Mit Oracle Cloud Infrastructure (OCI) Vault können Sie die Verwendung von Schlüsseln und Geheimnissen über eine Vielzahl von OCI-Services und -Anwendungen hinweg zentral verwalten und steuern. OCI Vault ist ein sicherer und stabiler verwalteter Service, mit dem Sie sich auf Ihre Anforderungen bei der Datenverschlüsselung konzentrieren können, ohne sich um zeitaufwendige Verwaltungsaufgaben wie Hardwarebereitstellung, Software-Patches oder die Hochverfügbarkeit kümmern zu müssen.
Die Schlüsselverwaltung verwendet Hardwaresicherheitsmodule (HSM), die den Sicherheitszertifizierungen des FIPS (Federal Information Processing Standards) 140-2 Security Level 3 entsprechen, um den Schutz Ihrer Schlüssel zu gewährleisten. Sie können Hauptverschlüsselungsschlüssel erstellen, die entweder durch HSM oder Software geschützt sind. Mit den HSM-geschützten Schlüsseln befinden sich alle kryptografischen Abläufe und Storages von Schlüsseln im HSM. Mit den softwaregeschützten Schlüsseln werden Ihre Verschlüsselungsschlüssel in Software gespeichert und verarbeitet. Aber im Ruhezustand sind sie mit einem Root-Schlüssel aus dem HSM gesichert.
OCI Vault und Oracle Key Vault sind zwei Schlüsselverwaltungsprodukte von Oracle.
OCI Vault – Key Management ist ein vollständig verwalteter Dienst und ermöglicht die zentralisierte Verwaltung Ihrer Verschlüsselungsschlüssel, um Ihre nur in OCI gespeicherten Daten zu schützen. Die Vision von Key Management besteht darin, verschiedene Arten von Verschlüsselungsschlüsseln – symmetrisch und asymmetrisch – sowie allgemeine Workloads zu unterstützen, einschließlich Oracle Database TDE und Nicht-Datenbank-Workloads. OCI Vault ist der native Cloud-Verschlüsselungsdienst der 2. Generation.
Oracle Key Vault bietet eine Schlüsselverwaltung für TDE-fähige Oracle Databases, die entweder On Premises (einschließlich Oracle Exadata Cloud@Customer und Oracle Autonomous Database – Dedicated) oder auch in der OCI ausgeführt werden. Außerdem wird eine Schlüsselverwaltung für verschlüsselte Oracle GoldenGate-Traildateien und verschlüsselte ACFS-Dateisysteme bereitgestellt.
Die Standardverschlüsselung für viele OCI-Dienste ist von Oracle verwaltet. Von Oracle verwaltet bedeutet, dass Daten im Ruhezustand mit einem Verschlüsselungsschlüssel verschlüsselt werden, dessen Lebenszyklusverwaltung von Oracle gesteuert wird. Kunden, die ihre Verschlüsselungsschlüssel nicht verwalten oder darauf zugreifen möchten und nach einer besonders einfachen Möglichkeit suchen, alle in der OCI gespeicherten Daten zu schützen, können sich also für eine von Oracle verwaltete Verschlüsselung entscheiden.
Es wird auch eine kundenverwaltete Verschlüsselung vom OCI Vault – Key Management-Dienst angeboten. Dabei kontrolliert und verwaltet der Kunde die Schlüssel, die seine Daten schützen, selbst. Darüber hinaus können sich Kunden, die eine erhöhte Sicherheit und einen Schutz vom FIPS 140-2 Level 3 benötigen, um die Einhaltung von Vorschriften zu gewährleisten, für die Option „vom Kunden verwaltet“ entscheiden, da die Verschlüsselungsschlüssel in Hardwaresicherheitsmodulen (HSMs) gespeichert sind.
OCI Vault wird auch als logische Gruppierung von Schlüsseln definiert. Der Vault muss erstellt werden, bevor Schlüssel generiert oder importiert werden können.
