Oracle Cloud Infrastructure (OCI)Vault te permite administrar y controlar de forma centralizada el uso de claves y secretos en una amplia gama de servicios y aplicaciones de OCI. OCI Vault es un servicio gestionado seguro y resistente que te permite concentrarte en tus necesidades de cifrado de datos sin preocuparte por tareas administrativas que consumen mucho tiempo, como el aprovisionamiento de hardware, la aplicación de parches de software y la alta disponibilidad.
Key Management utiliza módulos de seguridad de hardware (HSM) que cumplen con la certificación de seguridad de nivel 3 de los Federal Information Processing Standards (FIPS) 140-2, para proteger tus claves. Puedes crear claves de cifrado maestras protegidas por HSM o por software. Con las claves protegidas por HSM, todas las operaciones criptográficas y el almacenamiento de claves están dentro del HSM. Con las claves protegidas por software, tus claves de cifrado se almacenan y procesan en el software, pero están protegidas en reposo con una clave raíz de HSM.
OCI Vault y Oracle Key Vault son dos productos de gestión de claves de Oracle.
OCI Vault—Key Management es un servicio completamente gestionado que proporciona administración centralizada de las claves de cifrado para proteger sus datos almacenados solo en OCI. La visión de Key Management es admitir diferentes tipos de claves de cifrado (simétricas y asimétricas) y un conjunto genérico de cargas de trabajo, incluidas las de Oracle Database TDE y las que no son de base de datos. OCI Vault es el servicio de cifrado nativo de Gen2 Cloud.
Oracle Key Vault proporciona gestión de claves para bases de datos de Oracle habilitadas para TDE que se ejecutan en las instalaciones (que incluyen Oracle Exadata Cloud@Customer y Oracle Autonomous Database—Dedicated) y en OCI, así como gestión de claves para archivos de seguimiento de Oracle GoldenGate cifrados y sistemas de archivos ACFS cifrados.
El cifrado gestionado por Oracle es el predeterminado para muchos servicios de OCI. "Gestionado por Oracle" significa que los datos se cifrarán en reposo con una clave de cifrado y que la gestión del ciclo de vida está controlada por Oracle. Los clientes que no quieran gestionar sus claves de cifrado o acceder a ellas, y estén buscando una forma más sencilla de proteger todos los datos almacenados en OCI pueden elegir el cifrado gestionado por Oracle.
El cifrado gestionado por el cliente lo ofrece el servicio OCI Vault—Key Management en el que el cliente controla y gestiona las claves que protegen sus datos. Además, los clientes que requieren una seguridad elevada y protección de nivel 3 de FIPS 140-2 para mantener el cumplimiento eligen la gestión por el cliente, ya que las claves de cifrado se almacenan en módulos de seguridad de hardware (HSM).
OCI Vault también se define como una agrupación lógica de claves. El almacén de claves debe crearse para poder generar o importar claves.
Existen dos tipos de almacén: Virtual Private Vault y Vault por defecto. El tipo de almacén de claves que cree determina el grado de aislamiento y rendimiento de sus claves. Cada inquilino puede tener desde ninguno hasta múltiples almacenes.
Un almacén privado virtual proporciona una partición dedicada en el HSM (cliente único). Una partición es un límite físico en el HSM que está aislada de otras particiones. El almacén privado virtual proporciona transacciones mejores y constantes por segundo para operaciones criptográficas.
El almacén de claves predeterminado utiliza una partición multicliente, por lo que tiene un nivel moderado de aislamiento.
1. Asegúrate de que los límites de tu arrendamiento permiten la creación del tipo de almacén de claves que pretendes crear.
2. Asegúrate de que se hayan creado las políticas de Oracle Identity and Access Management (IAM) para que la cuenta de usuario tenga los permisos necesarios para crear un almacén de claves. Consulta Referencia de las políticas de IAM para crear una declaración.
3. Para crear por primera vez un almacén de claves, selecciona Security en la consola de Oracle Cloud Infrastructure y después Vault.
