Oracle Cloud Infrastructure (OCI) Vault vous permet de gérer et de contrôler de manière centralisée l’utilisation des clés et des secrets dans un large éventail de services et d’applications OCI. OCI Vault est un service géré sécurisé et résilient qui vous permet de vous concentrer sur vos besoins de chiffrement de données sans vous préoccuper des tâches administratives chronophages telles que le dimensionnement du matériel, les correctifs logiciels et la haute disponibilité.
Key Management utilise des modules de sécurité matériels (HSM) qui correspondent à la certification de sécurité FIPS 140-2, niveau de sécurité 3, pour protéger vos clés. Vous pouvez créer des clés de chiffrement principales protégées par HSM ou par software. Avec les clés protégées par HSM, toutes les opérations cryptographiques et le stockage des clés s’effectuent à l’intérieur du HSM. Avec les clés protégées par software, vos clés de chiffrement sont stockées et traitées dans le software, mais sont sécurisées au repos avec une clé racine de HSM.
OCI Vault et Oracle Key Vault sont deux produits de gestion de clés d’Oracle.
OCI Vault—Key Management est un service entièrement géré qui permet une gestion centralisée de vos clés de chiffrement afin de protéger vos données stockées uniquement dans OCI. Key Management prend en charge différents types de clés de chiffrement (symétriques et asymétriques) et un ensemble générique de workloads comprenant Oracle Database TDE et les workloads hors base de données. OCI Vault est le service de chiffrement natif dans le cloud de deuxième génération.
Oracle Key Vault offre des fonctionnalités de gestion des clés pour les bases de données Oracle compatibles TDE s’exécutant à la fois sur site (ce qui englobe Oracle Exadata Cloud@Customer et Oracle Autonomous Database—Dedicated) et dans OCI, ainsi que des fonctionnalités de gestion des clés pour les fichiers de trace Oracle GoldenGate chiffrés et les systèmes de fichiers ACFS chiffrés.
Oracle Managed (géré par Oracle) est le système de chiffrement par défaut pour de nombreux services OCI. Les données sont chiffrées au repos avec une clé de chiffrement dont la gestion du cycle de vie est contrôlée par Oracle. Les clients qui ne souhaitent pas gérer ou accéder à leurs clés de chiffrement et qui recherchent le moyen le plus simple de protéger toutes leurs données stockées dans OCI peuvent choisir le chiffrement Oracle Managed.
Le chiffrement Customer-Managed (géré par le client) est le système proposé par le service OCI Vault—Key Management ; le client contrôle et gère les clés qui protègent ses données. Les clients qui ont besoin d’une sécurité élevée et d’une protection FIPS 140-2 de niveau 3 pour rester en conformité choisissent les clés de chiffrement Customer Managed stockées dans des modules de sécurité matériels (HSM).
OCI Vault est également défini comme un groupement logique de clés. Le coffre doit être créé avant de générer ou d’importer des clés.
Il existe deux types de coffres : Virtual Private Vault et Vault par défaut. Le type de coffre que vous créez détermine le degré d’isolement et les performances de vos clés. Chaque locataire peut avoir entre zéro et plusieurs coffres.
Un Virtual Private Vaut propose une partition dédiée sur le HSM (locataire unique). Une partition est une limite physique sur le HSM qui est isolée des autres partitions. Le Virtual Private Vaultl permet un taux de transactions à la seconde plus élevé et uniforme pour les opérations cryptographiques.
Le Vault par défaut utilise une partition multi-locataire, ce qui assure un niveau d’isolement modéré.
1. Assurez-vous que les limites de votre location permettent la création du type de coffre que vous souhaitez créer.
2. Assurez-vous que les stratégies Oracle Identity and Access Management (IAM) ont été créées pour que le compte utilisateur dispose des autorisations nécessaires pour créer un coffre. Pour construire une instruction, consultez la section Référence sur les stratégies IAM.
