Schlüsselverwaltung – Häufig gestellte Fragen

Allgemeine Fragen

Was versteht man unter dem Cloud Infrastructure Key Management Service (KMS)?

Oracle Cloud Infrastructure (OCI) Key Management Service (KMS) ist ein cloudbasierter Service, der eine zentrale Verwaltung und Kontrolle von Verschlüsselungsschlüsseln für in OCI gespeicherte Daten bietet. OCI KMS ist eine vom Kunden verwaltete Verschlüsselung und bietet die folgenden Dienste an:

  • OCI Vault: OCI Vault ist ein vom Kunden verwalteter Verschlüsselungsservice, mit dem Sie die Schlüssel kontrollieren können, die in OCI-Hardwaresicherheitsmodulen (HSMs) gehostet werden, während Oracle die HSMs verwaltet. OCI Vault bietet die folgenden Optionen:
    • Virtual Vault: Virtual Vault ist ein mehrmandantenfähiger Verschlüsselungsservice, bei dem Ihre Schlüssel in HSM-Partitionen gespeichert werden, die auch Schlüssel anderer Kunden hosten. Es handelt sich dabei um den Standardverschlüsselungsservice in OCI Vault.
    • Private Vault: Private Vault ist ein einzelmandantenfähiger Verschlüsselungsservice, der Schlüssel in einer dedizierten HSM-Partition mit dedizierten Kernen speichert, die für Ihren Mandanten isoliert sind.
  • OCI Dedicated KMS: Demnächst steht mit OCI Dedicated KMS eine mandantenfähige HSM-Partition als Service zur Verfügung, die eine vollständig isolierte Umgebung für die Speicherung und Verwaltung von Verschlüsselungsschlüsseln bietet. Der Unterschied zwischen Private Vault und OCI Dedicated KMS besteht in der Steuerung der HSM-Partitionen. Mit OCI Dedicated KMS können Sie die HSM-Partitionen kontrollieren und für sich beanspruchen sowie Standardschnittstellen wie PKCS#11 verwenden, um kryptografische Operationen durchzuführen. Oracle verwaltet diese HSM-Partitionen weiterhin für Sicherheits- und Firmware-Patches.
  • OCI External KMS: Mit dem externen KMS können Sie Ihr eigenes Schlüsselverwaltungssystem eines Drittanbieters nutzen, um Daten in OCI-Diensten zu schützen. Sie kontrollieren die Schlüssel und das HSM außerhalb von OCI und sind für die Verwaltung und Handhabbarkeit dieser HSMs verantwortlich. Ihre Hauptschlüssel werden immer außerhalb von OCI gespeichert und nie in OCI External KMS importiert, sodass die Ver- und Entschlüsselungsvorgänge außerhalb von OCI stattfinden.

Weitere Informationen zu OCI-Verschlüsselungsangeboten finden Sie in folgendem Blog.

Welche Sicherheits- und Complianceanforderungen werden von OCI KMS erfüllt?

OCI KMS verwendet HSMs, die der Sicherheitszertifizierung Federal Information Processing Standards (FIPS) 140-2 Security Level 3 entsprechen, um Ihre Schlüssel zu schützen. Das FIPS-Zertifikat finden Sie auf der Website des NIST Cryptographic Module Validation Program (CMVP) – hier.

OCI KMS wurde hinsichtlich der Funktionalität und der Sicherheitskontrollen überprüft, um Sie bei der Erfüllung der Verschlüsselungs- und Schlüsselverwaltungsanforderungen des PCI DSS 3.2.1 zu unterstützen (auf die hauptsächlich in den Abschnitten 3.5 und 3.6 verwiesen wird).

Welche Fähigkeiten oder Funktionen werden von OCI KMS unterstützt?

OCI KMS unterstützt verschiedene Funktionen, mit denen Sie Ihre Schlüssel kontrollieren und den erforderlichen Sicherheitsschutz für Ihre Daten in OCI-Services sicherstellen können. Im Folgenden finden Sie die Funktionsmatrix für kritische Funktionen über verschiedene Services in OCI KMS hinweg.