Es gibt zwei Vault-Typen: Virtual Private Vault und den Standard-Vault. Der von Ihnen erstellte Vault-Typ bestimmt den Grad der Isolation und Leistung Ihrer Schlüssel. Jeder Tenant kann keine bis zahlreiche Vaults haben.
Ein virtueller privater Vault bietet eine dedizierte Partition auf dem HSM (einzelner Tenant). Eine Partition ist eine physische Abgrenzung auf dem HSM, die von anderen Partitionen isoliert ist. Ein virtueller privater Vault ermöglicht bessere und konsistente Transaktionen pro Sekunde bei kryptografischen Vorgängen.
Der Standard-Vault verwendet eine Partition mit mehreren Tenants, sodass die Isolation nur moderat ist.
1. Stellen Sie sicher, dass die Limits für Ihre Tenancy die Erstellung des Vault-Typs ermöglichen, den Sie generieren möchten.
2. Stellen Sie sicher, dass die Richtlinien des Oracle Identity and Access Management (IAM) für das Benutzerkonto erstellt wurden, damit es über die erforderlichen Berechtigungen zum Generieren eines Vaults verfügt. Weitere Informationen über das Konstruieren einer Anweisung finden Sie in der IAM-Richtlinienreferenz.
3. Sie erstellen das erste Mal einen Vault, indem Sie über die Oracle Cloud Infrastructure-Konsole Sicherheit und dann Vault auswählen.
Erstellen Sie einen Vault und wählen Sie einen der beiden verfügbaren Vault-Typen aus, die Ihren Isolations- und Verarbeitungsanforderungen am ehesten entsprechen:
4. Erstellen Sie die Hauptverschlüsselungsschlüssel [Master Encryption] in Ihrem Vault. Hauptverschlüsselungsschlüssel können einen von zwei Schutzmodi aufweisen: HSM oder Software.
5. Stellen Sie sicher, dass die IAM-Richtlinien für den Dienst oder die Entität, der bzw. die den Vault aufruft, über die erforderlichen Berechtigungen verfügen.
Beispiel: Ermöglichen Sie dem Dienst „objectstorage-us-ashburn-1“, Schlüssel in Abteilung zu verwenden
Verwenden Sie die Schlüssel:
Kryptooperationen sind auch in der SDK und API verfügbar. Weitere Informationen finden Sie in der Übersicht über den Vault in der Dokumentation.
6. Überwachen Sie Ihre Nutzung von Vorgängen mit Metriken in der Konsole und im Überwachungsdienst. Metriken und Dimensionen ansehen.
Das Limit des virtuellen privaten Vaults ist standardmäßig 0. Der Benutzer sollte eine Erhöhung des Limits anfordern, damit er ihn verwenden kann. Sobald der virtuelle private Vault aktiviert ist, erhält der Benutzer ein flexibles Limit von 1.000 und ein hartes Limit von 3.000 Versionen an symmetrischen Schlüsseln.
Wenn Sie den Standard-Vault verwenden, um Ihre Schlüssel zu speichern, gibt es kein festes Limit. Die Standardeinstellung ist 10 Vaults mit 100 Schlüsseln pro Vault.
Alle Schlüsselversionen, die Sie in einem Vault speichern, gelten für dieses Limit, unabhängig davon, ob der entsprechende Schlüssel aktiviert oder deaktiviert ist.
Das für OCI Vault festgelegte Limit wird durch die OCI-Servicelimits bestimmt. Standardlimits sind für alle Tenancys festgelegt. Kunden können eine Erhöhung des Service-Limits für Schlüssel anfordern, die in einem Vault gespeichert sind, indem Sie die Schritte unter Anfordern einer Service-Limit-Erhöhung in der Oracle Cloud Infrastructure-Dokumentation ausführen. Da sowohl aktivierte als auch deaktivierte Schlüssel zum Limit zählen, empfiehlt Oracle, deaktivierte Schlüssel, die Sie nicht mehr verwenden, zu löschen.
Die folgenden Schlüsselverwaltungsfunktionen sind verfügbar, wenn Sie den Vault-Dienst verwenden. Weitere Informationen finden Sie in der Übersicht über den Vault in der Dokumentation.
