Oracle Cloud Infrastructure (OCI)Vault le permite administrar y controlar de forma centralizada el uso de claves y secretos en una amplia gama de servicios y aplicaciones de OCI. OCI Vault es un servicio gestionado seguro y resistente que le permite concentrarse en sus necesidades de cifrado de datos sin preocuparse por tareas administrativas que consumen mucho tiempo, como el aprovisionamiento de hardware, la aplicación de parches de software y la alta disponibilidad.
Key Management utiliza módulos de seguridad de hardware (HSM) que cumplen con la certificación de seguridad de nivel 3 de los Federal Information Processing Standards (FIPS) 140-2, para proteger sus claves. Puede crear claves de cifrado maestras protegidas por HSM o por software. Con las claves protegidas por HSM, todas las operaciones criptográficas y el almacenamiento de claves están dentro del HSM. Con las claves protegidas por software, sus claves de cifrado se almacenan y procesan en el software, pero están protegidas en reposo con una clave raíz de HSM.
OCI Vault y Oracle Key Vault son dos productos de gestión de claves de Oracle.
OCI Vault—Key Management es un servicio completamente gestionado que proporciona administración centralizada de las claves de cifrado para proteger sus datos almacenados solo en OCI. La visión de Key Management es admitir diferentes tipos de claves de cifrado (simétricas y asimétricas) y un conjunto genérico de cargas de trabajo, incluidas las de Oracle Database TDE y las que no son de base de datos. OCI Vault es el servicio de cifrado nativo de Gen2 Cloud.
Oracle Key Vault proporciona gestión de claves para bases de datos de Oracle habilitadas para TDE que se ejecutan en las instalaciones (que incluyen Oracle Exadata Cloud@Customer y Oracle Autonomous Database—Dedicated) y en OCI, así como gestión de claves para archivos de seguimiento de Oracle GoldenGate cifrados y sistemas de archivos ACFS cifrados.
El cifrado gestionado por Oracle es el predeterminado para muchos servicios de OCI. Gestionado por Oracle significa que los datos se cifrarán en reposo con una clave de cifrado y que la gestión del ciclo de vida está controlada por Oracle. Los clientes que no quieran gestionar a sus claves de cifrado o acceder a ellas, y estén buscando una forma más sencilla de proteger todos los datos almacenados en OCI pueden elegir el cifrado gestionado por Oracle.
El cifrado gestionado por el cliente lo ofrece el servicio OCI Vault—Key Management en el que el cliente controla y gestiona las claves que protegen sus datos. Además, los clientes que requieren una seguridad elevada y protección de nivel 3 de FIPS 140-2 para mantener el cumplimiento eligen la gestión por el cliente, ya que las claves de cifrado se almacenan en módulos de seguridad de hardware (HSM).
OCI Vault también se define como una agrupación lógica de claves. El almacén de claves debe crearse para poder generar o importar claves.
Hay dos tipos de almacenes de claves: Almacén privado virtual y almacén predeterminado. El tipo de almacén de claves que cree determina el grado de aislamiento y rendimiento de sus claves. Cada cliente puede tener de cero a muchos almacenes.
Un almacén privado virtual proporciona una partición dedicada en el HSM (cliente único). Una partición es un límite físico en el HSM que está aislada de otras particiones. El almacén privado virtual proporciona transacciones mejores y constantes por segundo para operaciones criptográficas.
El almacén de claves predeterminado utiliza una partición multicliente, por lo que tiene un nivel moderado de aislamiento.
1. Asegúrese de que los límites para su cliente permiten la creación del tipo de almacén de claves que pretende crear.
2. Asegúrese de que se hayan creado las políticas de Oracle Identity and Access Management (IAM) para que la cuenta de usuario tenga los permisos necesarios para crear un almacén de claves. Consulte Referencia de las políticas de IAM para crear una declaración.
3. Para crear por primera vez un almacén de claves, seleccione Seguridad en la consola de Oracle Cloud Infrastructure y después Vault.
