Lo sentimos. No hallamos ninguna coincidencia para tu búsqueda.

Le sugerimos que pruebe lo siguiente para encontrar lo que busca:

  • Verifique la ortografía de su búsqueda de palabras clave.
  • Utilice sinónimos para la palabra clave que escribió; por ejemplo, intente con “aplicación” en lugar de “software”.
  • Comience una nueva búsqueda.

 

Abrir todo Cerrar todo

    Preguntas generales

  • ¿Qué es Oracle Cloud Infrastructure Vault—Key Management?

    Oracle Cloud Infrastructure (OCI)Vault te permite administrar y controlar de forma centralizada el uso de claves y secretos en una amplia gama de servicios y aplicaciones de OCI. OCI Vault es un servicio gestionado seguro y resistente que te permite concentrarte en tus necesidades de cifrado de datos sin preocuparte por tareas administrativas que consumen mucho tiempo, como el aprovisionamiento de hardware, la aplicación de parches de software y la alta disponibilidad.

    Key Management utiliza módulos de seguridad de hardware (HSM) que cumplen con la certificación de seguridad de nivel 3 de los Federal Information Processing Standards (FIPS) 140-2, para proteger tus claves. Puedes crear claves de cifrado maestras protegidas por HSM o por software. Con las claves protegidas por HSM, todas las operaciones criptográficas y el almacenamiento de claves están dentro del HSM. Con las claves protegidas por software, tus claves de cifrado se almacenan y procesan en el software, pero están protegidas en reposo con una clave raíz de HSM.

  • ¿Cuál es la diferencia entre OCI Vault y Oracle Key Vault?

    OCI Vault y Oracle Key Vault son dos productos de gestión de claves de Oracle.

    OCI Vault—Key Management es un servicio completamente gestionado que proporciona administración centralizada de las claves de cifrado para proteger sus datos almacenados solo en OCI. La visión de Key Management es admitir diferentes tipos de claves de cifrado (simétricas y asimétricas) y un conjunto genérico de cargas de trabajo, incluidas las de Oracle Database TDE y las que no son de base de datos. OCI Vault es el servicio de cifrado nativo de Gen2 Cloud.

    Oracle Key Vault proporciona gestión de claves para bases de datos de Oracle habilitadas para TDE que se ejecutan en las instalaciones (que incluyen Oracle Exadata Cloud@Customer y Oracle Autonomous Database—Dedicated) y en OCI, así como gestión de claves para archivos de seguimiento de Oracle GoldenGate cifrados y sistemas de archivos ACFS cifrados.

  • ¿Cuál es la diferencia entre el cifrado gestionado por Oracle y el gestionado por el cliente?

    El cifrado gestionado por Oracle es el predeterminado para muchos servicios de OCI. "Gestionado por Oracle" significa que los datos se cifrarán en reposo con una clave de cifrado y que la gestión del ciclo de vida está controlada por Oracle. Los clientes que no quieran gestionar sus claves de cifrado o acceder a ellas, y estén buscando una forma más sencilla de proteger todos los datos almacenados en OCI pueden elegir el cifrado gestionado por Oracle.

    El cifrado gestionado por el cliente lo ofrece el servicio OCI Vault—Key Management en el que el cliente controla y gestiona las claves que protegen sus datos. Además, los clientes que requieren una seguridad elevada y protección de nivel 3 de FIPS 140-2 para mantener el cumplimiento eligen la gestión por el cliente, ya que las claves de cifrado se almacenan en módulos de seguridad de hardware (HSM).

  • ¿Cuáles son los diferentes tipos de aislamiento del almacén de claves en OCI Vault—Key Management?

    OCI Vault también se define como una agrupación lógica de claves. El almacén de claves debe crearse para poder generar o importar claves.

    Existen dos tipos de almacén: Virtual Private Vault y Vault por defecto. El tipo de almacén de claves que cree determina el grado de aislamiento y rendimiento de sus claves. Cada inquilino puede tener desde ninguno hasta múltiples almacenes.

    Un almacén privado virtual proporciona una partición dedicada en el HSM (cliente único). Una partición es un límite físico en el HSM que está aislada de otras particiones. El almacén privado virtual proporciona transacciones mejores y constantes por segundo para operaciones criptográficas.

