Utilice el servicio Key Management si necesita almacenar sus claves maestras de cifrado en un HSM para cumplir los requisitos de cumplimiento normativo y gobernanza o cuando desee tener mayor control sobre el período criptográfico de las claves de cifrado empleadas para sus datos.

El valor predeterminado es 10 almacenes virtuales con 100 claves por almacén.

El valor predeterminado de los almacenes privados es 0, con 1000 claves por almacén.

Consulte Límites de servicio para revisar y actualizar los límites de Key Management Service. Puede enviar una incidencia para solicitar una ampliación de los límites en cualquier momento.

Asegúrese de que los límites de su inquilino permiten la creación del tipo de almacén que pretende crear.

Compruebe que las políticas de IAM de la cuenta de usuario tiene los permisos necesarios para crear un almacén. Consulte Referencia de las políticas de IAM para crear una declaración.

Cree primero un almacén de claves de Key Management; para ello, seleccione Seguridad en la consola de Oracle Cloud Infrastructure y después Key Management.

Cree un almacén y seleccione entre los dos tipos de almacén disponibles el que mejor se adapte a sus requisitos de aislamiento y procesamiento:

• Privado (VIRTUAL_PRIVATE): Elija un almacén privado si necesita mayor aislamiento en el clúster de HSM y procesamiento dedicado para las operaciones de cifrado y descifrado. El almacén privado utiliza créditos universales más caros.
• Virtual (VIRTUAL): Elija un almacén virtual si desea una métrica más económica en función de las versiones de las claves y está dispuesto a aceptar un aislamiento moderado (partición multiinquilino en HSM) y procesamiento compartido para las operaciones de cifrado y descifrado.

Cree las claves maestras de cifrado dentro del almacén. Se pueden crear versiones de las claves según sea necesario.

Asegúrese de que las políticas de IAM para el servicio o la entidad que llama a Key Management tienen los permisos necesarios. Ejemplo: allow service objectstorage-us-ashburn-1 to use keys in compartment

Utilice las claves:

• Con almacenamiento nativo de Oracle Cloud Infrastructure: Al crear el almacenamiento (depósito, archivo, volumen), active "CIFRAR MEDIANTE CLAVES GESTIONADAS POR EL CLIENTE", y luego seleccione el almacén y la clave maestra de cifrado. Los datos de ese depósito/volumen/almacenamiento de archivos se cifrarán con una clave de cifrado de datos encapsulada con la clave maestra de cifrado en el almacén.
• Con operaciones criptográficas, utilice la interfaz de línea de comandos (CLI) como ejemplo:
  oci kms crypto encrypt --key-id --plaintext

Las operaciones criptográficas también están disponibles en el SDK y la API. Para obtener más detalles, consulte Descripción general de Key Management en la documentación.

Supervise su uso de las operaciones con métricas en la consola y el servicio Monitoring. Las métricas y dimensiones están aquí: https://docs.cloud.oracle.com/iaas/Content/KeyManagement/Reference/keymgmtmetrics.htm

Actualmente, los siguientes servicios se integran con Key Management:

• Block Volumes (incluidas copias de seguridad y restauraciones entre regiones y volúmenes de arranque de Oracle Cloud Infrastructure Compute)
• Object Storage
• File Storage Service
• Oracle Container Engine for Kubernetes

También hay varias ofertas de Marketplace que tienen integración nativa con el servicio Key Management.

Gestionado por el cliente significa que los datos cifrados en el servicio de almacenamiento están protegidos de forma transparente por las claves de cifrado de datos encapsuladas con sus claves maestras de cifrado de Key Management.

Gestionado por Oracle significa que los datos se cifrarán con una clave de cifrado que Oracle mantiene y comparte para todo el almacenamiento gestionado por Oracle de la región.

En cualquier caso, los datos se cifran en reposo. La gestión a cargo del cliente le ofrece más control sobre el aislamiento, el control de versiones y el período criptográfico.

No. Si almacena sus datos con Oracle Cloud Infrastructure Block Volumes, File Storage Service y Object Storage y no utiliza Key Management, sus datos se protegen mediante claves de cifrado que Oracle controla y almacena de forma segura.

Cuando utiliza el servicio Key Management, dispone de las siguientes prestaciones de gestión de claves:

• Crear almacenes de claves de alta disponibilidad para almacenar de forma duradera sus claves de cifrado
• Traer su propia clave simétrica
• Deshabilitar y volver a habilitar claves
• Rotar y crear versiones de sus claves
• Restringir los permisos del almacén y las claves mediante políticas de IAM
• Supervisar el ciclo de vida de las claves y los almacenes mediante Oracle Audit
• Supervisar las operaciones criptográficas usando sus claves.
• Eliminar claves que ya no usa
• Eliminar almacenes de claves que ya no usa

Los servicios que se integran con Key Management ofrecen las siguientes prestaciones de gestión de claves:

• Asignar una clave a un recurso nuevo
• Añadir una asignación de clave a un recurso existente
• Cambiar la asignación de clave de un recurso existente
• Eliminar la asignación de clave

Cuando crea una clave, puede elegir una forma que indique la longitud de la clave y el algoritmo utilizado con ella. Todas las claves siguen el Estándar de cifrado avanzado (AES) y puede elegir entre tres longitudes de clave: AES-128, AES-192 y AES-256. Se recomienda utilizar AES-256.

Key Management está disponible en todas las regiones de Oracle Cloud Infrastructure.