3. Pour créer un coffre, sélectionnez Sécurité dans la console Oracle Cloud Infrastructure, puis Coffre.
Créez un coffre et sélectionnez l’un des deux types de coffre disponibles qui correspondent le mieux à vos exigences d’isolement et de traitement :
4. Créez les clés [Master Encryption] dans votre coffre. Les clés de chiffrement principales peuvent avoir l’un des deux modes de protection suivants :
5. Assurez-vous que les stratégies IAM pour le service ou l'entité appelant le coffre disposent des autorisations nécessaires.
Exemple : autoriser le service objectstorage-us-ashburn-1 à utiliser des clés dans un compartiment
Utilisez la (les) clé(s) :
Les opérations de chiffrement sont également disponibles dans le SDK et l’API. Pour plus de détails, consultez Présentation de Vault dans la documentation.
6. Surveiller l'utilisation des opérations à l'aide des indicateurs clés dans la console et le service de surveillance. Voir les indicateurs clés et les dimensions.
La limite d’un Virtual Private Vault est 0 par défaut. L’utilisateur doit demander une augmentation de la limite pour l’utiliser. Une fois le coffre privé virtuel activé, l’utilisateur obtient une limite souple de 1 000 et une limite stricte de 3 000 versions de clé symétrique.
Lorsque vous utilisez le Vault par défaut pour stocker vos clés, il n’y a pas de limite fixe. La valeur par défaut est 10 coffres virtuels avec 100 clés par coffre.
Toutes les versions de clés que vous stockez dans un coffre comptent pour cette limite, quelle que soit la clé correspondante activée ou désactivée.
Les limites imposées à OCI Vault sont régies par les limites de service OCI. Des limites par défaut sont définies pour tous les locataires. Les clients peuvent demander une augmentation de limite de service pour les clés stockées dans un coffre en suivant les étapes présentées dans la section Demande d’une augmentation de la limite de service de la documentation Oracle Cloud Infrastructure. Comme les clés activées et désactivées comptent dans la limite, Oracle recommande de supprimer les clés désactivées que vous n’utilisez plus.
Les fonctionnalités de gestion des clés suivantes sont disponibles lorsque vous utilisez le service Vault : Pour plus de détails, consultez Présentation de Vault dans la documentation.
Lorsque vous créez une clé, vous pouvez choisir une forme de clé qui indique la longueur de la clé et l’algorithme utilisé avec celle-ci. Toutes les clés sont actuellement de type AES - GCM (Advanced Encryption Standard), et vous pouvez choisir parmi trois longueurs de clé : AES-128, AES-192 et AES-256.. La longueur AES-256 est recommandée.
Key Management est disponible dans toutes les régions Oracle Cloud Infrastructure commerciales et gouvernementales.
Oui. Vous pouvez faire pivoter vos clés régulièrement en fonction de vos besoins en matière de gouvernance de la sécurité et de conformité réglementaire ou de manière ad hoc en cas d’incident de sécurité. La rotation régulière de vos clés (par exemple, tous les 90 jours) à l’aide de la console, de l’API ou de la CLI limite la quantité de données protégées par une seule clé.
Remarque : La rotation d'une clé ne rechiffre pas automatiquement les données précédemment chiffrées avec l'ancienne version de la clé ; ces données sont rechiffrées la prochaine fois qu'elles sont modifiées par le client. Si vous pensez qu’une clé a été compromise, vous devez rechiffrer toutes les données protégées par cette clé et désactiver la version de clé précédente.
Oui. Vous pouvez importer une copie de votre clé à partir de votre propre infrastructure de gestion de clés vers Vault et l’utiliser avec tous les services OCI intégrés ou à partir de vos propres applications.
Oui, mais pas instantanément. Vous pouvez programmer la suppression en configurant une période d’attente de 7 à 30 jours. Le coffre et toutes les clés créées à l’intérieur de celui-ci sont supprimés à la fin de la période d’attente, et toutes les données qui étaient protégées par ces clés ne sont plus accessibles. Une fois le coffre supprimé, il ne peut pas être récupéré.
