Oracle 云基础设施 (OCI) Vault 可帮助您集中管理和控制各种 OCI 服务和应用中的密钥和机密信息的使用。OCI Vault 是一项安全且具有弹性的托管服务,可让您专注于数据加密需求,而不必担心耗时的管理任务,例如硬件供应、软件打补丁和高可用性。
密钥管理服务使用符合联邦信息处理标准 (FIPS) 140-2 安全级别 3 安全认证的硬件安全模块 (HSM) 保护您的密钥。您可以创建受 HSM 或软件保护的主加密密钥。使用受 HSM 保护的密钥,所有加密操作和密钥存储均在 HSM 内部完成。使用受软件保护的密钥,您的加密密钥将在软件中存储和处理,并由来自 HSM 的根密钥进行静态加密。
OCI Vault 和 Oracle 密钥管理是 Oracle 的两款密钥管理产品。
OCI Vault 密钥管理是一项全托管式服务,可集中管理加密密钥,仅为 OCI 中存储的数据提供保护。该密钥管理服务致力于支持不同类型的加密密钥(对称和非对称)以及一系列通用负载,包括 Oracle 数据库 TDE 和非数据库负载。OCI Vault 是原生第二代云加密服务。
Oracle 密钥管理旨在为本地部署环境(包括 Oracle Exadata 专有云数据库一体机和 Oracle 自治数据库专有云本地化解决方案)和 OCI 中运行的启用 TDE 的 Oracle 数据库提供密钥管理服务,并为加密的 Oracle GoldenGate 跟踪文件和加密的 ACFS 文件系统提供密钥管理服务。
Oracle 托管的加密是许多 OCI 服务的默认加密方式。这种加密方式意味着使用加密密钥对数据进行静态加密,而该加密密钥的生命周期管理将由 Oracle 控制。如果客户不想管理或访问其加密密钥,并且希望能够简单便捷地为 OCI 中存储的所有数据提供安全保护,则可以选择 Oracle 托管的加密。
客户管理的加密由 OCI Vault 密钥管理服务提供,客户可以控制和管理用于保护其数据的密钥。此外,由于加密密钥存储在硬件安全模块 (HSM) 中,因此需要提高安全性和 FIPS 140-2 安全级别 3 保护以满足合规性的客户可以选择客户管理的加密方式。
OCI Vault 也被定义为密钥的逻辑分组。在生成或导入任何密钥之前应当创建 Vault。
Vault 分为两类:Virtual Private Vault 和默认 Vault。您所创建的 Vault 类型将决定密钥的隔离度和性能。每一个租户可以拥有零个到多个 Vault。
Virtual Private Vault 可在 HSM 上提供专用分区(单租户)。分区是 HSM 的物理边界,并与其他分区相隔离。Virtual Private Vault 可为加密操作提供更加出色和一致的每秒事务处理。
默认 Vault 使用多租户分区,因此具有中等隔离级别。
1. 请确保您的租户限制允许创建所需的 Vault 类型。
2. 请确保已为用户帐户创建了 Oracle 身份与访问管理 (IAM) 策略,并具有创建 Vault 所需的权限。请参阅 IAM 策略参考来创建语句。
3. 首先创建一个 Vault,操作如下:从 Oracle 云基础设施控制台中选择安全性,然后选择 Vault。
创建一个 Vault,并选择最符合您的隔离和处理需求的 Vault 类型:
4. 在您的 Vault 内部创建[主加密]密钥。主加密密钥有以下两种保护模式:HSM 或软件。
5. 请确保服务或实体调用 Vault 的 IAM 策略具有必要的权限。
例如:allow service objectstorage-us-ashburn-1 to use keys in compartment
使用密钥:
SDK 和 API 也支持加密操作。更多详细信息请参阅 Vault 概述文档。
6. 通过控制台和监视服务中的指标来监视操作使用。请参阅指标和维度相关内容。
Virtual Private Vault 的默认限制为 0。用户需要请求增加限制才能使用。启用 Virtual Private Vault 之后,用户将获得 1000 个对称密钥版本的软限制和 3000 个对称密钥版本的硬限制。
使用默认 Vault 存储密钥则没有任何硬性限制。默认 10 个 Vault,每个 Vault 100 个密钥。
Vault 中存储的所有密钥版本均计入此限制,无论密钥处于启用或禁用状态。
对 OCI Vault 施加的限制受 OCI 服务限制的约束。所有租户都将设置默认限制。客户可以按照 Oracle 云基础设施文档中的请求增加服务限制的相关步骤来请求增加存储在 Vault 中的密钥的服务限制。启用和禁用的密钥都将计入限制,因此 Oracle 建议删除不再使用的已禁用密钥。
