Aucun résultat trouvé

Votre recherche n’a donné aucun résultat.

Nous vous suggérons d’essayer ce qui suit pour trouver ce que vous recherchez :

  • Vérifiez l’orthographe de votre recherche par mot clé.
  • Utilisez des synonymes pour le mot clé que vous avez saisi, par exemple, essayez « application » au lieu de « logiciel ».
  • Essayez l’une des recherches les plus utilisées ci-dessous.
  • Lancez une nouvelle recherche.
Questions fréquentes

 

Tout ouvrir Tout fermer

    Questions générales

  • Qu’est-ce qu’Oracle Cloud Infrastructure Vault—Key Management ?

    Oracle Cloud Infrastructure (OCI) Vault vous permet de gérer et de contrôler de manière centralisée l’utilisation des clés et des secrets dans un large éventail de services et d’applications OCI. OCI Vault est un service géré sécurisé et résilient qui vous permet de vous concentrer sur vos besoins de chiffrement de données sans vous préoccuper des tâches administratives chronophages telles que le dimensionnement du matériel, les correctifs logiciels et la haute disponibilité.

    Key Management utilise des modules de sécurité matériels (HSM) qui correspondent à la certification de sécurité FIPS 140-2, niveau de sécurité 3, pour protéger vos clés. Vous pouvez créer des clés de chiffrement principales protégées par HSM ou par logiciel. Avec les clés protégées par HSM, toutes les opérations cryptographiques et le stockage des clés s’effectuent à l’intérieur du HSM. Avec les clés protégées par logiciel, vos clés de chiffrement sont stockées et traitées dans le logiciel, mais sont sécurisées au repos avec une clé racine de HSM.

  • Quelle est la différence entre OCI Vault et Oracle Key Vault ?

    OCI Vault et Oracle Key Vault sont deux produits de gestion de clés d’Oracle.

    OCI Vault—Key Management est un service entièrement géré qui permet une gestion centralisée de vos clés de chiffrement afin de protéger vos données stockées uniquement dans OCI. Key Management prend en charge différents types de clés de chiffrement (symétriques et asymétriques) et un ensemble générique de charges de travail comprenant Oracle Database TDE et les charges de travail hors base de données. OCI Vault est le service de chiffrement natif dans le cloud de deuxième génération.

    Oracle Key Vault offre des fonctionnalités de gestion des clés pour les bases de données Oracle compatibles TDE s’exécutant à la fois sur site (ce qui englobe Oracle Exadata Cloud@Customer et Oracle Autonomous Database—Dedicated) et dans OCI, ainsi que des fonctionnalités de gestion des clés pour les fichiers de trace Oracle GoldenGate chiffrés et les systèmes de fichiers ACFS chiffrés.

  • Quelle est la différence entre Oracle-Managed et Customer-Managed Encryption ?

    Oracle Managed (géré par Oracle) est le système de chiffrement par défaut pour de nombreux services OCI. Les données sont chiffrées au repos avec une clé de chiffrement dont la gestion du cycle de vie est contrôlée par Oracle. Les clients qui ne souhaitent pas gérer ou accéder à leurs clés de chiffrement et qui recherchent le moyen le plus simple de protéger toutes leurs données stockées dans OCI peuvent choisir le chiffrement Oracle Managed.

    Le chiffrement Customer-Managed (géré par le client) est le système proposé par le service OCI Vault—Key Management ; le client contrôle et gère les clés qui protègent ses données. Les clients qui ont besoin d’une sécurité élevée et d’une protection FIPS 140-2 de niveau 3 pour rester en conformité choisissent les clés de chiffrement Customer Managed stockées dans des modules de sécurité matériels (HSM).

  • Quels sont les différents types d’isolement de coffre dans OCI Vault—Key Management ?

    OCI Vault est également défini comme un groupement logique de clés. Le coffre doit être créé avant de générer ou d’importer des clés.

    Il existe deux types de coffres : un coffre privé virtuel et le coffre par défaut. Le type de coffre que vous créez détermine le degré d’isolement et les performances de vos clés. Chaque locataire peut avoir entre zéro et plusieurs coffres.

    Un coffre privé virtuel propose une partition dédiée sur le HSM (locataire unique). Une partition est une limite physique sur le HSM qui est isolée des autres partitions. Le coffre privé virtuel permet un taux de transactions à la seconde plus élevé et uniforme pour les opérations cryptographiques.