Oui, mais pas instantanément. Vous pouvez programmer la suppression en configurant une période d’attente de 7 à 30 jours. Vous pouvez également désactiver une clé, ce qui empêchera toute opération de chiffrement et de déchiffrement utilisant cette clé.
Vous pouvez soumettre des données directement aux API de gestion des clés pour chiffrer et déchiffrer à l’aide de vos clés de chiffrement principales stockées dans le coffre.
En outre, vous pouvez chiffrer vos données localement dans vos applications et services OCI au moyen d’une méthode appelée chiffrement d’enveloppe.
Cette méthode permet de générer et récupérer des clés de chiffrement de données (DEK) à partir des API de gestion de clés. Les clés de chiffrement de données ne sont ni stockées ni gérées dans le service de gestion des clés, mais elles sont chiffrées par votre clé de chiffrement principale. Vos applications peuvent les utiliser pour chiffrer vos données et stocker les DEK avec les données. Lorsque vos applications souhaitent déchiffrer les données, vous devez appeler l’API de déchiffrement de Key Management sur la DEK chiffrée pour récupérer cette dernière. Vous pouvez déchiffrer vos données localement avec la clé de chiffrement des données.
La gestion des clés prend en charge l’envoi de jusqu’à 4 Ko de données à chiffrer directement. De plus, le chiffrement d’enveloppe peut offrir des avantages significatifs en termes de performances. Lorsque vous chiffrez des données directement avec les API de gestion des clés, elles doivent être transférées sur le réseau. Le chiffrement d’enveloppe réduit la charge du réseau puisque seules la demande et la livraison de la clé de chiffrement de données (DEK - Data Encryption Key), plus petite, transitent par le réseau. Cette dernière est utilisée localement dans votre application ou service de chiffrement OCI, ce qui évite d’envoyer tout le bloc de données.
Oracle utilise un cluster de nœuds et des HSM pour stocker la réplique de vos clés dans la région où elles ont été créées, ce qui nous permet de fournir 99,9 % du SLA et 99,99 % du SLO pour la gestion des clés. Consultez Document Pillar Oracle PaaS et IaaS Public Cloud Services (PDF).
Oui. Key Management prend en charge la sauvegarde et la restauration interrégionales du coffre privé virtuel afin que les clés puissent être utilisées dans une région différente de celle où elles ont été créées. La sauvegarde et la restauration répondent aux exigences FIPS, car les matériels de clé réels ne sont pas exportés, mais plutôt un objet binaire qui représente le matériel de clé. Les opérations de restauration peuvent être réalisées uniquement sur les HSM gérés par OCI.
La facturation dépend du type de coffre créé.
Par défaut, votre coffre est facturé en fonction du nombre de versions de clé. Les clés protégées par software sont gratuites, mais les clés protégées par HSM sont facturées 50 centimes par version de clé (les 20 premières versions de clé sont gratuites).
Toutefois, si vous créez un coffre privé virtuel (HSM à locataire unique), vous êtes facturé à l’heure. La tarification commence à partir de la création du coffre et se poursuit jusqu’à ce que la suppression du coffre soit programmée. Les versions de clé dans un coffre privé virtuel ne sont pas facturées.
Pour plus de détails, consultez Tarification d’Oracle Cloud Security.
Non, les clés dont la suppression est programmée ne sont pas facturées. Si vous annulez la suppression de vos clés, la facturation reprend.
Lorsque vous demandez au service de créer une clé avec le mode de protection HSM, Key Management stocke la clé et toutes les versions ultérieures de la clé dans le HSM. Le matériel de clé en texte brut ne peut jamais être affiché ou exporté à partir du HSM. Avec le mode de protection Software, les clés sont stockées sur des serveurs de gestion de clés mais protégées au repos par une clé racine de HSM.