Wenn Sie einen Schlüssel erstellen, können Sie eine Schlüsselform auswählen, die die Schlüssellänge und den damit verwendeten Algorithmus angibt. Alle Schlüssel sind derzeit Advanced Encryption Standard (AES – GCM) und Sie können aus drei Schlüssellängen auswählen: AES-128, AES-192 und AES-256. AES-256 wird empfohlen.
Die Schlüsselverwaltung ist in allen kommerziellen und staatlichen Regionen von Oracle Cloud Infrastructure verfügbar.
Ja. Sie können Ihre Schlüssel regelmäßig in Übereinstimmung mit Ihren Sicherheitsrichtlinien und gemäß der Einhaltung von Vorschriften wechseln oder im Falle eines Sicherheitsvorfalls auch sofort ändern. Durch regelmäßiges Rotieren der Schlüssel (z. B. alle 90 Tage) mithilfe der Konsole, der API oder der CLI wird die durch einen einzelnen Schlüssel geschützte Datenmenge begrenzt.
Hinweis: Durch das Wechseln eines Schlüssels werden Daten, die zuvor mit der alten Schlüsselversion verschlüsselt wurden, nicht automatisch neu verschlüsselt. Diese Daten werden beim nächsten Ändern durch den Kunden erneut verschlüsselt. Wenn Sie den Verdacht haben, dass ein Schlüssel kompromittiert wurde, sollten Sie alle durch diesen Schlüssel geschützten Daten erneut verschlüsseln und die vorherige Schlüsselversion deaktivieren.
Ja. Sie können eine Kopie Ihres Schlüssels aus Ihrer eigenen Infrastruktur zur Schlüsselverwaltung in Vault importieren und ihn dort mit allen integrierten OCI-Diensten oder Ihren eigenen Anwendungen verwenden.
Ja, aber nicht sofort. Sie können den Löschvorgang terminlich planen, indem Sie eine Wartezeit von 7 bis 30 Tagen konfigurieren. Der Vault und alle im Vault erstellten Schlüssel werden am Ende der Wartezeit gelöscht, und auf alle Daten, die durch diese Schlüssel geschützt wurden, kann nicht mehr zugegriffen werden. Nachdem ein Vault gelöscht wurde, kann er nicht wiederhergestellt werden.
Ja, aber nicht sofort. Sie können den Löschvorgang terminlich planen, indem Sie eine Wartezeit von 7 bis 30 Tagen konfigurieren. Sie können einen Schlüssel auch deaktivieren, wodurch Verschlüsselungs-/Entschlüsselungsvorgänge mit diesem Schlüssel verhindert werden.
Sie können Daten direkt an Schlüsselverwaltungs-APIs senden, um sie mit Ihren im Vault gespeicherten Hauptverschlüsselungsschlüsseln zu verschlüsseln und zu entschlüsseln.
Sie können Ihre Daten auch lokal in Ihren Anwendungen und OCI-Diensten mithilfe einer als Umschlagverschlüsselung bezeichneten Methode verschlüsseln.
Mithilfe der Umschlagverschlüsselung können Sie Datenverschlüsselungsschlüssel (Data Encryption Keys, DEK) von Schlüsselverwaltungs-APIs generieren und abrufen. DEKs werden nicht im Schlüsselverwaltungsdienst gespeichert oder verwaltet, sondern von Ihrem Hauptverschlüsselungsschlüssel verschlüsselt. Ihre Anwendungen können DEK verwenden, um Ihre Daten zu verschlüsseln und den verschlüsselten DEK zusammen mit den Daten zu speichern. Wenn Ihre Anwendungen die Daten entschlüsseln möchten, sollten Sie über die Schlüsselverwaltungs-API die Entschlüsselung des verschlüsselten DEK aufrufen, um den DEK abzurufen. Sie können Ihre Daten lokal mit dem DEK entschlüsseln.
