Keine Ergebnisse gefunden

Ihre Suche ergab keine Treffer.

Beachten Sie die folgenden Tipps, um das Gesuchte zu finden:

  • Prüfen Sie die Schreibweise des Suchbegriffs.
  • Verwenden Sie Synonyme für das eingegebene Stichwort, z. B. “Anwendung” statt “Software.”
  • Testen Sie eine der unten gezeigten beliebten Suchen.
  • Beginnen Sie eine neue Suche.
Aktuelle Fragen

 

Alle öffnen Alle schließen

    Allgemeine Fragen

  • Was ist Oracle Cloud Infrastructure Vault – Key Management?

    Mit Oracle Cloud Infrastructure (OCI) Vault können Sie die Verwendung von Schlüsseln und Geheimnissen über eine Vielzahl von OCI-Diensten und -Anwendungen hinweg zentral verwalten und steuern. OCI Vault ist ein sicherer und stabiler verwalteter Dienst, mit dem Sie sich auf Ihre Anforderungen bei der Datenverschlüsselung konzentrieren können, ohne sich um zeitaufwändige Verwaltungsaufgaben wie Hardwarebereitstellung, Software-Patches oder die Hochverfügbarkeit kümmern zu müssen.

    Die Schlüsselverwaltung verwendet Hardwaresicherheitsmodule (HSM), die den Sicherheitszertifizierungen des FIPS (Federal Information Processing Standards) 140-2 Security Level 3 entsprechen, um den Schutz Ihrer Schlüssel zu gewährleisten. Sie können Hauptverschlüsselungsschlüssel erstellen, die entweder durch HSM oder Software geschützt sind. Mit den HSM-geschützten Schlüsseln befinden sich alle kryptografischen Abläufe und Storages von Schlüsseln im HSM. Mit den softwaregeschützten Schlüsseln werden Ihre Verschlüsselungsschlüssel in Software gespeichert und verarbeitet. Aber im Ruhezustand sind sie mit einem Root-Schlüssel aus dem HSM gesichert.

  • Was ist der Unterschied zwischen OCI Vault und Oracle Key Vault?

    OCI Vault und Oracle Key Vault sind zwei Schlüsselverwaltungsprodukte von Oracle.

    OCI Vault – Key Management ist ein vollständig verwalteter Dienst und ermöglicht die zentralisierte Verwaltung Ihrer Verschlüsselungsschlüssel, um Ihre nur in OCI gespeicherten Daten zu schützen. Die Vision von Key Management besteht darin, verschiedene Arten von Verschlüsselungsschlüsseln – symmetrisch und asymmetrisch – sowie allgemeine Workloads zu unterstützen, einschließlich Oracle Database TDE und Nicht-Datenbank-Workloads. OCI Vault ist der native Cloud-Verschlüsselungsdienst der 2. Generation.

    Oracle Key Vault bietet eine Schlüsselverwaltung für TDE-fähige Oracle Databases, die entweder On-Premises (einschließlich Oracle Exadata Cloud@Customer und Oracle Autonomous Database – Dedicated) oder auch in der OCI ausgeführt werden. Außerdem wird eine Schlüsselverwaltung für verschlüsselte Oracle GoldenGate-Traildateien und verschlüsselte ACFS-Dateisysteme bereitgestellt.

  • Was ist der Unterschied zwischen der von Oracle und der vom Kunden verwalteten Verschlüsselung?

    Die Standardverschlüsselung für viele OCI-Dienste ist von Oracle verwaltet. Von Oracle verwaltet bedeutet, dass Daten im Ruhezustand mit einem Verschlüsselungsschlüssel verschlüsselt werden, dessen Lebenszyklusverwaltung von Oracle gesteuert wird. Kunden, die ihre Verschlüsselungsschlüssel nicht verwalten oder darauf zugreifen möchten und nach einer besonders einfachen Möglichkeit suchen, alle in der OCI gespeicherten Daten zu schützen, können sich also für eine von Oracle verwaltete Verschlüsselung entscheiden.

    Es wird auch eine kundenverwaltete Verschlüsselung vom OCI Vault – Key Management-Dienst angeboten. Dabei kontrolliert und verwaltet der Kunde die Schlüssel, die seine Daten schützen, selbst. Darüber hinaus können sich Kunden, die eine erhöhte Sicherheit und einen Schutz vom FIPS 140-2 Level 3 benötigen, um die Einhaltung von Vorschriften zu gewährleisten, für die Option „vom Kunden verwaltet“ entscheiden, da die Verschlüsselungsschlüssel in Hardwaresicherheitsmodulen (HSMs) gespeichert sind.