Seuls les utilisateurs, groupes ou services que vous autorisez via une stratégie IAM peuvent utiliser les clés en appelant la gestion des clés pour chiffrer ou déchiffrer les données.
Oui. Si vous créez une clé avec le mode de protection Software, le matériel de clé peut être exporté en texte brut. Cependant, si vous créez vos clés en mode de protection HSM, vous ne pouvez pas exporter le matériel de la clé, car cette dernière ne quitte jamais le HSM. Vous pouvez néanmoins sauvegarder le matériel de la clé afin de le restaurer dans la même région ou dans une région différente. Cependant, cette sauvegarde ne donne pas accès au matériel de la clé.
OCI External KMS est un service qui permet aux clients d'utiliser des clés de cryptage stockées et gérées en dehors d'OCI. Ce service peut s'avérer utile pour les clients qui sont tenus par la réglementation de stocker les clés de cryptage sur site ou en dehors d'OCI, ou qui souhaitent avoir plus de contrôle sur leurs clés de cryptage. Le KMS externe est disponible dans toutes les régions OCI.
Le KMS externe est disponible dans toutes les régions OCI. Le service aide les clients à résoudre les problèmes suivants :
KMS externe offre aux clients un plus grand contrôle sur leurs clés de cryptage, mais il s'accompagne également d'une responsabilité opérationnelle : les clients doivent administrer, gérer et maintenir les clés de cryptage et les modules de sécurité matériels (HSM) sur site. Il s'agit d'un modèle de propriété différent du service OCI Vault existant, dans lequel Oracle gère et administre l'infrastructure HSM pour le compte des clients.
Pour effectuer la rotation d'une clé (également appelée référence de clé) dans KMS externe, vous devez d'abord effectuer la rotation dans le gestionnaire CipherTrust de Thales en suivant les étapes ci-dessous car le matériel des clés est stocké en dehors d'OCI.
Dans OCI, vous pouvez ensuite cliquer sur Effectuer la rotation de la référence de clé et saisir l'ID de version de clé externe de l'étape précédente.
KMS externe prend en charge les clés de cryptage symétriques et est compatible avec les applications déjà intégrées à OCI Vault. Par conséquent, les clients ne doivent pas modifier les applications pour bénéficier de KMS externe. Ils peuvent utiliser et associer des clés de la même manière qu'avec OCI Vault et avec le même contrat de niveau de service de 99,9 %.
Les services suivants sont intégrés à OCI Vault et peuvent bénéficier de KMS externe sans aucune modification :
La fonctionnalité KMS externe est conçue pour qu'OCI n'ait aucun accès au matériel des clés cryptographiques. Une fois qu'un client a bloqué la clé dans Thales CipherTrust, OCI n'a aucun moyen d'utiliser la référence de clé pour déchiffrer les données ou effectuer une opération à l'aide de cette référence de clé.
KMS externe est disponible dans toutes les régions et tous les domaines OCI. Sa valeur réside dans les régions dédiées (par exemple, Oracle Cloud Infrastructure Dedicated Region) et les régions qui peuvent accéder au système de gestion tiers avec une faible latence pour prendre en charge la souveraineté des données et la fiabilité du réseau.
Le coût de KMS externe est de 3 USD par version de clé et par mois, l'utilisation de ces versions de clé n'entraîne aucun coût supplémentaire. Les clients disposent d'une limite indicative de 10 coffres et de 100 versions de clés par coffre. Contactez Thales pour en savoir plus sur les tarifs et les limites de CipherTrust Manager.
Pour en savoir plus sur KMS externe, consultez la documentation technique ou essayez KMS externe dans la console OCI. Accédez au KMS externe dans la console OCI en sélectionnant Identité et sécurité dans le menu de navigation OCI, Gestion des clés et des secrets, puis Gestion de clés externe.