No se han encontrado resultados

Su búsqueda no coincide con ningún resultado.

Le sugerimos que pruebe lo siguiente para poder encontrar lo que está buscando:

  • Verifique la ortografía de su búsqueda de palabras clave.
  • Utilice sinónimos para la palabra clave que escribió; por ejemplo, intente con “aplicación” en lugar de “software”.
  • Pruebe con una de las búsquedas populares que se muestran a continuación.
  • Comience una nueva búsqueda.
Tendencias de preguntas

 

Abrir todo Cerrar todo

    Preguntas generales

  • ¿Qué es Oracle Cloud Infrastructure Vault—Key Management?

    Oracle Cloud Infrastructure (OCI)Vault le permite administrar y controlar de forma centralizada el uso de claves y secretos en una amplia gama de servicios y aplicaciones de OCI. OCI Vault es un servicio gestionado seguro y resistente que le permite concentrarse en sus necesidades de cifrado de datos sin preocuparse por tareas administrativas que consumen mucho tiempo, como el aprovisionamiento de hardware, la aplicación de parches de software y la alta disponibilidad.

    Key Management utiliza módulos de seguridad de hardware (HSM) que cumplen con la certificación de seguridad de nivel 3 de los Federal Information Processing Standards (FIPS) 140-2, para proteger sus claves. Puede crear claves de cifrado maestras protegidas por HSM o por software. Con las claves protegidas por HSM, todas las operaciones criptográficas y el almacenamiento de claves están dentro del HSM. Con las claves protegidas por software, sus claves de cifrado se almacenan y procesan en el software, pero están protegidas en reposo con una clave raíz de HSM.

  • ¿Cuál es la diferencia entre OCI Vault y Oracle Key Vault?

    OCI Vault y Oracle Key Vault son dos productos de gestión de claves de Oracle.

    OCI Vault—Key Management es un servicio completamente gestionado que proporciona administración centralizada de las claves de cifrado para proteger sus datos almacenados solo en OCI. La visión de Key Management es admitir diferentes tipos de claves de cifrado (simétricas y asimétricas) y un conjunto genérico de cargas de trabajo, incluidas las de Oracle Database TDE y las que no son de base de datos. OCI Vault es el servicio de cifrado nativo de Gen2 Cloud.

    Oracle Key Vault proporciona gestión de claves para bases de datos de Oracle habilitadas para TDE que se ejecutan en las instalaciones (que incluyen Oracle Exadata Cloud@Customer y Oracle Autonomous Database—Dedicated) y en OCI, así como gestión de claves para archivos de seguimiento de Oracle GoldenGate cifrados y sistemas de archivos ACFS cifrados.

  • ¿Cuál es la diferencia entre el cifrado gestionado por Oracle y el gestionado por el cliente?

    El cifrado gestionado por Oracle es el predeterminado para muchos servicios de OCI. Gestionado por Oracle significa que los datos se cifrarán en reposo con una clave de cifrado y que la gestión del ciclo de vida está controlada por Oracle. Los clientes que no quieran gestionar a sus claves de cifrado o acceder a ellas, y estén buscando una forma más sencilla de proteger todos los datos almacenados en OCI pueden elegir el cifrado gestionado por Oracle.

    El cifrado gestionado por el cliente lo ofrece el servicio OCI Vault—Key Management en el que el cliente controla y gestiona las claves que protegen sus datos. Además, los clientes que requieren una seguridad elevada y protección de nivel 3 de FIPS 140-2 para mantener el cumplimiento eligen la gestión por el cliente, ya que las claves de cifrado se almacenan en módulos de seguridad de hardware (HSM).

  • ¿Cuáles son los diferentes tipos de aislamiento del almacén de claves en OCI Vault—Key Management?

    OCI Vault también se define como una agrupación lógica de claves. El almacén de claves debe crearse para poder generar o importar claves.

    Hay dos tipos de almacenes de claves: Almacén privado virtual y almacén predeterminado. El tipo de almacén de claves que cree determina el grado de aislamiento y rendimiento de sus claves. Cada cliente puede tener de cero a muchos almacenes.