    El almacén de claves predeterminado utiliza una partición multicliente, por lo que tiene un nivel moderado de aislamiento.

  • ¿Cómo puedo empezar a usar Vault—Key Management?

    1. Asegúrate de que los límites de tu arrendamiento permiten la creación del tipo de almacén de claves que pretendes crear.

    2. Asegúrate de que se hayan creado las políticas de Oracle Identity and Access Management (IAM) para que la cuenta de usuario tenga los permisos necesarios para crear un almacén de claves. Consulta Referencia de las políticas de IAM para crear una declaración.

    3. Para crear por primera vez un almacén de claves, selecciona Security en la consola de Oracle Cloud Infrastructure y después Vault.

    Crea un almacén de claves y selecciona entre los dos tipos de almacén disponibles el que mejor se adapte a tus requisitos de aislamiento y procesamiento:

    • Virtual Private Vault: Elige un Virtual Private Vault si necesitas mayor aislamiento en el HSM y procesamiento dedicado para las operaciones de cifrado y descifrado.
    • Vault (Default): Elige el almacén predeterminado si estás dispuesto a aceptar un aislamiento moderado (partición multiinquilino en HSM) y procesamiento compartido para las operaciones de cifrado y descifrado.

    4. Crea las claves maestras de cifrado dentro del almacén. Las claves maestras de cifrado pueden tener uno de dos modos de protección: HSM o software.

    • Una clave maestra de cifrado protegida por un HSM se almacena en un HSM y no se puede exportar desde el HSM. Todas las operaciones criptográficas en las que se utiliza la clave también tienen lugar en el HSM.
    • Una clave maestra de cifrado protegida por software se almacena en un servidor y se puede exportar desde el servidor para realizar operaciones criptográficas en el cliente en lugar de en el servidor. Mientras está en reposo, la clave protegida por software se cifra mediante una clave raíz en el HSM.

    5. Asegúrate de que las políticas de IAM para el servicio o la entidad que llaman al almacén de claves dispongan de los permisos necesarios.

    Ejemplo: permitir que el servicio objectstorage-us-ashburn-1 utilice claves en el compartimento

    Utiliza las claves:

    • Con el almacenamiento nativo de Oracle Cloud Infrastructure: Al crear el almacenamiento (depósito, archivo y volumen), activa “ENCRYPT USING CUSTOMER-MANAGED KEYS” (CIFRAR MEDIANTE CLAVES GESTIONADAS POR EL CLIENTE) y luego selecciona el almacén y la clave maestra de cifrado. Los datos de ese depósito/volumen/almacenamiento de archivos se cifrarán con una clave de cifrado de datos encapsulada con la clave maestra de cifrado en el almacén.
    • Con operaciones criptográficas, utilizando la interfaz de línea de comandos (CLI) como ejemplo: oci kms crypto encrypt --key-id --plaintext

    Las operaciones criptográficas también están disponibles en el SDK y la API. Para obtener más detalles, consulta Descripción general de Vault en la documentación.

    6. Supervisa tu uso de las operaciones con métricas en la consola y el servicio de Monitoring. Consulta las métricas y las dimensiones.

  • ¿Cuáles son los límites predeterminados del almacén de claves?

    El límite del almacén privado virtual es 0 de forma predeterminada. El usuario debe solicitar un aumento del límite para usarlo. Una vez que se habilita el almacén privado virtual, el usuario obtiene un límite flexible de 1000 y un límite estricto de 3000 versiones de clave simétrica.

    Cuando usa el almacén predeterminado para almacenar sus claves, no se aplican límites. El valor predeterminado es de 10 almacenes con 100 claves por almacén.

    Todas las versiones de claves que guardas en un almacén de claves cuentan para este límite, independientemente de que la clave correspondiente esté habilitada o deshabilitada.