    Le coffre par défaut utilise une partition multi-locataire, ce qui assure un niveau d’isolement modéré.

  • Comment démarrer avec Vault—Key Management ?

    1. Assurez-vous que les limites de votre location permettent la création du type de coffre que vous souhaitez créer.

    2. Assurez-vous que les stratégies Oracle Identity and Access Management (IAM) ont été créées pour que le compte d’utilisateur dispose des autorisations nécessaires pour créer un coffre. Pour construire une instruction, consultez la section Référence sur les stratégies IAM.

    3. Vous créez d’abord un coffre en sélectionnant Sécurité dans la console Oracle Cloud Infrastructure, puis Coffre.

    Créez un coffre et sélectionnez l’un des deux types de coffre disponibles qui correspondent le mieux à vos exigences d’isolement et de traitement :

    • Coffre privé virtuel : choisissez un coffre privé virtuel si vous avez besoin d’un isolement accru sur le HSM et d’un traitement dédié des opérations de chiffrement et de déchiffrement.
    • Coffre (par défaut) : choisissez le coffre par défaut si vous êtes prêt à accepter un isolement modéré (partition multi-locataire dans HSM) et un traitement partagé des opérations de chiffrement et de déchiffrement.

    4. Créez les clés [Master Encryption] dans votre coffre. Les clés de chiffrement principales peuvent avoir l’un des deux modes de protection suivants : HSM ou logiciel.

    • Une clé de chiffrement principale protégée par un HSM est stockée sur un HSM et ne peut pas être exportée à partir de celui-ci. Toutes les opérations cryptographiques impliquant la clé se produisent également sur le HSM.
    • Une clé de chiffrement principale protégée par un logiciel est stockée sur un serveur et peut être exportée pour effectuer des opérations de chiffrement sur le client plutôt que sur le serveur. Au repos, la clé protégée par logiciel est chiffrée par une clé racine sur le HSM.

    5. Assurez-vous que les stratégies IAM pour le service ou l’entité appelant le coffre disposent des autorisations nécessaires.

    Exemple : autoriser le service objectstorage-us-ashburn-1 à utiliser les clés dans le compartiment

    Utilisez la (les) clé(s) :

    • Avec le stockage Oracle Cloud Infrastructure natif : Lors de la création d’un stockage (compartiment, fichier, volume), marquez avec « ENCRYPT USING CUSTOMER-MANAGED KEYS », puis sélectionnez le coffre et la clé de chiffrement principale. Les données dans ce compartiment/volume/stockage de fichiers seront chiffrées avec une clé de chiffrement de données regroupée avec la clé de chiffrement principale dans le coffre.
    • Avec les opérations de chiffrement, en utilisant l’interface de ligne de commande (CLI) comme exemple : oci kms crypto encrypt --key-id --plaintext

    Les opérations de chiffrement sont également disponibles dans le SDK et l’API. Pour plus de détails, consultez Présentation de Vault dans la documentation.

    6. Surveillez votre utilisation des opérations à l’aide des indicateurs clés dans la console et le service de surveillance. Voir les indicateurs clés et les dimensions.

  • Quelles sont les limites par défaut du coffre ?

    La limite d’un coffre privé virtuel est 0 par défaut. L’utilisateur doit demander une augmentation de la limite pour l’utiliser. Une fois le coffre privé virtuel activé, l’utilisateur obtient une limite souple de 1 000 et une limite stricte de 3 000 versions de clé symétrique.

    Lorsque vous utilisez le coffre par défaut pour stocker vos clés, il n’y a pas de limite fixe. La valeur par défaut est 10 coffres virtuels avec 100 clés par coffre.

    Toutes les versions de clés que vous stockez dans un coffre comptent pour cette limite, quelle que soit la clé correspondante activée ou désactivée.

    Les limites imposées à OCI Vault sont régies par les limites de service OCI. Des limites par défaut sont définies pour tous les locataires. Les clients peuvent demander une augmentation de limite de service pour les clés stockées dans un coffre en suivant les étapes présentées dans la section Demande d’une augmentation de la limite de service de la documentation Oracle Cloud Infrastructure. Comme les clés activées et désactivées comptent dans la limite, Oracle recommande de supprimer les clés désactivées que vous n’utilisez plus.