  • Welche verschiedenen Arten der Vault-Isolation gibt es in OCI Vault – Key Management?

    OCI Vault wird auch als logische Gruppierung von Schlüsseln definiert. Der Vault muss erstellt werden, bevor Schlüssel generiert oder importiert werden können.

    Es gibt zwei Arten von Vaults: Den virtuellen privaten Vault und den Standard-Vault. Der von Ihnen erstellte Vault-Typ bestimmt den Grad der Isolation und Leistung Ihrer Schlüssel. Jeder Tenant kann keine bis zahlreiche Vaults haben.

    Ein virtueller privater Vault bietet eine dedizierte Partition auf dem HSM (einzelner Tenant). Eine Partition ist eine physische Abgrenzung auf dem HSM, die von anderen Partitionen isoliert ist. Ein virtueller privater Vault ermöglicht bessere und konsistente Transaktionen pro Sekunde bei kryptografischen Vorgängen.

    Der Standard-Vault verwendet eine Partition mit mehreren Tenants, sodass die Isolation nur moderat ist.

  • Was sind die ersten Schritte mit Vault – Key Management?

    1. Stellen Sie sicher, dass die Limits für Ihre Tenancy die Erstellung des Vault-Typs ermöglichen, den Sie generieren möchten.

    2. Vergewissern Sie sich, dass die Richtlinien des Oracle Identity and Access Management (IAM) für das Nutzerkonto erstellt wurden, damit es über die erforderlichen Berechtigungen zum Generieren eines Vaults verfügt. Weitere Informationen über das Konstruieren einer Anweisung finden Sie in der IAM-Richtlinienreferenz.

    3. Sie erstellen das erste Mal einen Vault, indem Sie über die Oracle Cloud Infrastructure-Konsole Sicherheit und dann Vault auswählen.

    Erstellen Sie einen Vault und wählen Sie einen der beiden verfügbaren Vault-Typen aus, die Ihren Isolations- und Verarbeitungsanforderungen am ehesten entsprechen:

    • Virtueller privater Vault: Wählen Sie einen virtuellen privaten Vault, wenn Sie eine erhöhte Isolation im HSM und eine dedizierte Verarbeitung von Verschlüsselungs-/Entschlüsselungsvorgängen benötigen.
    • Vault (Standard): Wählen Sie den Standard-Vault, wenn für Sie eine moderate Isolation (Partition mit mehreren Tenants im HSM) und eine gemeinsame Verarbeitung für Verschlüsselungs-/ Entschlüsselungsvorgänge akzeptabel ist.

    4. Erstellen Sie die Hauptverschlüsselungsschlüssel [Master Encryption] in Ihrem Vault. Hauptverschlüsselungsschlüssel können einen von zwei Schutzmodi aufweisen: HSM oder Software.

    • Ein durch ein HSM geschützter Hauptverschlüsselungsschlüssel wird auf einem HSM gespeichert und kann nicht aus diesem exportiert werden. Alle kryptografischen Vorgänge, die den Schlüssel betreffen, finden ebenfalls auf dem HSM statt.
    • Ein durch Software geschützter Hauptverschlüsselungsschlüssel wird auf einem Server gespeichert und kann von dort exportiert werden, um kryptografische Vorgänge auf dem Client anstatt auf dem Server auszuführen. Im Ruhezustand wird der softwaregeschützte Schlüssel mit einem Root-Schlüssel auf dem HSM verschlüsselt.

    5. Stellen Sie sicher, dass die IAM-Richtlinien für den Dienst oder die Entität, der bzw. die den Vault aufruft, über die erforderlichen Berechtigungen verfügen.