    Los límites impuestos a OCI Vault se rigen por los límites de servicio de OCI. Se establecen los mismos límites predeterminados para todos los inquilinos. No obstante, los clientes pueden solicitar una ampliación del límite de servicio para las claves guardadas dentro de un almacén siguiendo los pasos que se describen en la sección Solicitar una ampliación del límite de servicio de la documentación de Oracle Cloud Infrastructure. Dado que tanto las claves habilitadas como las deshabilitadas cuentan para el límite, Oracle recomienda eliminar las claves deshabilitadas que ya no utilice.

  • ¿Qué prestaciones ofrece OCI Vault—Key Management?

    Al utilizar el servicio Vault, dispones de las siguientes prestaciones de gestión de claves. Para obtener más detalles, consulta Descripción general de Vault en la documentación.

    • Crea sus propias claves de cifrado que protejan sus datos
    • Trae tus propias claves
    • Rota tus claves
    • Soporte para copia de seguridad y restauración entre regiones para tus claves
    • Restringir los permisos de las claves mediante políticas de IAM
    • Integración con servicios internos de OCI: Dedicated Oracle Autonomous Database, Oracle Block Storage, Oracle File Storage, Oracle Object Storage, Streaming y Container Engine for Kubernetes
  • ¿Qué forma y longitud de claves puedo crear y almacenar en Vault—Key Management?

    Cuando creas una clave, puedes elegir una forma que indique la longitud de la clave y el algoritmo utilizado con ella. Actualmente, todas las claves siguen el Estándar de cifrado avanzado (AES-GCM) y puedes elegir entre tres longitudes de clave: AES-128, AES-192, y AES-256. Se recomienda utilizar AES-256.

  • ¿En qué regiones de Oracle Cloud Infrastructure está disponible Vault—Key Management?

    Key Management está disponible en todas las regiones comerciales y gubernamentales de Oracle Cloud Infrastructure.

    Gestión de claves y almacenes de claves

  • ¿Puedo rotar mis claves?

    Sí. Puedes rotar periódicamente las claves según tus necesidades de cumplimiento normativo y gobernanza de seguridad o ad hoc en caso de que se produzca un incidente de seguridad. La rotación periódica de las claves (por ejemplo, cada 90 días) mediante la consola, la API o la CLI limita la cantidad de datos protegidos por una sola clave.

    Nota: La rotación de una clave no vuelve a cifrar automáticamente los datos que se cifraron previamente con la versión anterior de la clave; estos datos se volverán a cifrar la próxima vez que el cliente los modifique. Si sospechas que una clave se ha visto comprometida, debes volver a cifrar todos los datos protegidos por esa clave y deshabilitar la versión anterior de la clave.

  • ¿Puedo traer mis propias claves a Vault—Key Management?

    Sí. Puedes importar una copia de su clave desde tu propia infraestructura de gestión de claves a Vault y usarla con cualquier servicio OCI integrado o desde tus propias aplicaciones.

  • ¿Puedo eliminar un almacén de claves?

    Sí, pero no inmediatamente. Puedes programar la eliminación y configurar un período de espera de 7 a 30 días. El almacén de claves y todas las claves creadas dentro de él se eliminan al finalizar el período de espera, y todos los datos que estaban protegidos por esas claves dejan de ser accesibles. Después de eliminar un almacén de claves, no se puede recuperar.

  • ¿Puedo eliminar una clave o una versión de una clave?

    Sí, pero no inmediatamente. Puedes programar la eliminación y configurar un período de espera de 7 a 30 días. También puedes deshabilitar una clave, lo que impedirá cualquier operación de cifrado o descifrado que use esa clave.

    Uso de claves

  • ¿Dónde se cifran mis datos si utilizo OCI Vault—Key Management?

    Puedes enviar datos directamente a las API de Key Management para cifrarlos y descifrarlos con tus claves de cifrado maestras almacenadas en Vault.

    Además, puedes cifrar tus datos localmente dentro de tus aplicaciones y servicios OCI mediante un método conocido como cifrado de sobres.

    Con el cifrado de sobres, generas y recuperas las claves de cifrado de datos (DEK) de las API de Key Management. Las DEK no se almacenan ni se gestionan en el servicio Key Management, sino que están cifradas por tu clave maestra de cifrado. Tus aplicaciones pueden usar las DEK para cifrar sus datos y almacenar las DEK cifradas junto con los datos. Cuando tus aplicaciones quieran descifrar los datos, deben solicitar el descifrado de la API de Key Management en las DEK cifradas para recuperar las DEK. Después, puede descifrar tus datos localmente con la DEK.