Sí. Puede rotar periódicamente las claves según sus necesidades de cumplimiento normativo y gobernanza de seguridad o ad hoc en caso de que haya una incidencia de seguridad. La rotación periódica de las claves (por ejemplo, cada 90 días) mediante la consola, la API o la CLI limita la cantidad de datos protegidos por una sola clave.

Nota: La rotación de una clave no vuelve a cifrar automáticamente los datos que se cifraron previamente con la versión anterior de la clave; se volverán a cifrar la próxima vez que el cliente modifique estos datos. Si sospecha que una clave se ha visto comprometida, debe volver a cifrar todos los datos protegidos por esa clave y deshabilitar la versión anterior de la clave.

Sí. Usando un par de claves RSA asimétricas, un cliente debe encapsular la clave simétrica AES y luego se puede importar al servicio Key Management.

Sí, pero no inmediatamente. Puede programar la eliminación de un almacén de claves de Key Management si configura un período de espera para la eliminación de 7 a 30 días. El almacén de claves y todas las claves creadas dentro de él se eliminan al finalizar el período de espera, y todos los datos que estaban protegidos por esas claves dejan de ser accesibles. Después de eliminar un almacén de claves, no se puede recuperar.

Sí, puede eliminar una clave o una versión de una clave. Puede deshabilitar una clave, lo que impedirá cualquier operación de cifrado o descifrado que use esa clave.

Cuando usa un almacén privado para almacenar sus claves, puede crear y almacenar hasta 3.000 versiones de claves por cada almacén.

Cuando usa un almacén virtual para almacenar claves, no hay ningún límite.

Todas las versiones de claves que hay en un almacén cuentan para este límite, independientemente de que la clave correspondiente esté habilitada o deshabilitada.

Para solicitar una ampliación del límite de claves almacenadas dentro de un almacén, siga los pasos que se describen en Solicitar una ampliación del límite de servicio de la documentación de Oracle Cloud Infrastructure. Como tanto las claves habilitadas como las deshabilitadas cuentan para el límite, Oracle recomienda eliminar las claves deshabilitadas que ya no utilice.

No, puede generar claves de cifrado de datos (DEK) que se encapsulan con las claves maestras de cifrado y cifrar sus datos con la DEK.

Puede usarla con cualquier biblioteca de cifrado (por ejemplo: Bouncy Castle, OpenSSL) para cifrar los datos.

Envíe una solicitud de servicio con información sobre el depósito de Oracle Cloud Infrastructure para que el equipo de operaciones configure el depósito de manera que se envíe el registro a ese depósito.

Oracle utiliza un clúster de seis HSM que han proporcionado una disponibilidad histórica de cinco 9.

Actualmente, solo puede usar las claves en la región donde se crearon.

Cuando se usa un tipo de almacén virtual, paga en función de la cantidad de versiones de clave que crea, y se le cobra al final del mes por el uso de ese mes.

Cuando se usa un tipo de almacén privado, paga una tarifa por hora por cada almacén que crea, y se le cobra al final del mes por el uso de ese mes. Cuando almacena sus claves en un tipo de almacén privado, no se le cobran las claves que crea dentro de sus almacenes de claves y que usa con los servicios admitidos de Oracle Cloud Infrastructure.

Para conocer los precios actuales, consulte la página Precios de Key Management.

No, no se le facturará por el uso de un almacén de claves cuya eliminación esté programada. Si cancela la eliminación del almacén de claves durante el período de espera, se le seguirá facturando.

Sí, las claves en estado de eliminación pendiente siguen contando para su límite de cuota.

No.

Usted es quien controla las claves que crea y almacena en Key Management. Usted define las políticas de gestión y uso de claves y otorga a los usuarios, grupos o servicios de Oracle IAM los derechos para usar, gestionar o asociar sus claves con recursos.

Cuando solicita que el servicio cree una clave en su nombre, Key Management almacena la clave y todas las versiones posteriores de la misma en almacenes de claves respaldados por HSM.

Cuando solicita que el servicio cree una clave en su nombre dentro de un almacén privado, Key Management almacena la clave y todas sus versiones posteriores en almacenes de claves respaldados por HSM utilizando particiones aisladas específicas de cada cliente dentro de Módulos de seguridad de hardware (HSM) con certificación FIPS 140-2 de nivel 3 (aquí puede ver la política de seguridad FIPS 140-2 para el hardware empleado para respaldar su almacén de claves: http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140sp/140sp2850.pdf).

Todos los tipos de almacenes que contienen sus claves se replican varias veces dentro de una región para garantizar la durabilidad y disponibilidad de las claves. El material de claves de texto sin formato nunca se puede ver ni exportar desde el almacén de claves. Solo aquellos usuarios, grupos o servicios a los que usted autorice a través de una política de IAM pueden usar las claves invocando Key Management para cifrar o descifrar datos.

No. Sus claves de cifrado solo se guardan en almacenes de claves alojados dentro de HSM con certificación FIPS 140-2 de nivel 3, y no puede exportarlas desde los almacenes de claves.

Limite los permisos de eliminación de almacenes a un conjunto mínimo de usuarios utilizando el metaverbo 'use' en lugar de 'manage' en las políticas de IAM. Ejemplo: allow group VaultOperators to use vaults in compartment

Limite al almacenamiento la asignación del almacén y las claves para evitar sustituciones no autorizadas.

Aquí puede ver un ejemplo de patrón común.