    Beispiel: Ermöglichen Sie dem Dienst „objectstorage-us-ashburn-1“, Schlüssel in Abteilung zu verwenden

    Verwenden Sie die Schlüssel:

    • Mit nativem Oracle Cloud Infrastructure-Storage: Markieren Sie beim Erstellen des Speichers (Bucket, Datei, Volume) mit „“ENCRYPT USING CUSTOMER-MANAGED KEYS”“, und wählen Sie dann den Vault und den Hauptverschlüsselungsschlüssel aus. Daten in diesem Bucket-, Volume- oder Datei-Storage werden mit einem Datenverschlüsselungsschlüssel verschlüsselt, der im Hauptverschlüsselungsschlüssel im Vault verpackt ist.
    • Verwenden Sie bei Kryptooperationen die Befehlszeilenschnittstelle (Command Line Interface, CLI) als Beispiel: oci kms crypto encrypt --key-id --plaintext

    Kryptooperationen sind auch in der SDK und API verfügbar. Weitere Informationen finden Sie in der Übersicht über den Vault in der Dokumentation.

    6. Überwachen Sie Ihre Nutzung von Vorgängen mit Metriken in der Konsole und im Überwachungsdienst. Metriken und Dimensionen ansehen.

  • Was sind die Standardlimits für den Vault?

    Das Limit des virtuellen privaten Vaults ist standardmäßig 0. Der Benutzer sollte eine Erhöhung des Limits anfordern, damit er ihn verwenden kann. Sobald der virtuelle private Vault aktiviert ist, erhält der Benutzer ein flexibles Limit von 1.000 und ein hartes Limit von 3.000 Versionen an symmetrischen Schlüsseln.

    Wenn Sie den Standard-Vault verwenden, um Ihre Schlüssel zu speichern, gibt es kein festes Limit. Die Standardeinstellung ist 10 Vaults mit 100 Schlüsseln pro Vault.

    Alle Schlüsselversionen, die Sie in einem Vault speichern, gelten für dieses Limit, unabhängig davon, ob der entsprechende Schlüssel aktiviert oder deaktiviert ist.

    Das für OCI Vault festgelegte Limit wird durch die OCI-Servicelimits bestimmt. Standardlimits sind für alle Tenancys festgelegt. Kunden können eine Erhöhung des Service-Limits für Schlüssel anfordern, die in einem Vault gespeichert sind, indem Sie die Schritte unter Anfordern einer Service-Limit-Erhöhung in der Oracle Cloud Infrastructure-Dokumentation ausführen. Da sowohl aktivierte als auch deaktivierte Schlüssel zum Limit zählen, empfiehlt Oracle, deaktivierte Schlüssel, die Sie nicht mehr verwenden, zu löschen.

  • Welche Funktionen bietet OCI Vault – Key Management?

    Die folgenden Schlüsselverwaltungsfunktionen sind verfügbar, wenn Sie den Vault-Dienst verwenden. Weitere Informationen finden Sie in der Übersicht über den Vault in der Dokumentation.

    • Erstellen Sie Ihre eigenen Verschlüsselungsschlüssel, um Ihre Daten zu schützen
    • Verwendung eigener Schlüssel
    • Rotieren Ihrer Schlüssel
    • Unterstützung für die regionsübergreifende Sicherung und Wiederherstellung Ihrer Schlüssel
    • Beschränken der Berechtigungen für Schlüssel mithilfe von IAM-Richtlinien
    • Integration in interne OCI-Dienste: Oracle Autonomous Database – Dedicated, Oracle Block Storage, Oracle File Storage, Oracle Object Storage, Streaming und Container Engine for Kubernetes
  • Welche Form/Länge von Schlüsseln kann ich in Vault – Key Management erstellen und speichern?

    Wenn Sie einen Schlüssel erstellen, können Sie eine Schlüsselform auswählen, die die Schlüssellänge und den damit verwendeten Algorithmus angibt. Alle Schlüssel sind derzeit Advanced Encryption Standard (AES – GCM), und Sie können aus drei Schlüssellängen wählen: AES-128, AES-192 und AES-256. AES-256 wird empfohlen.

  • In welchen Oracle Cloud Infrastructure-Regionen ist Vault – Key Management verfügbar?

    Die Schlüsselverwaltung ist in allen kommerziellen und staatlichen Regionen von Oracle Cloud Infrastructure verfügbar.

    Verwalten von Schlüsseln und Schlüssel-Vaults

  • Kann ich meine Schlüssel wechseln?

    Ja. Sie können Ihre Schlüssel regelmäßig in Übereinstimmung mit Ihren Sicherheitsrichtlinien und gemäß der Einhaltung von Vorschriften wechseln oder im Falle eines Sicherheitsvorfalls auch sofort ändern. Durch regelmäßiges Rotieren der Schlüssel (z. B. alle 90 Tage) mithilfe der Konsole, der API oder der CLI wird die durch einen einzelnen Schlüssel geschützte Datenmenge begrenzt.