Crea un almacén de claves y selecciona entre los dos tipos de almacén disponibles el que mejor se adapte a tus requisitos de aislamiento y procesamiento:
4. Crea las claves maestras de cifrado dentro del almacén. Las claves maestras de cifrado pueden tener uno de dos modos de protección: HSM o software.
5. Asegúrate de que las políticas de IAM para el servicio o la entidad que llaman al almacén de claves dispongan de los permisos necesarios.
Ejemplo: permitir que el servicio objectstorage-us-ashburn-1 utilice claves en el compartimento
Utiliza las claves:
Las operaciones criptográficas también están disponibles en el SDK y la API. Para obtener más detalles, consulta Descripción general de Vault en la documentación.
6. Supervisa tu uso de las operaciones con métricas en la consola y el servicio de Monitoring. Consulta las métricas y las dimensiones.
El límite del almacén privado virtual es 0 de forma predeterminada. El usuario debe solicitar un aumento del límite para usarlo. Una vez que se habilita el almacén privado virtual, el usuario obtiene un límite flexible de 1000 y un límite estricto de 3000 versiones de clave simétrica.
Cuando usa el almacén predeterminado para almacenar sus claves, no se aplican límites. El valor predeterminado es de 10 almacenes con 100 claves por almacén.
Todas las versiones de claves que guardas en un almacén de claves cuentan para este límite, independientemente de que la clave correspondiente esté habilitada o deshabilitada.
Los límites impuestos a OCI Vault se rigen por los límites de servicio de OCI. Se establecen los mismos límites predeterminados para todos los inquilinos. No obstante, los clientes pueden solicitar una ampliación del límite de servicio para las claves guardadas dentro de un almacén siguiendo los pasos que se describen en la sección Solicitar una ampliación del límite de servicio de la documentación de Oracle Cloud Infrastructure. Dado que tanto las claves habilitadas como las deshabilitadas cuentan para el límite, Oracle recomienda eliminar las claves deshabilitadas que ya no utilice.
Al utilizar el servicio Vault, dispones de las siguientes prestaciones de gestión de claves. Para obtener más detalles, consulta Descripción general de Vault en la documentación.
Cuando creas una clave, puedes elegir una forma que indique la longitud de la clave y el algoritmo utilizado con ella. Actualmente, todas las claves siguen el Estándar de cifrado avanzado (AES-GCM) y puedes elegir entre tres longitudes de clave: AES-128, AES-192, y AES-256. Se recomienda utilizar AES-256.
Key Management está disponible en todas las regiones comerciales y gubernamentales de Oracle Cloud Infrastructure.
Sí. Puedes rotar periódicamente las claves según tus necesidades de cumplimiento normativo y gobernanza de seguridad o ad hoc en caso de que se produzca un incidente de seguridad. La rotación periódica de las claves (por ejemplo, cada 90 días) mediante la consola, la API o la CLI limita la cantidad de datos protegidos por una sola clave.
Nota: La rotación de una clave no vuelve a cifrar automáticamente los datos que se cifraron previamente con la versión anterior de la clave; estos datos se volverán a cifrar la próxima vez que el cliente los modifique. Si sospechas que una clave se ha visto comprometida, debes volver a cifrar todos los datos protegidos por esa clave y deshabilitar la versión anterior de la clave.
Sí. Puedes importar una copia de su clave desde tu propia infraestructura de gestión de claves a Vault y usarla con cualquier servicio OCI integrado o desde tus propias aplicaciones.
Sí, pero no inmediatamente. Puedes programar la eliminación y configurar un período de espera de 7 a 30 días. El almacén de claves y todas las claves creadas dentro de él se eliminan al finalizar el período de espera, y todos los datos que estaban protegidos por esas claves dejan de ser accesibles. Después de eliminar un almacén de claves, no se puede recuperar.
Sí, pero no inmediatamente. Puedes programar la eliminación y configurar un período de espera de 7 a 30 días. También puedes deshabilitar una clave, lo que impedirá cualquier operación de cifrado o descifrado que use esa clave.