当使用 Vault 服务时,您可以获取以下密钥管理功能。更多详细信息请参阅 Vault 概述文档。
在创建密钥时,您可以选择指示密钥长度和算法的密钥形式。目前,所有密钥均采用 Advanced Encryption Standard (AES - GCM),可以选择的密钥长度有:AES-128、AES-192 和 AES-256。建议选择 AES-256。
所有商用和政府 Oracle 云基础设施区域中均提供密钥管理服务。
可以。您可以根据安全治理和法规遵从需求定期轮换密钥,或者在发生安全事件时临时更换密钥。使用控制台、API 或 CLI 定期轮换密钥(例如,每隔 90 天轮换一次)将限制单一密钥保护的数据量。
注意:轮换密钥并不会自动对之前使用旧密钥版本加密的数据进行重新加密;而是在客户下一次修改该数据时对其进行重新加密。如果您怀疑某个密钥已被泄露,则应当对该密钥保护的所有数据进行重新加密,并禁用之前的密钥版本。
可以。您可以将密钥的副本从密钥管理基础设施导入到 Vault 中,并与任何集成的 OCI 服务一起使用,也可以从您自己的应用中使用它。
可以,但并非立即删除。您可以通过配置等待周期(7 - 30 天)来创建删除计划。等待期结束时将删除 Vault 以及 Vault 中创建的所有密钥,并且不再可以访问受这些密钥保护的所有数据。Vault 在删除后不可恢复。
可以,但并非立即删除。您可以通过配置等待周期(7 - 30 天)来创建删除计划。您还可以禁用密钥,这将阻止使用该密钥进行任何加密/解密操作。
您可以直接将数据提交至密钥管理 API,以便于使用存储在 Vault 中的主加密密钥来进行加密和解密。
此外,您还可以使用信封加密方法在应用和 OCI 服务中对数据进行本地加密。
借助信封加密,您可以通过密钥管理 API 来生成和检索数据加密密钥 (DEK)。DEK 并不是由密钥管理服务存储或管理,而是由您的主加密密钥加密。您的应用可以使用 DEK 来加密数据,并将加密的 DEK 与数据存储在一起。当应用希望解密数据时,您应当在加密的 DEK 上调用解密至密钥管理 API 来检索 DEK。您可以使用 DEK 在本地解密数据。
密钥管理服务只支持最多发送 4 KB 数据进行直接加密。此外,信封加密可以提供显著的性能优势。当直接使用密钥管理 API 加密数据时,需要通过网络来传输数据。信封加密可减少网络负载,因为只需要通过网络请求和传输非常小的 DEK。DEK 将在您的应用中或加密 OCI 服务中本地使用,而不需要发送整个数据块。
Oracle 使用节点和 HSM 集群在创建密钥的同一区域中存储密钥副本,这让我们能够为密钥管理提供 99.9% 的 SLA 和 99.99% 的 SLO。请参阅 Oracle PaaS 和 IaaS 公有云服务支持文档。
可以。密钥管理服务支持针对 Virtual Private Vault 的跨区域备份和恢复,以便于在与创建密钥不同的区域中使用密钥。备份和恢复流程符合 FIPS 要求,因为不会导出实际密钥材料,而是导出表示密钥材料的二进制对象。恢复操作仅针对 OCI 托管 HSM。
具体计费取决于所创建的 Vault 类型。
默认根据密钥版本数量对 Vault 进行收费。受软件保护的密钥是免费的,但对于受 HSM 保护的密钥,每个密钥版本的费用是 50 美分(前 20 个密钥版本免费)。
然而,如果您创建了一个 Virtual Private Vault(单租户 HSM),则采用按小时计费的方式。定价从创建 Vault 之时开始,一直持续到计划删除 Vault 为止。您无需为 Virtual Private Vault 中的密钥版本付费。
更多详细信息请参阅 Oracle 云安全性定价。
您不需要为已计划删除的密钥付费。如果您取消密钥删除计划,则计费将恢复。
不能。
当您请求服务来创建受 HSM 保护的密钥时,密钥管理服务会将密钥及其所有后续密钥版本存储在 HSM 中,纯文本密钥材料无法在 HSM 中查看或从 HSM 导出。受软件 保护的密钥存储在密钥管理服务器上,并由来自 HSM 的根密钥进行静态加密。
只有通过 IAM 策略授权的用户、组或服务才可以使用密钥,也就是调用密钥管理服务来加密或解密数据。
可以。如果您创建了一个受软件 保护的密钥,则可以通过纯文本格式导出密钥材料。然而,如果您创建了一个受 HSM 保护的密钥,则无法导出密钥材料,因为密钥永远不会离开 HSM。您可以备份密钥材料,以便将其恢复至相同或不同的区域。不过,备份并不支持访问密钥材料。