Cree un almacén de claves y seleccione entre los dos tipos de almacén disponibles el que mejor se adapte a sus requisitos de aislamiento y procesamiento:
4. Cree las claves maestras de cifrado dentro del almacén. Las claves maestras de cifrado pueden tener uno de dos modos de protección: HSM o software.
5. Asegúrese de que las políticas de IAM para el servicio o la entidad que llama al almacén de claves dispongan de los permisos necesarios.
Ejemplo: allow service objectstorage-us-ashburn-1 to use keys in compartment
Utilice las claves:
Las operaciones criptográficas también están disponibles en el SDK y la API. Para obtener más detalles, consulte Descripción general de Vault en la documentación.
6. Supervise su uso de las operaciones con métricas en la consola y el servicio Monitoring. Vea las métricas y dimensiones.
El límite del almacén privado virtual es 0 de forma predeterminada. El usuario debe solicitar un aumento del límite para usarlo. Una vez que se habilita el almacén privado virtual, el usuario obtiene un límite flexible de 1000 y un límite estricto de 3000 versiones de clave simétrica.
Cuando usa el almacén predeterminado para almacenar sus claves, no hay ningún límite. El valor predeterminado es 10 almacenes con 100 claves por almacén.
Todas las versiones de claves que guarda en un almacén de claves cuentan para este límite, independientemente de que la clave correspondiente esté habilitada o deshabilitada.
Los límites impuestos a OCI Vault se rigen por los límites de servicio de OCI. Los límites predeterminados se establecen para todos los clientes. Pero los clientes pueden solicitar una ampliación del límite de servicio para las claves guardadas dentro de un almacén siguiendo los pasos que se describen en la sección Solicitar una ampliación del límite de servicio de la documentación de Oracle Cloud Infrastructure. Como tanto las claves habilitadas como las deshabilitadas cuentan para el límite, Oracle recomienda eliminar las claves deshabilitadas que ya no utilice.
Cuando utiliza el servicio Vault, dispone de las siguientes prestaciones de gestión de claves. Para obtener más detalles, consulte Descripción general de Vault en la documentación.
Cuando crea una clave, puede elegir una forma que indique la longitud de la clave y el algoritmo utilizado con ella. Actualmente, todas las claves siguen el Estándar de cifrado avanzado (AES-GCM) y puede elegir entre tres longitudes de clave: AES-128, AES-192 y AES-256. Se recomienda utilizar AES-256.
Key Management está disponible en todas las regiones comerciales y gubernamentales de Oracle Cloud Infrastructure.
Sí. Puede rotar periódicamente las claves según sus necesidades de cumplimiento normativo y gobernanza de seguridad o ad hoc en caso de que se produzca un incidente de seguridad. La rotación periódica de las claves (por ejemplo, cada 90 días) mediante la consola, la API o la CLI limita la cantidad de datos protegidos por una sola clave.
Nota: La rotación de una clave no vuelve a cifrar automáticamente los datos que se cifraron previamente con la versión anterior de la clave; se volverán a cifrar la próxima vez que el cliente modifique estos datos. Si sospecha que una clave se ha visto comprometida, debe volver a cifrar todos los datos protegidos por esa clave y deshabilitar la versión anterior de la clave.
Sí. Puede importar una copia de su clave desde su propia infraestructura de gestión de claves a Vault y usarla con cualquier servicio OCI integrado o desde sus propias aplicaciones.
Sí, pero no inmediatamente. Puede programar la eliminación y configurar un período de espera de 7 a 30 días. El almacén de claves y todas las claves creadas dentro de él se eliminan al finalizar el período de espera, y todos los datos que estaban protegidos por esas claves dejan de ser accesibles. Después de eliminar un almacén de claves, no se puede recuperar.
Sí, pero no inmediatamente. Puede programar la eliminación y configurar un período de espera de 7 a 30 días. También puede deshabilitar una clave, lo que impedirá cualquier operación de cifrado o descifrado que use esa clave.