    Hinweis: Durch das Wechseln eines Schlüssels werden Daten, die zuvor mit der alten Schlüsselversion verschlüsselt wurden, nicht automatisch neu verschlüsselt. Diese Daten werden beim nächsten Ändern durch den Kunden erneut verschlüsselt. Wenn Sie den Verdacht haben, dass ein Schlüssel kompromittiert wurde, sollten Sie alle durch diesen Schlüssel geschützten Daten erneut verschlüsseln und die vorherige Schlüsselversion deaktivieren.

  • Kann ich meine eigenen Schlüssel mit Vault – Key Management verwenden?

    Ja. Sie können eine Kopie Ihres Schlüssels aus Ihrer eigenen Infrastruktur zur Schlüsselverwaltung in Vault importieren und ihn dort mit allen integrierten OCI-Diensten oder Ihren eigenen Anwendungen verwenden.

  • Kann ich einen Vault löschen?

    Ja, aber nicht sofort. Sie können den Löschvorgang terminlich planen, indem Sie eine Wartezeit von 7 bis 30 Tagen konfigurieren. Der Vault und alle im Vault erstellten Schlüssel werden am Ende der Wartezeit gelöscht, und auf alle Daten, die durch diese Schlüssel geschützt wurden, kann nicht mehr zugegriffen werden. Nachdem ein Vault gelöscht wurde, kann er nicht wiederhergestellt werden.

  • Kann ich einen Schlüssel oder eine Schlüsselversion löschen?

    Ja, aber nicht sofort. Sie können den Löschvorgang terminlich planen, indem Sie eine Wartezeit von 7 bis 30 Tagen konfigurieren. Sie können einen Schlüssel auch deaktivieren, wodurch Verschlüsselungs-/Entschlüsselungsvorgänge mit diesem Schlüssel verhindert werden.

    Verwenden von Schlüsseln

  • Wo werden meine Daten verschlüsselt, wenn ich OCI Vault – Key Management verwende?

    Sie können Daten direkt an Schlüsselverwaltungs-APIs senden, um sie mit Ihren im Vault gespeicherten Hauptverschlüsselungsschlüsseln zu verschlüsseln und zu entschlüsseln.

    Sie können Ihre Daten auch lokal in Ihren Anwendungen und OCI-Diensten mithilfe einer als Umschlagverschlüsselung bezeichneten Methode verschlüsseln.

    Mithilfe der Umschlagverschlüsselung können Sie Datenverschlüsselungsschlüssel (Data Encryption Keys, DEK) von Schlüsselverwaltungs-APIs generieren und abrufen. DEKs werden nicht im Schlüsselverwaltungsdienst gespeichert oder verwaltet, sondern von Ihrem Hauptverschlüsselungsschlüssel verschlüsselt. Ihre Anwendungen können DEK verwenden, um Ihre Daten zu verschlüsseln und den verschlüsselten DEK zusammen mit den Daten zu speichern. Wenn Ihre Anwendungen die Daten entschlüsseln möchten, sollten Sie über die Schlüsselverwaltungs-API die Entschlüsselung des verschlüsselten DEK aufrufen, um den DEK abzurufen. Sie können Ihre Daten lokal mit dem DEK entschlüsseln.

  • Warum die Umschlagverschlüsselung verwenden? Warum nicht einfach Daten an Vault – Key Management senden, um sie direkt zu verschlüsseln?

    Die Schlüsselverwaltung unterstützt das Senden von bis zu 4 KB an Daten, um diese direkt zu verschlüsseln. Darüber hinaus kann die Umschlagverschlüsselung erhebliche Leistungsvorteile bieten. Wenn Sie Daten direkt mit Schlüsselverwaltungs-APIs verschlüsseln, müssen diese über das Netzwerk übertragen werden. Die Umschlagverschlüsselung reduziert die Netzwerklast, da nur die Anforderung und Übertragung des viel kleineren DEK über das Netzwerk erfolgt. Der DEK wird lokal in Ihrer Anwendung oder beim Verschlüsseln des OCI-Dienstes verwendet, sodass nicht der gesamte Datenblock gesendet werden muss.