Puedes enviar datos directamente a las API de Key Management para cifrarlos y descifrarlos con tus claves de cifrado maestras almacenadas en Vault.
Además, puedes cifrar tus datos localmente dentro de tus aplicaciones y servicios OCI mediante un método conocido como cifrado de sobres.
Con el cifrado de sobres, generas y recuperas las claves de cifrado de datos (DEK) de las API de Key Management. Las DEK no se almacenan ni se gestionan en el servicio Key Management, sino que están cifradas por tu clave maestra de cifrado. Tus aplicaciones pueden usar las DEK para cifrar sus datos y almacenar las DEK cifradas junto con los datos. Cuando tus aplicaciones quieran descifrar los datos, deben solicitar el descifrado de la API de Key Management en las DEK cifradas para recuperar las DEK. Después, puede descifrar tus datos localmente con la DEK.
Key Management admite el envío de hasta 4 KB de datos para cifrarlos directamente. Además, el cifrado de sobres puede ofrecer importantes ventajas de rendimiento. Cuando se cifran datos directamente con las API de Key Management, se deben transferir a través de la red. El cifrado de sobres reduce la carga de la red, ya que solo pasan por la red la solicitud y la entrega de las DEK, mucho más pequeñas. La DEK se utiliza localmente en tu aplicación o en el servicio OCI de cifrado, lo que evita la necesidad de enviar todo el bloque de datos.
Oracle utiliza un clúster de nodos y HSM para almacenar réplicas de sus claves en la misma región donde se crearon, lo que nos permite proporcionar un SLA del 99,9% y un SLO del 99,99% para Key Management. Consulta el documento de referencia sobre los servicios de PaaS e IaaS de Oracle en la nube pública (PDF).
Sí. Key Management admite la copia de seguridad y la restauración entre regiones del almacén privado virtual para que las claves se puedan usar en una región diferente a aquella donde fueron creadas. La copia de seguridad y la restauración cumplen con los requisitos de FIPS, ya que no se exportan materiales clave reales, sino un objeto binario que representa el material clave. Las operaciones de restauración solo pueden ocurrir en los HSM gestionados por OCI.
Se te cobra en función del tipo de almacén de claves que se crea.
De forma predeterminada, a tu almacén de claves se le pasarán cobros en función de la cantidad de versiones de clave. Las claves protegidas por software son gratuitas, pero las claves protegidas por HSM se cobran a 50 céntimos por versión de clave. (las primeras 20 versiones de claves son gratuitas).
No obstante, si creas un almacén privado virtual (HSM de cliente único), se te cobrará un precio por hora. El precio se calcula desde el momento de la creación del almacén de claves y continúa hasta que se programe su eliminación. No se te cobrarán las versiones de clave dentro de un almacén privado virtual.
Para obtener más detalles, consulta Precios de Oracle Cloud Security.
No, no se te facturan las claves cuya eliminación ya está programada. Si cancelas la eliminación de Tus claves, se reanuda la facturación.
Cuando solicitas que el servicio cree una clave con un HSM en modo de protección, Key Management almacena la clave y todas las versiones posteriores de la misma en el HSM. El material de claves de texto sin formato nunca se puede ver ni exportar desde el HSM. Con el software en modo de protección, las claves se almacenan en los servidores de Key Management, pero están protegidas en reposo por una clave raíz de HSM.
Solo aquellos usuarios, grupos o servicios a los que autorices a través de una política de IAM pueden usar las claves invocando Key Management para cifrar o descifrar datos.
Sí. Si creas una clave con software en modo de protección, el material de la clave se puede exportar en texto sin formato. Sin embargo, si creas tus claves con HSM en modo de protección, no puedes exportar el material de la clave, ya que la clave nunca sale del HSM. Puedes realizar una copia de seguridad del material de la clave para restaurarlo en la misma región o en una diferente. Sin embargo, esa copia de seguridad no da acceso al material de la clave.