Funktionen Virtual Vault Private Vault Dedicated KMS (demnächst verfügbar) External KMS
FIPS 140-2 Level 3 HSMs Ja Ja Ja Extern
Symmetrische (AES) Verschlüsselung Ja Ja Ja Ja
Asymmetrische Verschlüsselung (RSA und ECDSA) Ja Ja Ja Nein
Softwareschlüssel Ja Ja Nein Extern
Backup/Wiederherstellung Nein Ja Ja Nein
Regionsübergreifende Replikation In Kürze Ja Nein Nein
Bring Your Own Key Ja Ja Ja Extern
OCI Services Integration (Storage, Database, SaaS) Ja Ja Nein Ja
Automatische Schlüsselrotation In Kürze In Kürze Nein Nein
Auditlog Ja Ja Ja Ja
Geplanter Löschvorgang Ja Ja Ja Ja

Wie stellt Oracle Hochverfügbarkeit von Schlüsseln in einer Region bereit? In welchen geografischen Regionen werden meine Schlüssel gespeichert?

Oracle verwendet einen Cluster von Knoten und HSMs, um Replikate Ihrer Schlüssel in derselben Region zu speichern, in der sie erstellt wurden. Dadurch können wir ein Service Level Agreement (SLA) von 99,9 % und ein Service Level Objective (SLO) von 99,99 % für die Schlüsselverwaltung bieten. Bitte ziehen Sie das Oracle PaaS und IaaS Public Cloud Services – Pillar-Dokument zu Rate.

Ein Schlüssel wird ausschließlich in der Region gespeichert und verwendet, in der er erstellt wurde. Wenn Sie Ihre Schlüssel in einer anderen Region im Realm sichern/replizieren möchten, um Compliance- oder DR-Anforderungen zu erfüllen, können Sie die regionsübergreifende Sicherung und Wiederherstellung oder die regionsübergreifende Replikation nutzen.

Worin liegt der Unterschied zwischen OCI KMS und Oracle Key Vault (OKV)?

OCI KMS ist ein Cloud-nativer Schlüsselverwaltungsservice, den Oracle für alle Cloud-Anwendungen empfiehlt. OCI KMS ist nativ in viele OCI-Dienste im Zusammenhang mit Storage, Datenbanken und SaaS-Diensten wie FA integriert. Wenn Sie ein zentralisiertes Schlüsselmanagement in der Oracle Cloud und einen Managed Service für alle Ihre Cloud-Anwendungen mit einer Pay-as-you-go-Preisstruktur suchen, dann ist OCI KMS das, was Oracle empfiehlt.

Oracle Key Vault ist ein weiteres Schlüsselverwaltungsprodukt von Oracle. Oracle Key Vault bietet eine Schlüsselverwaltung für TDE-fähige Oracle-Datenbanken, die sowohl On-Premises (einschließlich Oracle Exadata Cloud@Customer und Oracle Autonomous Database – Dedicated) als auch in OCI ausgeführt werden, sowie eine Schlüsselverwaltung für verschlüsselte Oracle GoldenGate Trail-Dateien und verschlüsselte Oracle Automatic Storage Management Cluster File Systems.

In welchen OCI-Regionen ist OCI KMS vorhanden, und wo finde ich Ressourcen für OCI KMS?

OCI KMS ist in allen OCI-Regionen und -Realms verfügbar, einschließlich Government, EU Sovereign Cloud, Oracle National Security Regions und OCI Dedicated Region Cloud@Customer. Weitere Informationen zur Regionsverfügbarkeit und zu OCI KMS-Angeboten finden Sie in unserer Dokumentation und in unseren Blogs.

Vault

Was ist OCI Vault?

OCI Vault ist ein sicherer, robuster und vollständig verwalteter Service, mit dem Sie sich auf Ihre Datenverschlüsselungsanforderungen konzentrieren können, ohne sich um zeitraubende administrative Aufgaben kümmern zu müssen, die für eine hohe Verfügbarkeit erforderlich sind, wie z. B. die Bereitstellung von Hardware und Software-Patches. Vault verwendet HSMs, die der Sicherheitszertifizierung Federal Information Processing Standards (FIPS) 140-2 Security Level 3 entsprechen, um Ihre Schlüssel zu schützen. OCI Vault ist der native Cloud-Verschlüsselungsdienst der 2. Generation von Oracle.