Puede enviar datos directamente a las API de Key Management para cifrarlos y descifrarlos con sus claves de cifrado maestras almacenadas en Vault.
Además, puede cifrar sus datos localmente dentro de sus aplicaciones y servicios OCI mediante un método conocido como cifrado de sobres.
Con el cifrado de sobres, usted genera y recupera las claves de cifrado de datos (DEK) de las API de Key Management. Las DEK no se almacenan ni se gestionan en el servicio Key Management, sino que están cifradas por su clave maestra de cifrado. Sus aplicaciones pueden usar las DEK para cifrar sus datos y almacenar las DEK cifradas junto con los datos. Cuando sus aplicaciones quieran descifrar los datos, deben llamar al descifrado de la API de Key Management en las DEK cifradas para recuperar las DEK. Después, puede descifrar sus datos localmente con la DEK.
Key Management admite el envío de hasta 4 KB de datos para cifrarlos directamente. Además, el cifrado de sobres puede ofrecer importantes ventajas de rendimiento. Cuando se cifran datos directamente con las API de Key Management, se deben transferir a través de la red. El cifrado de sobres reduce la carga de la red, ya que solo pasan por la red la solicitud y la entrega de las DEK, mucho más pequeñas. La DEK se utiliza localmente en su aplicación o en el servicio OCI de cifrado, lo que evita la necesidad de enviar todo el bloque de datos.
Oracle utiliza un clúster de nodos y HSM para almacenar réplicas de sus claves en la misma región donde se crearon, lo que nos permite proporcionar un SLA del 99,9% y un SLO del 99,99% para Key Management. Consulte Servicios de nube públicos Oracle PaaS e IaaS: documento básico.
Sí. Key Management admite la copia de seguridad y la restauración entre regiones del almacén privado virtual para que las claves se puedan usar en una región diferente a aquella donde fueron creadas. La copia de seguridad y la restauración cumplen con los requisitos de FIPS, ya que no se exportan materiales clave reales, sino un objeto binario que representa el material clave. Las operaciones de restauración solo pueden ocurrir en los HSM gestionados por OCI.
Se le cobra según el tipo de almacén de claves que se crea.
De forma predeterminada, su almacén de claves se cobra según la cantidad de versiones de clave. Las claves protegidas por software son gratuitas, pero las claves protegidas por HSM se cobran a 50 céntimos por versión de clave. (las primeras 20 versiones de clave son gratuitas).
No obstante, si crea un almacén privado virtual (HSM de cliente único), se le cobrará un precio por hora. El precio se calcula desde el momento de la creación del almacén de claves y continúa hasta que se programe su eliminación. No se le cobran las versiones de clave dentro de un almacén privado virtual.
Para obtener más detalles, consulte Precios de Oracle Cloud Security.
No, no se le facturan las claves que están programadas para su eliminación. Si cancela la eliminación de sus claves, se reanuda la facturación.
No.
Cuando solicita que el servicio cree una clave con un HSM en modo de protección, Key Management almacena la clave y todas las versiones posteriores de la misma en el HSM. El material de claves de texto sin formato nunca se puede ver ni exportar desde el HSM. Con el software en modo de protección, las claves se almacenan en los servidores de Key Management, pero están protegidas en reposo por una clave raíz de HSM.
Solo aquellos usuarios, grupos o servicios a los que usted autorice a través de una política de IAM pueden usar las claves invocando Key Management para cifrar o descifrar datos.
Sí. Si crea una clave con software en modo de protección, el material de la clave se puede exportar en texto sin formato. Sin embargo, si crea sus claves con HSM en modo de protección, no puede exportar el material de la clave, ya que la clave nunca sale del HSM. Puede realizar una copia de seguridad del material de la clave para restaurarlo en la misma región o en una diferente. Sin embargo, esa copia de seguridad no da acceso al material de la clave.