    Un almacén privado virtual proporciona una partición dedicada en el HSM (cliente único). Una partición es un límite físico en el HSM que está aislada de otras particiones. El almacén privado virtual proporciona transacciones mejores y constantes por segundo para operaciones criptográficas.

    El almacén de claves predeterminado utiliza una partición multicliente, por lo que tiene un nivel moderado de aislamiento.

  • ¿Cómo puedo empezar a usar Vault—Key Management?

    1. Asegúrese de que los límites para su cliente permiten la creación del tipo de almacén de claves que pretende crear.

    2. Asegúrese de que se hayan creado las políticas de Oracle Identity and Access Management (IAM) para que la cuenta de usuario tenga los permisos necesarios para crear un almacén de claves. Consulte Referencia de las políticas de IAM para crear una declaración.

    3. Para crear por primera vez un almacén de claves, seleccione Seguridad en la consola de Oracle Cloud Infrastructure y después Vault.

    Cree un almacén de claves y seleccione entre los dos tipos de almacén disponibles el que mejor se adapte a sus requisitos de aislamiento y procesamiento:

    • Almacén privado virtual: Elija un Almacén privado virtual si necesita mayor aislamiento en el HSM y procesamiento dedicado para las operaciones de cifrado y descifrado.
    • Almacén (predeterminado): Elija el almacén predeterminado si está dispuesto a aceptar un aislamiento moderado (partición multicliente en HSM) y procesamiento compartido para las operaciones de cifrado y descifrado.

    4. Cree las claves maestras de cifrado dentro del almacén. Las claves maestras de cifrado pueden tener uno de dos modos de protección: HSM o software.

    • Una clave maestra de cifrado protegida por un HSM se almacena en un HSM y no se puede exportar desde el HSM. Todas las operaciones criptográficas en las que se utiliza la clave también tienen lugar en el HSM.
    • Una clave maestra de cifrado protegida por software se almacena en un servidor y se puede exportar desde el servidor para realizar operaciones criptográficas en el cliente en lugar de en el servidor. Mientras está en reposo, la clave protegida por software se cifra mediante una clave raíz en el HSM.

    5. Asegúrese de que las políticas de IAM para el servicio o la entidad que llama al almacén de claves dispongan de los permisos necesarios.

    Ejemplo: allow service objectstorage-us-ashburn-1 to use keys in compartment

    Utilice las claves:

    • Con almacenamiento nativo de Oracle Cloud Infrastructure: Al crear el almacenamiento (depósito, archivo y volumen), active “CIFRAR MEDIANTE CLAVES GESTIONADAS POR EL CLIENTE” y luego seleccione el almacén y la clave maestra de cifrado. Los datos de ese depósito/volumen/almacenamiento de archivos se cifrarán con una clave de cifrado de datos encapsulada con la clave maestra de cifrado en el almacén.
    • Con operaciones criptográficas, utilice la interfaz de línea de comandos (CLI) como ejemplo: oci kms crypto encrypt --key-id --plaintext

    Las operaciones criptográficas también están disponibles en el SDK y la API. Para obtener más detalles, consulte Descripción general de Vault en la documentación.

    6. Supervise su uso de las operaciones con métricas en la consola y el servicio Monitoring. Vea las métricas y dimensiones.

  • ¿Cuáles son los límites predeterminados del almacén de claves?

    El límite del almacén privado virtual es 0 de forma predeterminada. El usuario debe solicitar un aumento del límite para usarlo. Una vez que se habilita el almacén privado virtual, el usuario obtiene un límite flexible de 1000 y un límite estricto de 3000 versiones de clave simétrica.

    Cuando usa el almacén predeterminado para almacenar sus claves, no hay ningún límite. El valor predeterminado es 10 almacenes con 100 claves por almacén.

    Todas las versiones de claves que guarda en un almacén de claves cuentan para este límite, independientemente de que la clave correspondiente esté habilitada o deshabilitada.