  • ¿Por qué utilizar el cifrado de sobres? ¿Por qué no basta con enviar los datos a Vault—Key Management para cifrarlos directamente?

    Key Management admite el envío de hasta 4 KB de datos para cifrarlos directamente. Además, el cifrado de sobres puede ofrecer importantes ventajas de rendimiento. Cuando se cifran datos directamente con las API de Key Management, se deben transferir a través de la red. El cifrado de sobres reduce la carga de la red, ya que solo pasan por la red la solicitud y la entrega de las DEK, mucho más pequeñas. La DEK se utiliza localmente en tu aplicación o en el servicio OCI de cifrado, lo que evita la necesidad de enviar todo el bloque de datos.

    Alta disponibilidad y recuperación ante desastres

  • ¿Cómo proporciona Oracle alta disponibilidad de las claves en una región?

    Oracle utiliza un clúster de nodos y HSM para almacenar réplicas de sus claves en la misma región donde se crearon, lo que nos permite proporcionar un SLA del 99,9% y un SLO del 99,99% para Key Management. Consulta Servicios de nube públicos Oracle PaaS e IaaS: documento básico.

  • ¿Puedo transferir y usar mis claves en una región diferente de la región donde se crearon?

    Sí. Key Management admite la copia de seguridad y la restauración entre regiones del almacén privado virtual para que las claves se puedan usar en una región diferente a aquella donde fueron creadas. La copia de seguridad y la restauración cumplen con los requisitos de FIPS, ya que no se exportan materiales clave reales, sino un objeto binario que representa el material clave. Las operaciones de restauración solo pueden ocurrir en los HSM gestionados por OCI.

    Facturación

  • ¿Cómo se me cobrará por usar Vault—Key Management?

    Se te cobra en función del tipo de almacén de claves que se crea.

    De forma predeterminada, a tu almacén de claves se le pasarán cobros en función de la cantidad de versiones de clave. Las claves protegidas por software son gratuitas, pero las claves protegidas por HSM se cobran a 50 céntimos por versión de clave. (las primeras 20 versiones de claves son gratuitas).

    No obstante, si creas un almacén privado virtual (HSM de cliente único), se te cobrará un precio por hora. El precio se calcula desde el momento de la creación del almacén de claves y continúa hasta que se programe su eliminación. No se te cobrarán las versiones de clave dentro de un almacén privado virtual.

    Para obtener más detalles, consulta Precios de Oracle Cloud Security.

  • ¿Se me factura por mis claves cuando su eliminación está programada?

    No, no se te facturan las claves cuya eliminación ya está programada. Si cancelas la eliminación de Tus claves, se reanuda la facturación.

    Seguridad

  • ¿Los empleados de Oracle pueden acceder a mi material de claves?

    No.

  • ¿Cómo se protegen las claves que creo dentro de mi Vault—Key Management?

    Cuando solicitas que el servicio cree una clave con un HSM en modo de protección, Key Management almacena la clave y todas las versiones posteriores de la misma en el HSM. El material de claves de texto sin formato nunca se puede ver ni exportar desde el HSM. Con el software en modo de protección, las claves se almacenan en los servidores de Key Management, pero están protegidas en reposo por una clave raíz de HSM.

    Solo aquellos usuarios, grupos o servicios a los que autorices a través de una política de IAM pueden usar las claves invocando Key Management para cifrar o descifrar datos.

  • ¿Puedo exportar una clave que haya creado en Vault—Key Management?

    Sí. Si creas una clave con software en modo de protección, el material de la clave se puede exportar en texto sin formato. Sin embargo, si creas tus claves con HSM en modo de protección, no puedes exportar el material de la clave, ya que la clave nunca sale del HSM. Puedes realizar una copia de seguridad del material de la clave para restaurarlo en la misma región o en una diferente. Sin embargo, esa copia de seguridad no da acceso al material de la clave.