Vault unterstützt verschiedene Typen von Verschlüsselungsschlüsseln – symmetrische (AES-Schlüssel) und asymmetrische (RSA- und ECDSA-Schlüssel) – sowie eine Reihe allgemeiner Arbeitslasten, einschließlich Oracle Exadata Cloud Service, Oracle Autonomous Database, Transparent Data Encryption in Oracle Database und datenbankunabhängiger Arbeitslasten.

Es gibt zwei Arten von OCI Vault: Einen Private Vault und einen standardmäßigen Virtual Vault. Der von Ihnen erstellte Vault-Typ bestimmt den Grad der Isolation und Leistung Ihrer Schlüssel. Jeder Tenant kann keine bis zahlreiche Vaults haben.

Ein Private Vault bietet eine dedizierte Partition auf dem HSM (einzelmandantenfähig). Eine Partition ist eine physische Abgrenzung auf dem HSM, die von anderen Partitionen isoliert ist. Private Vault ermöglicht bessere und konsequente Transaktionen pro Sekunde bei kryptografischen Vorgängen. Es handelt sich dabei um einzelmandantenfähige HSMs. Private Vaults bieten außerdem zusätzliche Funktionen wie die regionsübergreifende Replikation sowie die regionsübergreifende Sicherung und Wiederherstellung von Schlüsseln.

Der standardmäßige Virtual Vault verwendet eine mehrmandantenfähige Partition, die einen mäßigen Grad an Isolierung bieten.

Mit beiden Vault-Optionen können Sie Hauptverschlüsselungsschlüssel erstellen, die auf eine der folgenden Arten gespeichert werden:

  • HSM-Schlüssel: Ein durch ein HSM geschützter Hauptverschlüsselungsschlüssel wird auf einem HSM gespeichert und kann nicht aus diesem exportiert werden. Alle kryptografischen Vorgänge, die den Schlüssel betreffen, finden ebenfalls auf dem HSM statt. Diese Schlüssel sind FIPS Level 3-konform.
  • Software-Schlüssel: Ein durch Software geschützter Hauptverschlüsselungsschlüssel wird auf einem Server gespeichert und kann von dort exportiert werden, um kryptografische Vorgänge auf dem Client anstatt auf dem Server auszuführen. Im Ruhezustand wird der softwaregeschützte Schlüssel mit einem Root-Schlüssel auf dem HSM verschlüsselt. Diese Schlüssel sind FIPS Level 1-konform.

Welche Funktionen bietet OCI Vault?

Die folgenden Schlüsselverwaltungsfunktionen sind verfügbar, wenn Sie OCI Vault verwenden:

  • Erstellung eigener Verschlüsselungsschlüssel zum Schutz Ihrer Daten
  • Verwendung eigener Schlüssel
  • Rotieren Ihrer Schlüssel
  • Erstellung und Überprüfung digitaler Signaturen mit Signier- und Überprüfungsvorgängen unter Verwendung Ihrer asymmetrischen Schlüssel
  • Unterstützung für die regionsübergreifende Sicherung und Wiederherstellung Ihrer Vaults und Schlüssel (nur private Vaults)
  • Unterstützung für die regionsübergreifende Replikation von Vaults und Schlüsseln (nur private Vaults)
  • Vorübergehende Deaktivierung von Schlüsseln zum Schutz von Daten
  • Planung des Löschens von Schlüsseln und Tresoren, die Sie nicht mehr verwenden
  • Schränken Sie die Verwaltung und Verwendung von Schlüsseln und Tresoren mithilfe von OCI IAM-Richtlinien auf genau definierte Berechtigungen ein.
  • Überwachung des Lebenszyklus von Schlüsseln und Tresoren mit Oracle Audit und Database Firewall
  • Nahtlose Integration in OCI-interne Dienste: Oracle Exadata Cloud Service, Oracle Autonomous Database-Dedicated und Oracle Cloud Infrastructure (OCI) Block Storage, File Storage, Object Storage, Streaming und Container Engine for Kubernetes.

