Oracle Cloud Infrastructure (OCI) Key Management Service (KMS) es un servicio basado en la nube que proporciona gestión y control centralizados de las claves de cifrado para los datos almacenados en OCI. OCI KMS es un cifrado gestionado por el cliente y ofrece los siguientes servicios:
Para obtener más información sobre las ofertas de cifrado de OCI, consulta este blog.
OCI KMS utiliza HSM que cumplen con la certificación de seguridad de nivel 3 de los Federal Information Processing Standards (FIPS) 140-2 para proteger tus claves. El certificado FIPS se puede encontrar en el sitio web del Programa de Validación de Módulos Criptográficos (CMVP) de NIST aquí.
OCI KMS se ha validado con los controles de funcionalidad y seguridad para ayudarte a cumplir los requisitos de cifrado y gestión de claves de PCI DSS 3.2.1 (a los que se hace referencia principalmente en las secciones 3.5 y 3.6).
OCI KMS admite diversas funcionalidades para permitirte controlar tus claves y garantizar la protección de seguridad necesaria para tus datos en los servicios de OCI. A continuación se muestra la matriz de funciones para funcionalidades críticas en diferentes servicios dentro de OCI KMS.
Prestaciones | Almacén virtual | Almacén privado | Dedicated KMS | KMS externo |
---|---|---|---|---|
HSM FIPS 140-2 de nivel 3 | Sí | Sí | Sí | Cliente web |
Cifrado simétrico (AES) | Sí | Sí | Sí | Sí |
Cifrado asimétrico (RSA y ECDSA) | Sí | Sí | Sí | No |
Teclas de software | Sí | Sí | No | Cliente web |
Copia de seguridad/restauración | No | Sí | Sí | No |
Replicación entre regiones | Próximamente | Sí | No | No |
Trae tu propia clave | Sí | Sí | Sí | Cliente web |
Integración de servicios de OCI (almacenamiento, base de datos, SaaS) | Sí | Sí | No | Sí |
Rotación automática de claves | Próximamente | Próximamente | No | No |
Registro de auditoría | Sí | Sí | Sí | Sí |
Supresión programada | Sí | Sí | Sí | Sí |
Oracle utiliza un clúster de nodos y HSM para almacenar réplicas de tus claves en la misma región donde se crearon, lo que nos permite proporcionar el 99,9% de acuerdo de nivel de servicio (SLA) y el 99,99% de objetivo de nivel de servicio (SLO) para la gestión de claves. Consulta Servicios de nube públicos Oracle PaaS e IaaS: documento básico.
Una clave se almacena y se utiliza solo en la región en la que se ha creado. Si deseas realizar una copia de seguridad o replicar tus claves en otra región del dominio para cumplir los requisitos de conformidad o DR, puedes utilizar la copia de seguridad y restauración entre regiones o la replicación entre regiones.
OCI KMS es un servicio de gestión de claves nativo en la nube que Oracle recomienda para todas tus aplicaciones en la nube. OCI KMS está integrado de forma nativa en muchos servicios de OCI relacionados con los servicios de almacenamiento, base de datos y SaaS, como FA. Si buscas una gestión de claves centralizada en Oracle Cloud y un servicio gestionado para todas tus aplicaciones en la nube con una estructura de precios de pago por consumo, OCI KMS es lo que recomienda Oracle.
Oracle Key Vault es otro producto de gestión de claves de Oracle. Oracle Key Vault proporciona gestión de claves para bases de datos de Oracle habilitadas para TDE que se ejecutan tanto en el entorno local (que incluyen Oracle Exadata Cloud@Customer y Oracle Autonomous Database—Dedicated) como en OCI, así como gestión de claves para archivos de seguimiento de Oracle GoldenGate cifrados y sistemas de archivos ACFS cifrados.
OCI KMS está disponible en todas las regiones y dominios de OCI, como Gobierno, EU Sovereign Cloud, regiones de Oracle National Security y OCI Dedicated Region Cloud@Customer. Puedes obtener más información sobre la disponibilidad de regiones y las ofertas de KMS de OCI en nuestra documentación y blogs.
OCI Vault es un servicio seguro y resiliente totalmente gestionado que te permite centrarte en tus necesidades de cifrado de datos sin preocuparte por las tareas administrativas que requieren mucho tiempo como el aprovisionamiento de hardware y la aplicación de parches de software. Vault utiliza HSM que cumplen con la certificación de seguridad de nivel 3 de los Federal Information Processing Standards (FIPS) 140-2 para proteger tus claves. OCI Vault es el servicio de cifrado nativo de Gen 2 Cloud.