    Los límites impuestos a OCI Vault se rigen por los límites de servicio de OCI. Los límites predeterminados se establecen para todos los clientes. Pero los clientes pueden solicitar una ampliación del límite de servicio para las claves guardadas dentro de un almacén siguiendo los pasos que se describen en la sección Solicitar una ampliación del límite de servicio de la documentación de Oracle Cloud Infrastructure. Como tanto las claves habilitadas como las deshabilitadas cuentan para el límite, Oracle recomienda eliminar las claves deshabilitadas que ya no utilice.

  • ¿Qué prestaciones ofrece OCI Vault—Key Management?

    Cuando utiliza el servicio Vault, dispone de las siguientes prestaciones de gestión de claves. Para obtener más detalles, consulte Descripción general de Vault en la documentación.

    • Cree sus propias claves de cifrado que protejan sus datos
    • Traiga sus propias claves
    • Rote sus claves
    • Soporte para copia de seguridad y restauración entre regiones para sus claves
    • Restringir los permisos de las claves mediante políticas de IAM
    • Integración con los servicios internos de OCI: Oracle Autonomous Database dedicada: Oracle Block Storage, Oracle File Storage, Oracle Object Storage, Streaming y Container Engine for Kubernetes
  • ¿Qué forma y longitud de claves puedo crear y almacenar en Vault—Key Management?

    Cuando crea una clave, puede elegir una forma que indique la longitud de la clave y el algoritmo utilizado con ella. Actualmente, todas las claves siguen el Estándar de cifrado avanzado (AES-GCM) y puede elegir entre tres longitudes de clave: AES-128, AES-192 y AES-256. Se recomienda utilizar AES-256.

  • ¿En qué regiones de Oracle Cloud Infrastructure está disponible Vault—Key Management?

    Key Management está disponible en todas las regiones comerciales y gubernamentales de Oracle Cloud Infrastructure.

    Gestión de claves y almacenes de claves

  • ¿Puedo rotar mis claves?

    Sí. Puede rotar periódicamente las claves según sus necesidades de cumplimiento normativo y gobernanza de seguridad o ad hoc en caso de que se produzca un incidente de seguridad. La rotación periódica de las claves (por ejemplo, cada 90 días) mediante la consola, la API o la CLI limita la cantidad de datos protegidos por una sola clave.

    Nota: La rotación de una clave no vuelve a cifrar automáticamente los datos que se cifraron previamente con la versión anterior de la clave; se volverán a cifrar la próxima vez que el cliente modifique estos datos. Si sospecha que una clave se ha visto comprometida, debe volver a cifrar todos los datos protegidos por esa clave y deshabilitar la versión anterior de la clave.

  • ¿Puedo traer mis propias claves a Vault—Key Management?

    Sí. Puede importar una copia de su clave desde su propia infraestructura de gestión de claves a Vault y usarla con cualquier servicio OCI integrado o desde sus propias aplicaciones.

  • ¿Puedo eliminar un almacén de claves?

    Sí, pero no inmediatamente. Puede programar la eliminación y configurar un período de espera de 7 a 30 días. El almacén de claves y todas las claves creadas dentro de él se eliminan al finalizar el período de espera, y todos los datos que estaban protegidos por esas claves dejan de ser accesibles. Después de eliminar un almacén de claves, no se puede recuperar.

  • ¿Puedo eliminar una clave o una versión de una clave?

    Sí, pero no inmediatamente. Puede programar la eliminación y configurar un período de espera de 7 a 30 días. También puede deshabilitar una clave, lo que impedirá cualquier operación de cifrado o descifrado que use esa clave.

    Uso de claves

  • ¿Dónde se cifran mis datos si utilizo OCI Vault—Key Management?

    Puede enviar datos directamente a las API de Key Management para cifrarlos y descifrarlos con sus claves de cifrado maestras almacenadas en Vault.

    Además, puede cifrar sus datos localmente dentro de sus aplicaciones y servicios OCI mediante un método conocido como cifrado de sobres.

    Con el cifrado de sobres, usted genera y recupera las claves de cifrado de datos (DEK) de las API de Key Management. Las DEK no se almacenan ni se gestionan en el servicio Key Management, sino que están cifradas por su clave maestra de cifrado. Sus aplicaciones pueden usar las DEK para cifrar sus datos y almacenar las DEK cifradas junto con los datos. Cuando sus aplicaciones quieran descifrar los datos, deben llamar al descifrado de la API de Key Management en las DEK cifradas para recuperar las DEK. Después, puede descifrar sus datos localmente con la DEK.