In OCI Vault können Sie Schlüssel nach den folgenden Standards erstellen: Advanced Encryption Standard (AES-GCM), Rivest-Shamir-Adleman (RSA) und Elliptic Curve Digital Signature Algorithm (ECDSA). Bei AES-Schlüsseln können Sie aus drei Schlüssellängen wählen: AES-128, AES-192 und AES-256. AES-256 wird empfohlen. OCI Vault unterstützt die folgenden asymmetrischen Schlüsseltypen: RSA 2048, RSA 3072, RSA 4096, NIST P-256, NIST P384 und ECC_NIST521.

Sie können symmetrische AES-Schlüssel und asymmetrische RSA-Schlüssel für die Verschlüsselung und Entschlüsselung erstellen und verwenden. Sie können außerdem asymmetrische RSA- oder ECDSA-Schlüssel zum Signieren digitaler Nachrichten verwenden.

Weitere Informationen und erste Schritte finden Sie unter Überblick über OCI Vault.

Wo werden meine Daten verschlüsselt, wenn ich OCI Vault verwende?

Sie können Daten direkt an Schlüsselverwaltungs-APIs senden, um sie mit Ihren im Vault gespeicherten Hauptverschlüsselungsschlüsseln zu ver- und entschlüsseln. Sie können Ihre Daten auch lokal in Ihren Anwendungen und OCI-Diensten mithilfe einer als Umschlagverschlüsselung bezeichneten Methode verschlüsseln.

Mithilfe der Umschlagverschlüsselung können Sie Datenverschlüsselungsschlüssel (Data Encryption Keys, DEK) von Schlüsselverwaltungs-APIs generieren und abrufen. DEKs werden nicht im Schlüsselverwaltungsdienst gespeichert oder verwaltet, sondern von Ihrem Hauptverschlüsselungsschlüssel verschlüsselt. Ihre Anwendungen können DEK verwenden, um Ihre Daten zu verschlüsseln und den verschlüsselten DEK zusammen mit den Daten zu speichern. Wenn Ihre Anwendungen die Daten entschlüsseln möchten, sollten Sie über die Schlüsselverwaltungs-API die Entschlüsselung des verschlüsselten DEK aufrufen, um den DEK abzurufen. Sie können Ihre Daten lokal mit dem DEK entschlüsseln.

Warum die Umschlagverschlüsselung verwenden? Warum nicht einfach Daten an OCI Key Management Service und OCI Vault senden, um sie direkt zu verschlüsseln?

Key Management unterstützt das Senden von bis zu 4 KB an Daten, um diese direkt zu verschlüsseln. Darüber hinaus kann die Umschlagverschlüsselung erhebliche Leistungsvorteile bieten. Wenn Sie Daten direkt mit Key Management-APIs verschlüsseln, müssen diese über das Netzwerk übertragen werden. Die Envelope-Verschlüsselung reduziert die Netzwerklast, da nur die Anforderung und Übertragung des viel kleineren DEK über das Netzwerk erfolgt. Der DEK wird lokal in Ihrer Anwendung oder beim Verschlüsseln des OCI-Dienstes verwendet, sodass nicht der gesamte Datenblock gesendet werden muss.

Kann ich meine eigenen Schlüssel (BYOK) mit OCI Vault verwenden?

Ja. Sie können eine Kopie Ihres Schlüssels aus Ihrer eigenen Infrastruktur zur Schlüsselverwaltung in Vault importieren und sie dort mit allen integrierten OCI-Diensten oder Ihren eigenen Anwendungen nutzen. Sie können alle Schlüsselalgorithmen importieren: AES-, RSA- und ECDSA-Schlüssel. Der Import beider Arten von Schlüsseln (sowohl HSM- als auch Softwareschlüssel) wird unterstützt. Hinweis: Sie können keine HSM-Schlüssel aus dem HSM exportieren.

Kann ich meine Schlüssel wechseln?

Ja. Sie können Ihre Schlüssel regelmäßig in Übereinstimmung mit Ihren Sicherheitsrichtlinien und gesetzlichen Vorschriften wechseln oder im Falle eines Sicherheitsvorfalls auch sofort ändern. Durch regelmäßiges Rotieren der Schlüssel (z. B. alle 90 Tage) mithilfe der Konsole, der API oder der CLI, wird die durch einen einzelnen Schlüssel geschützte Datenmenge begrenzt.