    Hochverfügbarkeit und Disaster Recovery

  • Wie stellt Oracle Hochverfügbarkeit von Schlüsseln in einer Region bereit?

    Oracle verwendet ein Cluster von Knoten und HSMs, um Kopien Ihrer Schlüssel in derselben Region zu speichern, in der sie erstellt wurden. Auf diese Weise können wir ein SLA von 99,9 % und SLO von 99,99 % für die Schlüsselverwaltung bereitstellen. Bitte ziehen Sie das Oracle PaaS und IaaS Public Cloud Services – Pillar-Dokument zu Rate.

  • Kann ich meine Schlüssel in eine Region übertragen und verwenden, wenn sie dort nicht erstellt wurden?

    Ja. Die Schlüsselverwaltung unterstützt die Sicherung und Wiederherstellung für einen virtuellen privaten Vault über mehrere Regionen hinweg. Dadurch können Schlüssel in einer Region verwendet werden, in der sie nicht erstellt wurden. Die Sicherung und Wiederherstellung erfüllt die FIPS-Anforderungen, da nicht die echten Schlüsselmaterialien exportiert werden, sondern ein binäres Objekt, welches das Schlüsselmaterial repräsentiert. Wiederherstellungsvorgänge können nur für OCI-verwaltete HSMs ausgeführt werden.

    Abrechnung

  • Wie wird mir die Verwendung von Vault – Key Management in Rechnung gestellt?

    Die Gebühren richten sich nach dem Typ des erstellten Vaults.

    Standardmäßig wird Ihr Vault basierend auf der Anzahl der Schlüsselversionen abgerechnet. Software-geschützte Schlüssel sind kostenlos, HSM-geschützte Schlüssel kosten jedoch 50 Cent pro Schlüsselversion. (die ersten 20 Schlüsselversionen sind kostenlos).

    Wenn Sie jedoch einen virtuellen privaten Vault (HSM mit einem Tenant) erstellen, wird der Preis pro Stunde berechnet. Die Abrechnung beginnt mit dem Zeitpunkt der Erstellung des Vaults und dauert an, bis das Löschen des Vaults geplant ist. Für Schlüsselversionen in einem virtuellen privaten Vault werden Ihnen keine Gebühren berechnet.

    Weitere Informationen finden Sie unter Oracle Cloud Security – Preisgestaltung.

  • Erhalte ich eine Rechnung für meine Schlüssel, wenn deren Löschung geplant ist?

    Nein, Ihnen werden die zum Löschen geplanten Schlüssel nicht in Rechnung gestellt. Wenn Sie das Löschen Ihrer Schlüssel abbrechen, wird die Rechnungsstellung wieder aufgenommen.

    Sicherheit

  • Können Mitarbeiter von Oracle auf mein Schlüsselmaterial zugreifen?

    Nein.

  • Wie werden die Schlüssel, die ich in meinem Vault – Key Management erstelle, gesichert?

    Wenn Sie über den Dienst mit einem Schutzmodus-HSM einen Schlüssel erstellen, speichert die Schlüsselverwaltung den Schlüssel und alle nachfolgenden Schlüsselversionen im HSM. Nur-Text-Schlüsselmaterial kann niemals aus dem HSM angezeigt oder exportiert werden. Mit Schutzmodus-Software können Schlüssel auf Schlüsselverwaltungsservern gespeichert und dabei im Ruhezustand durch einen Root-Schlüssel vom HSM geschützt werden.

    Die Schlüssel können nur Nutzer, Gruppen oder Dienste verwenden, die Sie über eine IAM-Richtlinie autorisieren, indem diese die Schlüsselverwaltung aufrufen, um Daten zu verschlüsseln oder zu entschlüsseln.

  • Kann ich einen Schlüssel exportieren, den ich im Vault – Key Management erstellt habe?

    Ja. Wenn Sie einen Schlüssel mit Schutzmodus-Software erstellen, kann das Schlüsselmaterial im Klartext exportiert werden. Wenn Sie Ihre Schlüssel jedoch mit einem Schutzmodus-HSM erstellen, können Sie das Schlüsselmaterial nicht exportieren, da der Schlüssel das HSM nie verlässt. Sie können das Schlüsselmaterial sichern, um es in derselben oder einer anderen Region wiederherzustellen. Diese Sicherung bietet jedoch keinen Zugriff auf das Schlüsselmaterial.