Vault admite diferentes tipos de claves de cifrado: simétricas (claves AES) y asimétricas (claves RSA y ECDSA) y un conjunto genérico de cargas de trabajo, como Oracle Exadata Cloud Service, Oracle Autonomous Database, cifrado de datos transparente en Oracle Database y cargas de trabajo ajenas a base de datos.
Existen dos tipos de OCI Vault: Private Vault y Virtual Vault de forma predeterminada. El tipo de almacén de claves que cree determina el grado de aislamiento y rendimiento de sus claves. Cada inquilino puede tener desde ninguno hasta múltiples almacenes.
Un almacén privado (Private Vault) proporciona una partición dedicada en el HSM (cliente único). Una partición es un límite físico en el HSM que está aislada de otras particiones. Private Vault proporciona transacciones mejores y constantes por segundo para operaciones criptográficas. Se trata de HSM de un solo inquilino. Los almacenes privados también tienen funciones adicionales, como la replicación entre regiones y la copia de seguridad y restauración entre regiones de claves.
Virtual Vault utiliza una partición multicliente, lo que proporciona un nivel moderado de aislamiento.
Ambas opciones te permiten crear claves de cifrado maestras almacenadas de una de las siguientes formas:
Al utilizar OCI Vault, dispone de las siguientes funcionalidades de gestión de claves:
En OCI Vault puedes crear claves de estándar de cifrado avanzado (AES-GCM), Rivest-Shamir-Adleman (RSA) y algoritmo de firma digital de curva elíptica (ECDSA). Para las claves AES, puedes elegir entre tres longitudes de clave: AES-128, AES-192 y AES-256. Se recomienda utilizar AES-256. OCI Vault admite los siguientes tipos de claves asimétricas: RSA 2048, RSA 3072, RSA 4096, NIST P-256, NIST P384 y ECC_NIST521.
Puedes crear y utilizar claves simétricas AES y claves asimétricas RSA para cifrar y descifrar. También es posible puede utilizar claves asimétricas RSA o ECDSA para firmar mensajes digitales.
Para obtener más detalles y empezar a utilizar, consulta Descripción general de OCI Vault.
Puedes enviar datos directamente a las API de gestión de claves para cifrarlos y desencriptarlos con tus claves de cifrado maestras almacenadas en Vault. Además, puedes cifrar tus datos localmente dentro de tus aplicaciones y servicios OCI mediante un método conocido como cifrado de sobres.
Con el cifrado de sobres, generas y recuperas las claves de cifrado de datos (DEK) de las API de gestión de claves. Las DEK no se almacenan ni se gestionan en el servicio de gestión de claves, sino que están cifradas por su clave maestra de cifrado. Tus aplicaciones pueden utilizar las DEK para cifrar sus datos y almacenar las DEK cifradas junto con los datos. Cuando tus aplicaciones quieran descifrar los datos, deberás llamar al descifrado de la API de gestión de claves en las DEK cifradas para recuperarlas. Después, puede descifrar tus datos localmente con la DEK.
La gestión de claves admite el envío de hasta 4 KB de datos para cifrarlos directamente. Además, el cifrado de sobres puede ofrecer importantes ventajas de rendimiento. Al cifrar datos directamente con las API de gestión de claves, se deben transferir a través de la red. El cifrado de sobres reduce la carga de la red, ya que solo pasan por la red la solicitud y la entrega de las DEK, mucho más pequeñas. La DEK se utiliza localmente en tu aplicación o en el servicio OCI de cifrado, lo que evita la necesidad de enviar todo el bloque de datos.
Sí. Puedes importar una copia de su clave desde tu propia infraestructura de gestión de claves a OCI Vault y usarla con cualquier servicio OCI integrado o desde tus propias aplicaciones. Puedes importar todos los algoritmos de claves: claves AES, RSA y ECDSA. Se admite la importación de ambos tipos de claves: claves de software y HSM. Nota: No puedes exportar claves de HSM fuera del HSM.
Sí. Puedes rotar periódicamente las claves según tus necesidades de conformidad con las normativas y gobernanza de seguridad o hacerlo ad hoc en caso de que se produzca un incidente de seguridad. La rotación periódica de las claves (por ejemplo, cada 90 días) mediante la consola, la API o la CLI, limita la cantidad de datos protegidos por una sola clave.
Nota: La rotación de una clave no vuelve a cifrar automáticamente los datos que se cifraron previamente con la versión anterior de la clave; estos datos se volverán a cifrar la próxima vez que el cliente los modifique. Si sospechas que una clave se ha visto comprometida, debes volver a cifrar todos los datos protegidos por esa clave y deshabilitar la versión anterior de la clave.
Sí, pero no inmediatamente. Puedes programar la eliminación de un almacén de claves de Key Management si configuras un período de espera para la eliminación de 7 a 30 días.