Hinweis: Durch das Wechseln eines Schlüssels werden Daten, die zuvor mit der alten Schlüsselversion verschlüsselt wurden, nicht automatisch neu verschlüsselt. Diese Daten werden beim nächsten Ändern durch den Kunden erneut verschlüsselt. Wenn Sie den Verdacht haben, dass ein Schlüssel kompromittiert wurde, sollten Sie alle durch diesen Schlüssel geschützten Daten erneut verschlüsseln und die vorherige Schlüsselversion deaktivieren.

Kann ich einen Vault oder Schlüssel löschen?

Ja, aber nicht sofort. Sie können die Löschung eines Vaults, eines Schlüssels oder einer Schlüsselversion planen, indem Sie eine Wartezeit von 7 bis 30 Tagen festlegen.

Beim Löschen des Vaults werden der Vault und alle im Vault erstellten Schlüssel nach Ablauf der Wartezeit gelöscht, was alle Daten, die durch diese Schlüssel geschützt waren, unzugänglich macht. Nachdem ein Vault gelöscht wurde, kann er nicht wiederhergestellt werden.

Sie können einen Schlüssel auch deaktivieren, wodurch Verschlüsselungs-/Entschlüsselungsvorgänge mit diesem Schlüssel verhindert werden.

Kann ich meine Schlüssel in eine andere Region übertragen und verwenden als die, in der sie erstellt wurden?

Ja. Vault unterstützt die regionale Replikation von Schlüsseln und Vaults. Sie können private Vaults von einer Region in eine andere Region replizieren, um sie und die darin enthaltenen Schlüssel zur Erfüllung von Complianceanforderungen oder zur Verbesserung der Latenz verfügbar zu machen.

Wenn Sie die regionsübergreifende Replikation für einen privaten Vault konfigurieren, synchronisiert der Vault-Dienst automatisch die Erstellung, Löschung, Aktualisierung oder Verschiebung von Schlüsseln oder Schlüsselversionen zwischen dem initiierenden Vault und einem Vault in einer Zielregion. Der Vault, aus dem der Service Daten repliziert, wird als Quell-Vault bezeichnet. Der Vault in der Zielregion, in der der Service Daten aus dem Quell-Vault repliziert, wird als Vault-Replikat bezeichnet. Der Dienst unterstützt kryptografische Operationen in Bezug auf den Vault und die Schlüssel in der Zielregion.

OCI Vault unterstützt außerdem die regionsübergreifende Sicherung und Wiederherstellung für den Private Vault, sodass Schlüssel in einer anderen Region als der, in der sie erstellt wurden, verwendet werden können. Die Sicherung und Wiederherstellung erfüllt die FIPS-Anforderungen, da nicht die echten Schlüsselmaterialien exportiert werden, sondern ein binäres Objekt, welches das Schlüsselmaterial repräsentiert. Wiederherstellungsvorgänge können nur für die von OCI verwalteten HSMs durchgeführt werden.

Wie wird mir die Nutzung von OCI Key Management Service und OCI Vault in Rechnung gestellt?

Die Gebühren richten sich nach dem Typ des erstellten Vaults.

Standardmäßig wird Ihr Vault basierend auf der Anzahl der Schlüsselversionen abgerechnet. Software-geschützte Schlüssel sind kostenlos, HSM-geschützte Schlüssel kosten jedoch 53 Cent pro Schlüsselversion. (Die ersten 20 Schlüsselversionen sind kostenlos). Wenn Sie jedoch einen privaten Vault (einzelmandantenfähiger HSM) erstellen, wird der Preis pro Stunde berechnet. Die Abrechnung beginnt mit dem Zeitpunkt der Erstellung des Vaults und dauert an, bis das Löschen des Vaults geplant ist. Für Schlüsselversionen in einem Private Vault werden Ihnen keine Gebühren berechnet.

Die Anzahl der API-Anfragen für Vaults und Schlüssel, die an den Dienst für Verwaltungs- oder Verschlüsselungsvorgänge gestellt werden, wird nicht in Rechnung gestellt.

Weitere Informationen finden Sie unter Oracle Cloud Security – Preisgestaltung.

Zur Löschung vorgesehene Schlüssel: Für Schlüssel, deren Löschung geplant ist, werden Ihnen keine Kosten in Rechnung gestellt. Wenn Sie das Löschen Ihrer Schlüssel abbrechen, wird die Rechnungsstellung wieder aufgenommen.