  • ¿Por qué utilizar el cifrado de sobres? ¿Por qué no basta con enviar los datos a Vault—Key Management para cifrarlos directamente?

    Key Management admite el envío de hasta 4 KB de datos para cifrarlos directamente. Además, el cifrado de sobres puede ofrecer importantes ventajas de rendimiento. Cuando se cifran datos directamente con las API de Key Management, se deben transferir a través de la red. El cifrado de sobres reduce la carga de la red, ya que solo pasan por la red la solicitud y la entrega de las DEK, mucho más pequeñas. La DEK se utiliza localmente en su aplicación o en el servicio OCI de cifrado, lo que evita la necesidad de enviar todo el bloque de datos.

    Alta disponibilidad y recuperación ante desastres

  • ¿Cómo proporciona Oracle alta disponibilidad de las claves en una región?

    Oracle utiliza un clúster de nodos y HSM para almacenar réplicas de sus claves en la misma región donde se crearon, lo que nos permite proporcionar un SLA del 99,9% y un SLO del 99,99% para Key Management. Consulte Servicios de nube públicos Oracle PaaS e IaaS: documento básico.

  • ¿Puedo transferir y usar mis claves en una región diferente de la región donde se crearon?

    Sí. Key Management admite la copia de seguridad y la restauración entre regiones del almacén privado virtual para que las claves se puedan usar en una región diferente a aquella donde fueron creadas. La copia de seguridad y la restauración cumplen con los requisitos de FIPS, ya que no se exportan materiales clave reales, sino un objeto binario que representa el material clave. Las operaciones de restauración solo pueden ocurrir en los HSM gestionados por OCI.

    Facturación

  • ¿Cómo se me cobrará por usar Vault—Key Management?

    Se le cobra según el tipo de almacén de claves que se crea.

    De forma predeterminada, su almacén de claves se cobra según la cantidad de versiones de clave. Las claves protegidas por software son gratuitas, pero las claves protegidas por HSM se cobran a 50 céntimos por versión de clave. (las primeras 20 versiones de clave son gratuitas).

    No obstante, si crea un almacén privado virtual (HSM de cliente único), se le cobrará un precio por hora. El precio se calcula desde el momento de la creación del almacén de claves y continúa hasta que se programe su eliminación. No se le cobran las versiones de clave dentro de un almacén privado virtual.

    Para obtener más detalles, consulte Precios de Oracle Cloud Security.

  • ¿Se me factura por mis claves cuando su eliminación está programada?

    No, no se le facturan las claves que están programadas para su eliminación. Si cancela la eliminación de sus claves, se reanuda la facturación.

    Seguridad

  • ¿Los empleados de Oracle pueden acceder a mi material de claves?

    No.

  • ¿Cómo se protegen las claves que creo dentro de mi Vault—Key Management?

    Cuando solicita que el servicio cree una clave con un HSM en modo de protección, Key Management almacena la clave y todas las versiones posteriores de la misma en el HSM. El material de claves de texto sin formato nunca se puede ver ni exportar desde el HSM. Con el software en modo de protección, las claves se almacenan en los servidores de Key Management, pero están protegidas en reposo por una clave raíz de HSM.

    Solo aquellos usuarios, grupos o servicios a los que usted autorice a través de una política de IAM pueden usar las claves invocando Key Management para cifrar o descifrar datos.

  • ¿Puedo exportar una clave que creé en Vault—Key Management?

    Sí. Si crea una clave con software en modo de protección, el material de la clave se puede exportar en texto sin formato. Sin embargo, si crea sus claves con HSM en modo de protección, no puede exportar el material de la clave, ya que la clave nunca sale del HSM. Puede realizar una copia de seguridad del material de la clave para restaurarlo en la misma región o en una diferente. Sin embargo, esa copia de seguridad no da acceso al material de la clave.