Para la supresión de almacenes, el almacén y todas las claves creadas dentro de él se suprimen al finalizar el período de espera, y todos los datos protegidos por esas claves dejan de ser accesibles. Después de eliminar un almacén de claves, no se puede recuperar.
También puedes deshabilitar una clave, lo que impedirá cualquier operación de cifrado o descifrado que use esa clave.
Sí. Vault admite la replicación entre regiones de claves y almacenes. Puedes replicar almacenes privados de una región a otra para que tanto ellos como las claves que contienen estén disponibles para cumplir los requisitos de conformidad o para mejorar la latencia.
Al configurar la replicación entre regiones para un almacén privado, el servicio Vault sincroniza automáticamente la creación, supresión, actualización o movimiento de cualquier clave o versión de clave entre el almacén de inicio y un almacén en una región de destino. El almacén desde el que el servicio replica los datos se conoce como almacén de origen. El almacén de la región de destino en la que el servicio replica los datos del almacén de origen se conoce como réplica del almacén. El servicio admite operaciones criptográficas en el almacén y las claves de la región de destino.
OCI Vault también admite copias de seguridad y restauraciones entre regiones de Private Vault para que las claves se puedan usar en una región diferente a aquella donde fueron creadas. La copia de seguridad y la restauración cumplen con los requisitos de FIPS, ya que no se exportan materiales clave reales, sino un objeto binario que representa el material clave. Las operaciones de restauración solo pueden ocurrir en los HSM gestionados por OCI.
Se te cobra en función del tipo de almacén de claves que se crea.
De forma predeterminada, a tu almacén de claves se le pasarán cobros en función de la cantidad de versiones de clave. Las claves protegidas por software son gratuitas, pero las claves protegidas por HSM se cobran a 53 céntimos por versión de clave. (Las primeras 20 versiones de clave son gratuitas). No obstante, si crea un almacén privado (HSM de inquilino único), se le cobrará un precio por hora. El precio se calcula desde el momento de la creación del almacén y continúa hasta que se programe su eliminación. No se te cobran las versiones de clave dentro de un almacén privado.
No se te facturará en función del número de solicitudes de API para almacenes y claves realizadas en el servicio para ninguna de las operaciones de gestión o criptografía.
Para obtener más detalles, consulta Precios de Oracle Cloud Security.
Claves programadas para su eliminación: no se te facturan las claves que están programadas para su eliminación. Si cancelas la eliminación de Tus claves, se reanuda la facturación.
El límite predeterminado del almacén privado es 0. Los usuarios deben solicitar un aumento del límite para usarlo. Una vez que Private Vault está activado, los usuarios obtienen un límite flexible de 1.000 y un límite estricto de 3.000 versiones de clave simétrica.
Cuando usas Virtual Vault predeterminado para almacenar tus claves, no hay ningún límite. El valor predeterminado es de 10 almacenes con 100 claves por almacén.
Todas las versiones de claves que guarda en un almacén de claves cuentan para este límite, independientemente de que la clave correspondiente esté habilitada o deshabilitada.
Los límites impuestos a OCI Vault se rigen por los límites de servicio de OCI. Se establecen los mismos límites predeterminados para todos los inquilinos. Los clientes pueden solicitar un aumento del límite de servicio para las claves almacenadas dentro de un Vault siguiendo los pasos descritos aquí en la documentación de Oracle Cloud Infrastructure. Como tanto las claves habilitadas como las deshabilitadas cuentan para el límite, Oracle recomienda eliminar las claves deshabilitadas que ya no utilices.
Al utilizar OCI Key Management Service para cifrar o descifrar datos, solo los usuarios, grupos o servicios que autorices mediante una política de OCI IAM pueden gestionar y utilizar las claves. Puedes aplicar políticas de uso y gestión detalladas para otorgar permisos específicos a usuarios específicos.
Para realizar un seguimiento de los cambios de estado del ciclo de vida, puede utilizar registros en OCI Audit, que mostrarán todos los detalles de las solicitudes de gestión de OCI Vault, como crear, rotar, desactivar y mucho más, para todos los almacenes, claves o versiones de clave de tu arrendamiento.
Organizaciones con requisitos de cumplimiento estrictos o implementaciones personalizadas de infraestructura de clave pública (PKI) que requieren control y visibilidad detallados sobre su gestión de claves y operaciones criptográficas se benefician significativamente de OCI Dedicated KMS.