Was sind die Standardgrenzwerte für OCI Vault?

Der Private Vault-Grenzwert ist standardmäßig 0. Benutzer sollten eine Grenzwerterhöhung anfordern, wenn sie ihn verwenden möchten. Sobald der Private Vault aktiviert ist, erhalten Benutzer einen variablen Grenzwert von 1.000 und einen festen Grenzwert von 3.000 symmetrischen Schlüsselversionen.

Wenn Sie den standardmäßigen Virtual Vault verwenden, um Ihre Schlüssel zu speichern, gibt es keinen festen Grenzwert. Die Standardeinstellung liegt bei 10 Vaults mit 100 Schlüsseln pro Vault.

Alle Schlüsselversionen, die Sie in einem Vault speichern, gelten für dieses Limit, unabhängig davon, ob der entsprechende Schlüssel aktiviert oder deaktiviert ist.

Die für OCI Vault festgelegten Limits werden durch die OCI-Servicelimits bestimmt. Standardlimits sind für alle Tenancys festgelegt. Kunden können eine Erhöhung des Servicelimits für in einem Vault gespeicherte Schlüssel beantragen, indem sie die Schritte befolgen, die hier in der Oracle Cloud Infrastructure-Dokumentation beschrieben sind. Da sowohl aktivierte als auch deaktivierte Schlüssel zum Grenzwert zählen, empfiehlt Oracle, deaktivierte Schlüssel, die Sie nicht mehr verwenden, zu löschen.

Wer kann meine Schlüssel in OCI Vault verwenden und verwalten, und kann ich sehen, wer Änderungen am Lebenszyklusstatus von Schlüsseln und Vaults vorgenommen hat?

Wenn Sie den OCI Key Management Service zur Ver- oder Entschlüsselung von Daten verwenden, können nur Benutzer, Gruppen oder Dienste, denen Sie über eine OCI IAM-Richtlinie die Berechtigung erteilt haben, die Schlüssel verwalten und verwenden. Sie können genaue Nutzungs- und Verwaltungsrichtlinien durchsetzen, um bestimmten Benutzern bestimmte Berechtigungen zu erteilen.

Um Änderungen des Lebenszyklusstatus zu verfolgen, können Sie Protokolle in OCI Audit verwenden, die alle Details zu OCI Vault-Verwaltungsanfragen, wie z. B. Erstellen, Rotieren, Deaktivieren usw., für alle Vaults, Schlüssel oder Schlüsselversionen in Ihrer Tenancy anzeigen.

Dedicated Key Management Service

In Kürze

Externer Schlüsselverwaltungsservice

Was ist der OCI External Key Management Service (OCI External KMS)?

OCI External KMS ist ein Service, mit dem Kunden Verschlüsselungsschlüssel verwenden können, die außerhalb von OCI gespeichert und verwaltet werden. Dies kann insbesondere für Kunden nützlich sein, die gesetzlich verpflichtet sind, Verschlüsselungsschlüssel On-Premises oder außerhalb von OCI zu speichern. Oder auch für diejenigen, die mehr Kontrolle über ihre Verschlüsselungsschlüssel beibehalten möchten. Weitere Informationen finden Sie im folgenden Blog.

Welche Vorteile bietet OCI External KMS?

Der Service bietet Kunden eine Lösung für folgende Problembereiche:

  • Datensouveränität, Compliance und gesetzliche Vorschriften: Mit OCI External KMS behalten Kunden die Kontrolle über ihre Verschlüsselungsschlüssel und deren Speicherort. Dies ist vor allem für Unternehmen von Vorteil, die strenge Anforderungen in Bezug auf die Datensouveränität einhalten müssen, wie sie etwa in der Datenschutz-Grundverordnung (DSGVO) der EU festgelegt sind.
  • Vertrauen und Sicherheit: OCI External KMS ermöglicht es den Kunden, das kryptografische Modul zu übernehmen und zu verwalten und damit zum Verwalter ihrer Verschlüsselungsschlüssel zu werden. Dies ist von Vorteil für Unternehmen, die Endkunden, Partnern und Stakeholdern ihre Kontrolle über ihre Verschlüsselungsprozesse nachweisen müssen.

