o vault é cobrado com base no número de versões da chave. As chaves protegidas por software são gratuitas, mas as protegidas por HSM custam 50 centavos por versão (as primeiras 20 versões de chave são gratuitas).
No entanto, se você criar um vault privado virtual (HSM de locatário único), o preço será cobrado por hora. O preço começa no momento da criação do vault e continua até que o vault esteja programado para ser excluído. Você não é cobrado pelas versões da chave em um vault privado virtual.
Para obter mais detalhes, consulte Preços do Oracle Cloud Security.
Não, não há cobrança pelas chaves programadas para exclusão. Se você cancelar a exclusão das chaves, a cobrança recomeçará.
Quando você solicita o serviço para criar uma chave com o modo de proteção HSM, o Key Management armazena a chave e todas as versões subsequentes no HSM. O material da chave de texto sem formatação nunca pode ser visualizado ou exportado do HSM. Com o modo de proteção Software, as chaves são armazenadas em servidores do Key Management, mas protegidas em repouso por uma chave raiz do HSM.
Somente usuários, grupos ou serviços que você autoriza por meio de uma política IAM podem usar as chaves, invocando o Gerenciamento de Chaves para criptografar ou descriptografar dados.
Sim. Se você criar uma chave com modo de proteção Software, o material da chave poderá ser exportado em texto simples. No entanto, se criar as chaves com o modo de proteção HSM, você não poderá exportar o material da chave porque a chave jamais deixa o HSM. Você pode fazer backup do material da chave para restaurá-lo na mesma região ou em uma região diferente. No entanto, esse backup não dá acesso ao material da chave.