Si bien ambas ofrecen particiones de HSM de un solo inquilino, OCI Dedicated KMS brinda control directo sobre las particiones de HSM y los usuarios administradores, lo que es ideal para la personalización y gestión avanzadas. Con OCI Dedicated KMS, utilizas interfaces estándar como PKCS#11 para realizar operaciones criptográficas en tus claves. Por otro lado, Private Vault prioriza la facilidad de uso con los HSM gestionados por Oracle y es adecuado para las necesidades estándar de KMS. Se utilizan las API de KMS para realizar operaciones criptográficas en la oferta Private Vault.
Las aplicaciones deben utilizar interfaces estándar como PKCS#11 para interactuar directamente con OCI Dedicated KMS. Los servicios de OCI como Database, Storage y Oracle Fusion Applications se integran de forma nativa con la oferta Vault; utiliza Vault para estos servicios dentro de OCI KMS.
Aumenta tus límites de recursos de OCI Dedicated KMS dentro de OCI, ya que de forma predeterminada no puedes crear el clúster de HSM en la consola de OCI. La creación de clústeres de HSM es un proceso de varios pasos que implica la intervención del usuario en dos etapas: inicialización necesaria y activación necesaria. Consulta la documentación técnica para crear correctamente un clúster de HSM.
OCI Dedicated KMS tiene un precio de US$1.75 por partición de HSM por hora. Con un mínimo de tres particiones de HSM, el costo inicial es de US$5.25 por hora.
Debes solicitar un límite explícitamente para particiones de HSM dedicadas.No. Cada clúster de HSM contiene tres particiones fijas. Si necesitas más particiones, crea clústeres de HSM adicionales.
Las aplicaciones de cliente acceden a las claves y realizan operaciones criptográficas directamente a través de HSM mediante la interfaz estándar PKCS#11, sin depender de las API de OCI.
OCI Dedicated KMS ofrece un mayor control y seguridad para la gestión de claves con particiones de HSM certificadas por FIPS 140-2 de nivel 3, cifrado de extremo a extremo para interacciones de HSM y control granular sobre el acceso del usuario y las políticas de seguridad.
Puedes encontrar información útil en la página web de OCI Key Management Service. Consulta la documentación técnica de Oracle para obtener información detallada sobre la configuración.
OCI External KMS es un servicio que permite a los clientes utilizar claves de cifrado almacenadas y gestionadas fuera de OCI. Puede resultar útil para los clientes que tienen requisitos normativos para almacenar claves de cifrado locales o fuera de OCI, o que desean tener más control sobre sus claves de cifrado. Consulta este blog para obtener más información.
El servicio ayuda a los clientes a abordar lo siguiente:
OCI External KMS ofrece a los clientes más control sobre sus claves de cifrado, pero también conlleva una responsabilidad operativa: los clientes deben administrar, gestionar y mantener claves de cifrado y módulos de seguridad de hardware (HSM) locales. Se trata de un modelo de propiedad distinto del actual servicio OCI Vault, en el que Oracle gestiona y administra la infraestructura HSM en nombre de los clientes.
Para rotar una clave (también conocida como referencia de clave) en OCI External KMS, primero deberá rotar las claves en Thales CipherTrust Manager siguiendo el paso que se indica a continuación, ya que el material de claves se almacena fuera de OCI.
En OCI, se puede hacer clic en Rotar referencia de clave y escribir el ID de versión de clave externa del paso anterior.
OCI External KMS admite claves de cifrado simétricas y es compatible con aplicaciones que ya están integradas con OCI Vault. Como resultado, los clientes no tienen que modificar aplicaciones para beneficiarse de OCI External KMS: pueden utilizar y asociar claves de la misma forma que lo harían con OCI Vault y con el mismo SLA del 99,9 %.
Los siguientes servicios están integrados con OCI Vault y pueden beneficiarse de un KMS externo sin ningún cambio:
OCI External KMS está diseñado de tal manera que OCI no tiene acceso al material de claves criptográficas real. Una vez que un cliente ha bloqueado la clave en Thales CipherTrust Manager, OCI no tiene forma de utilizar la referencia de clave para descifrar datos ni realizar cualquier operación con esa referencia de clave.
A continuación, también puedes desactivar/suprimir las referencias de clave de la consola de OCI.
Actualmente, OCI External KMS no admite la replicación entre regiones de claves/almacenes.
OCI External KMS cuesta 3 dólares por versión de clave al mes, y no hay ningún costo adicional por el uso de estas versiones de clave. Los clientes tienen un límite flexible de 10 cámaras y 100 versiones de claves por cámara. Contacta con Thales para obtener más información sobre los precios y límites de CipherTrust Manager.
Puedes obtener más información sobre OCI External KMS leyendo la documentación técnica o probándolo en la consola de OCI. Accede a External KMS en la consola de OCI seleccionando Identidad y seguridad en el menú de navegación de OCI, Gestión de claves y gestión de secretos y, a continuación, Gestión de claves externas.