Welche betrieblichen Argumente sprechen für die Verwendung von OCI External KMS?

OCI External KMS bietet Kunden mehr Kontrolle über ihre Verschlüsselungsschlüssel. Dabei müssen sie jedoch auch mehr Verantwortung übernehmen: Kunden müssen Verschlüsselungsschlüssel und die Hardwaresicherheitsmodule (HSMs) On-Premises pflegen, verwalten und warten. Dies ist ein anderes Verantwortlichkeitsmodell als beim vorhandenen OCI Vault-Service, bei dem Oracle die HSM-Infrastruktur für die Kunden pflegt und verwaltet.

Wie rotiere ich Schlüssel in OCI External KMS?

Um einen Schlüssel (auch als Schlüsselreferenz bezeichnet) in OCI External KMS zu rotieren, müssen Sie die Schlüssel erst mit dem folgenden Schritt im Thales CipherTrust Manager rotieren, da das Schlüsselmaterial außerhalb von OCI gespeichert ist.

  • Fügen Sie eine neue externe Schlüsselversion im Thales CipherTrust Manager hinzu.

In OCI können Sie dann auf Schlüsselreferenz rotieren klicken und die External Key-Versionskennung aus dem vorherigen Schritt eingeben.

Welche OCI-Services werden von OCI External KMS unterstützt?

OCI External KMS unterstützt symmetrische Verschlüsselungsschlüssel und ist mit Anwendungen kompatibel, die bereits in OCI Vault integriert sind. Dadurch müssen Kunden ihre Anwendungen nicht ändern, um OCI External KMS zu nutzen. Sie können Schlüssel auf die gleiche Weise verwenden und verknüpfen, wie sie es mit dem OCI Vault tun würden – und dabei vom selben SLA von 99,9 % profitieren.

Die folgenden Services sind in OCI Vault integriert und können ohne Änderungen von OCI External KMS profitieren:

  • Oracle Cloud Infrastructure Object Storage, Block Volume und File Storage
  • Oracle Cloud Infrastructure Container Engine for Kubernetes
  • Oracle Database, einschließlich Oracle Autonomous Database on Dedicated Exadata Infrastructure, Oracle Autonomous Database on Shared Exadata Infrastructure, Oracle Database Cloud Service sowie Database as a Service
  • Oracle Fusion Cloud Applications

Was geschieht, wenn ich Schlüssel im Thales CipherTrust Manager in OCI External KMS deaktiviere, blockiere oder entferne? Bleiben meine Daten in OCI zugänglich?

OCI External KMS ist so konzipiert, dass OCI keinen Zugriff auf das tatsächliche kryptografische Schlüsselmaterial hat. Nachdem ein Kunde den Schlüssel im Thales CipherTrust Manager blockiert hat, kann OCI die Schlüsselreferenz nicht mehr verwenden, um Daten zu entschlüsseln oder einen Vorgang mit dieser Schlüsselreferenz auszuführen.

Sie können die Schlüsselreferenzen dann auch über die OCI-Konsole deaktivieren/löschen.

Unterstützt OCI External KMS die regionsübergreifende Replikation von Schlüsseln/Vaults?

OCI External KMS unterstützt derzeit keine regionsübergreifende Replikation von Schlüsseln/Vaults.

Welche Preise gelten für OCI External KMS?

OCI External KMS kostet 3 USD pro Schlüsselversion pro Monat. Für die Verwendung dieser Schlüsselversionen fallen keine zusätzlichen Kosten an. Kunden steht ein flexibles Limit von 10 Vaults mit 100 Schlüsselversionen pro Vault zur Verfügung. Wenden Sie sich bitte an Thales, um mehr über die Preise und Limits beim CipherTrust Manager zu erfahren.

Wo kann ich mehr über OCI External KMS erfahren?

Sie können mehr über OCI External KMS erfahren, indem Sie die technische Dokumentation lesen oder es einfach in der OCI-Konsole selbst ausprobieren. Rufen Sie dafür External KMS in der OCI-Konsole auf, indem Sie im OCI-Navigationsmenü die Option Identity and Security, dann Key Management and Secret Management und dann External Key Management wählen.