Die Schlüsselverwaltung unterstützt das Senden von bis zu 4 KB an Daten, um diese direkt zu verschlüsseln. Darüber hinaus kann die Umschlagverschlüsselung erhebliche Leistungsvorteile bieten. Wenn Sie Daten direkt mit Schlüsselverwaltungs-APIs verschlüsseln, müssen diese über das Netzwerk übertragen werden. Die Umschlagverschlüsselung reduziert die Netzwerklast, da nur die Anforderung und Übertragung des viel kleineren DEK über das Netzwerk erfolgt. Der DEK wird lokal in Ihrer Anwendung oder beim Verschlüsseln des OCI-Dienstes verwendet, sodass nicht der gesamte Datenblock gesendet werden muss.
Oracle verwendet ein Cluster von Knoten und HSMs, um Kopien Ihrer Schlüssel in derselben Region zu speichern, in der sie erstellt wurden. Auf diese Weise können wir ein SLA von 99,9 % und SLO von 99,99 % für die Schlüsselverwaltung bereitstellen. Weitere Informationen finden Sie im Oracle PaaS und IaaS Public Cloud Services – Pillar-Dokument (PDF).
Ja. Die Schlüsselverwaltung unterstützt die Sicherung und Wiederherstellung für einen virtuellen privaten Vault über mehrere Regionen hinweg. Dadurch können Schlüssel in einer Region verwendet werden, in der sie nicht erstellt wurden. Die Sicherung und Wiederherstellung erfüllt die FIPS-Anforderungen, da nicht die echten Schlüsselmaterialien exportiert werden, sondern ein binäres Objekt, welches das Schlüsselmaterial repräsentiert. Wiederherstellungsvorgänge können nur für OCI-verwaltete HSMs ausgeführt werden.
Die Gebühren richten sich nach dem Typ des erstellten Vaults.
Standardmäßig wird Ihr Vault basierend auf der Anzahl der Schlüsselversionen abgerechnet. Software-geschützte Schlüssel sind kostenlos, HSM-geschützte Schlüssel kosten jedoch 50 Cent pro Schlüsselversion. (Die ersten 20 Schlüsselversionen sind kostenlos.)
Wenn Sie jedoch einen virtuellen privaten Vault (HSM mit einem Tenant) erstellen, wird der Preis pro Stunde berechnet. Die Abrechnung beginnt mit dem Zeitpunkt der Erstellung des Vaults und dauert an, bis das Löschen des Vaults geplant ist. Für Schlüsselversionen in einem virtuellen privaten Vault werden Ihnen keine Gebühren berechnet.
Weitere Informationen finden Sie unter Oracle Cloud Security – Preisgestaltung.
Nein, Ihnen werden die zum Löschen geplanten Schlüssel nicht in Rechnung gestellt. Wenn Sie das Löschen Ihrer Schlüssel abbrechen, wird die Rechnungsstellung wieder aufgenommen.
Wenn Sie über den Dienst mit einem Schutzmodus-HSM einen Schlüssel erstellen, speichert die Schlüsselverwaltung den Schlüssel und alle nachfolgenden Schlüsselversionen im HSM. Nur-Text-Schlüsselmaterial kann niemals aus dem HSM angezeigt oder exportiert werden. Mit Schutzmodus-Software können Schlüssel auf Schlüsselverwaltungsservern gespeichert und dabei im Ruhezustand durch einen Root-Schlüssel vom HSM geschützt werden.
Die Schlüssel können nur Benutzer, Gruppen oder Dienste verwenden, die Sie über eine IAM-Richtlinie autorisieren, indem diese die Schlüsselverwaltung aufrufen, um Daten zu verschlüsseln oder zu entschlüsseln.
Ja. Wenn Sie einen Schlüssel mit Schutzmodus-Software erstellen, kann das Schlüsselmaterial im Klartext exportiert werden. Wenn Sie Ihre Schlüssel jedoch mit einem Schutzmodus-HSM erstellen, können Sie das Schlüsselmaterial nicht exportieren, da der Schlüssel das HSM nie verlässt. Sie können das Schlüsselmaterial sichern, um es in derselben oder einer anderen Region wiederherzustellen. Diese Sicherung bietet jedoch keinen Zugriff auf das Schlüsselmaterial.