  • Quelles fonctionnalités OCI Vault—Key Management offre-t-il ?

    Les fonctionnalités de gestion des clés suivantes sont disponibles lorsque vous utilisez le service de coffre : Pour plus de détails, consultez Présentation de Vault dans la documentation.

    • Création de vos propres clés de chiffrement qui protègent vos données
    • Bring your own keys (apportez vos propres clés)
    • Rotation de vos clés
    • Prise en charge de la sauvegarde et de la restauration interrégionales de vos clés
    • Restriction d’autorisations sur les clés grâce à des stratégies IAM
    • Intégration aux services internes OCI : Oracle Autonomous Database — Dedicated, Oracle Block Storage, Oracle File Storage, Oracle Object Storage, Streaming et Container Engine for Kubernetes
  • Quelle forme/longueur de clés puis-je créer et stocker dans Vault—Key Management ?

    Lorsque vous créez une clé, vous pouvez choisir une forme de clé qui indique la longueur de la clé et l’algorithme utilisé avec celle-ci. Toutes les clés sont actuellement de type AES - GCM (Advanced Encryption Standard), et vous pouvez choisir parmi trois longueurs de clé : AES-128, AES-192 et AES-256. La longueur AES-256 est recommandée.

  • Dans quelles régions Oracle Cloud Infrastructure Vault—Key Management est-il disponible ?

    Key Management est disponible dans toutes les régions Oracle Cloud Infrastructure commerciales et gouvernementales.

    Gestion des clés et des coffres

  • Puis-je faire tourner mes clés ?

    Oui. Vous pouvez faire tourner vos clés régulièrement en fonction de vos besoins en matière de gouvernance de la sécurité et de conformité réglementaire ou de manière ad hoc en cas d’incident de sécurité. La rotation régulière de vos clés (par exemple, tous les 90 jours) à l’aide de la console, de l’API ou de la CLI limite la quantité de données protégées par une seule clé.

    Remarque : La rotation d’une clé ne rechiffre pas automatiquement les données qui étaient précédemment chiffrées avec l’ancienne version de la clé ; ces données sont rechiffrées la prochaine fois qu’elles sont modifiées par le client. Si vous pensez qu’une clé a été compromise, vous devez rechiffrer toutes les données protégées par cette clé et désactiver la version de clé précédente.

  • Puis-je apporter mes propres clés dans Vault — Key Management ?

    Oui. Vous pouvez importer une copie de votre clé à partir de votre propre infrastructure de gestion de clés vers Vault et l’utiliser avec tous les services OCI intégrés ou à partir de vos propres applications.

  • Puis-je supprimer un coffre ?

    Oui, mais pas instantanément. Vous pouvez programmer la suppression en configurant une période d’attente de 7 à 30 jours. Le coffre et toutes les clés créées à l’intérieur de celui-ci sont supprimés à la fin de la période d’attente, et toutes les données qui étaient protégées par ces clés ne sont plus accessibles. Une fois le coffre supprimé, il ne peut pas être récupéré.

  • Puis-je supprimer une clé ou une version de clé ?

    Oui, mais pas instantanément. Vous pouvez programmer la suppression en configurant une période d’attente de 7 à 30 jours. Vous pouvez également désactiver une clé, ce qui empêchera toute opération de chiffrement et de déchiffrement utilisant cette clé.

    Utilisation des clés

  • Où mes données sont-elles chiffrées si j’utilise OCI Vault — Key Management ?

    Vous pouvez soumettre des données directement aux API de gestion des clés pour chiffrer et déchiffrer à l’aide de vos clés de chiffrement principales stockées dans le coffre.

    En outre, vous pouvez chiffrer vos données localement dans vos applications et services OCI au moyen d’une méthode appelée chiffrement d’enveloppe.

    Cette méthode permet de générer et récupérer des clés de chiffrement de données (DEK) à partir des API de gestion de clés. Les clés de chiffrement de données ne sont ni stockées ni gérées dans le service de gestion des clés, mais elles sont chiffrées par votre clé de chiffrement principale. Vos applications peuvent les utiliser pour chiffrer vos données et stocker les DEK avec les données. Lorsque vos applications souhaitent déchiffrer les données, vous devez appeler l’API de déchiffrement de Key Management sur la DEK chiffrée pour récupérer cette dernière. Vous pouvez déchiffrer vos données localement avec la clé de chiffrement des données.

  • Pourquoi utiliser le chiffrement d’enveloppe ? Pourquoi ne pas simplement envoyer des données à Vault—Key Management pour qu’il les chiffre directement ?

    La gestion des clés prend en charge l’envoi de jusqu’à 4 Ko de données à chiffrer directement. De plus, le chiffrement d’enveloppe peut offrir des avantages significatifs en termes de performances. Lorsque vous chiffrez des données directement avec les API de gestion des clés, elles doivent être transférées sur le réseau. Le chiffrement d’enveloppe réduit la charge du réseau puisque seules la demande et la livraison de la clé de chiffrement de données (DEK - Data Encryption Key), plus petite, transitent par le réseau. Cette dernière est utilisée localement dans votre application ou service de chiffrement OCI, ce qui évite d’envoyer tout le bloc de données.

    Haute disponibilité et reprise après sinistre

  • Comment Oracle assure-t-il la haute disponibilité des clés dans une région ?

    Oracle utilise un cluster de nœuds et des HSM pour stocker la réplique de vos clés dans la région où elles ont été créées, ce qui nous permet de fournir 99,9 % du SLA et 99,99 % du SLO pour la gestion des clés. Consultez Document Pillar Oracle PaaS et IaaS Public Cloud Services.

  • Puis-je transférer et utiliser mes clés dans une région différente de celle où elles ont été créées ?

    Oui. Key Management prend en charge la sauvegarde et la restauration interrégionales du coffre privé virtuel afin que les clés puissent être utilisées dans une région différente de celle où elles ont été créées. La sauvegarde et la restauration répondent aux exigences FIPS, car les matériels de clé réels ne sont pas exportés, mais plutôt un objet binaire qui représente le matériel de clé. Les opérations de restauration peuvent être réalisées uniquement sur les HSM gérés par OCI.

    Facturation

  • Comment est facturée l’utilisation de Vault—Key Management ?

    La facturation dépend du type de coffre créé.

    Par défaut, votre coffre est facturé en fonction du nombre de versions de clé. Les clés protégées par logiciel sont gratuites, mais les clés protégées par HSM sont facturées 50 centimes par version. (les 20 premières versions de clé sont gratuites).

    Toutefois, si vous créez un coffre privé virtuel (HSM à locataire unique), vous êtes facturé à l’heure. La tarification commence à partir de la création du coffre et se poursuit jusqu’à ce que la suppression du coffre soit programmée. Les versions de clé dans un coffre privé virtuel ne sont pas facturées.

    Pour plus de détails, consultez Tarification d’Oracle Cloud Security.

  • Mes clés sont-elles facturées lorsque leur suppression est programmée ?

    Non, les clés dont la suppression est programmée ne sont pas facturées. Si vous annulez la suppression de vos clés, la facturation reprend.

    Sécurité

  • Les collaborateurs Oracle peuvent-ils accéder au matériel de mes clés ?

    Non.

  • Comment les clés que je crée dans mon coffre Vault—Key Management sont-elles sécurisées ?

    Lorsque vous demandez au service de créer une clé avec le mode de protection HSM, Key Management stocke la clé et toutes les versions ultérieures de la clé dans le HSM. Le matériel de clé en texte brut ne peut jamais être affiché ou exporté à partir du HSM. Avec le mode de protection logiciel, les clés sont stockées sur des serveurs de gestion de clés mais protégées au repos par une clé racine de HSM.

    Seuls les utilisateurs, groupes ou services que vous autorisez via une stratégie IAM peuvent utiliser les clés en appelant la gestion des clés pour chiffrer ou déchiffrer les données.

  • Puis-je exporter une clé que j’ai créée dans Vault—Key Management ?

    Oui. Si vous créez une clé avec le mode de protection logiciel, le matériel de clé peut être exporté en texte brut. Cependant, si vous créez vos clés en mode de protection HSM, vous ne pouvez pas exporter le matériel de la clé, car cette dernière ne quitte jamais le HSM. Vous pouvez néanmoins sauvegarder le matériel de la clé afin de le restaurer dans la même région ou dans une région différente. Cependant, cette sauvegarde ne donne pas accès au matériel de la clé.