مخزن Oracle Cloud Infrastructure (OCI) يتيح لك إدارة استخدام المفاتيح والأسرار والتحكم فيها مركزيًا عبر مجموعة واسعة من خدمات OCI وتطبيقاتها. OCI Vault عبارة عن خدمة مدارة آمنة ومرنة تتيح لك التركيز على احتياجات تشفير البيانات دون القلق بشأن المهام الإدارية المستهلكة للوقت مثل توفير الأجهزة وتصحيح البرامج والتوافر العالي.
تستخدم إدارة المفاتيح وحدات أمان الأجهزة (HSM) التي تفي بمعايير معالجة المعلومات الفيدرالية (FIPS) 140-2 شهادة أمان المستوى الثالث لحماية مفاتيحك. يمكنك إنشاء مفاتيح تشفير رئيسية محمية إما بواسطة HSM أو البرامج. باستخدام مفاتيح HSM المحمية، تكون جميع عمليات التشفير وتخزين المفاتيح داخل HSM. باستخدام المفاتيح المحمية بالبرامج، يتم تخزين مفاتيح التشفير ومعالجتها في البرامج، ولكن يتم تأمينها في أوقات الراحة باستخدام مفتاح جذري من HSM.
OCI Vault وOracle Key Vault هما منتجان رئيسان للإدارة من Oracle.
OCI Vault-Key Management هي خدمة مدارة بالكامل وتوفر إدارة مركزية لمفاتيح التشفير لحماية بياناتك المخزنة فقط في OCI. تتمثل رؤية إدارة المفاتيح في دعم أنواع مختلفة من مفاتيح التشفير - متماثلة وغير متماثلة - ومجموعة عامة من أحمال العمل بما في ذلك Oracle Database TDE وأحمال العمل غير المرتبطة بقاعدة البيانات. OCI Vault هي خدمة تشفير السحابة الأصلية Gen2.
توفر Oracle Key Vault إدارة مفاتيح لقواعد بيانات Oracle التي تدعم TDE تعمل في كل من قواعد البيانات المحلية (التي تتضمن Oracle Exadata Cloud@Customer وOracle Autonomous Database المخصصة) وOCI، بالإضافة إلى إدارة المفاتيح لملفات مسار Oracle GoldenGate المشفرة وأنظمة ملفات ACFS المشفرة.
Oracle Managed هي التشفير الافتراضي للعديد من خدمات OCI. تعني Oracle Managed أنه سيتم تشفير البيانات في أوقات عدم النشاط من خلال مفتاح تشفير تتحكم Oracle في إدارة دورة حياته. يمكن للعملاء الذين لا يريدون إدارة مفاتيح التشفير الخاصة بهم أو الوصول إليها والبحث عن أسهل طريقة لحماية كل البيانات المخزنة في OCI اختيار تشفير Oracle Managed.
يتم توفير التشفير الذي يديره العميل بواسطة خدمة OCI Vault-Key Management حيث يتحكم العميل في المفاتيح التي تحمي بياناته ويديرها. بالإضافة إلى ذلك، فإن العملاء الذين يحتاجون إلى أمان فائق وحماية FIPS 140-2 من المستوى الثالث لتلبية متطلبات الامتثال، يختارون "إدارة العميل" لأن مفاتيح التشفير يتم تخزينها في وحدات أمان الأجهزة (HSM).
يتم تعريف OCI Vault أيضًا على أنها مجموعة منطقية من المفاتيح. يجب إنشاء Vault قبل أن تتمكن من إنشاء أي مفاتيح أو استيرادها.
يوجد نوعان من Vault : Vault الافتراضية الخاصة وVault الافتراضية. يحدد نوع المخازن التي تنشئها درجة العزل والأداء لمفاتيحك. يمكن أن يكون لكل مستأجر قيمة من الصفر إلى العديد من المخازن.
يوفر المخزن الخاص الظاهري قسمًا مخصصًا على HSM (المستأجر الفردي). القسم هو حد مادي على HSM الذي يتم عزله عن الأقسام الأخرى. يوفر المخزن الافتراضي الخاص معاملات أفضل ومتسقة في الثانية لعمليات التشفير.
يستخدم المخزن الافتراضي مقطعًا متعدد العملاء، بحيث يكون له مستوى معتدل من العزل.
1- تأكد من أن حدود الإيجار الخاص بك تسمح بتكوين نوع المخزن الذي تنوي تكوينه.
2- تأكد من تكوين سياسات Oracle Identity and Access Management (IAM) لحساب المستخدم للحصول على الأذونات اللازمة لتكوين مخزن. راجع مرجع سياسة IAM لتكوين عبارة.
3- يمكنك أولاً تكوين مخزن عن طريق تحديد الأمان من وحدة تحكم Oracle Cloud Infrastructure، ثم المخزن.
قم بإنشاء مخزن واختيار واحد من نوعي المخزن المتوفرين اللذين يناسبان متطلبات العزل والمعالجة بشكل أفضل:
4- قم بإنشاء مفتاح (مفاتيح) [التشفير الرئيسي] داخل المخزن. يمكن أن يكون لمفاتيح التشفير الرئيسية أحد وضعي الحماية: HSM أو البرامج.
5- تأكد من أن سياسات IAM للخدمة أو الكيان الذي يستدعي Vault لديها الأذونات اللازمة.
مثال: السماح لـ objectstorage-us-ashburn-1 باستخدام المفاتيح في حاوية الموارد السحابية
استخدم المفتاح (المفاتيح):
تتوفر عمليات التشفير أيضًا في SDK وAPI. لمزيد من التفاصيل، يرجى الاطلاع على نظرة عامة على Vault في الوثائق.
6- مراقبة استخدام العمليات باستخدام المقاييس في وحدة التحكم وخدمة Monitoring. راجع القياسات والأبعاد.
حد المخزن الافتراضي الخاص هو 0 بشكل افتراضي. يجب على المستخدم طلب زيادة الحد لاستخدامه. بمجرد تمكين المخزن الافتراضي الخاص، يحصل المستخدم على حد مرن يبلغ 1000 وحد ثابت يبلغ 3000 إصدار مفتاح متماثل.
عند استخدام المخزن الافتراضي لتخزين المفاتيح، لا يوجد حد ثابت. القيمة الافتراضية هي 10 مخازن بها 100 مفتاح لكل مخزن.
جميع الإصدارات الأساسية التي تخزنها في جرد المخزن باتجاه هذا الحد، بغض النظر عن المفتاح المقابل الذي يتم تمكينه أو تعطيله.
تخضع الحدود المفروضة على مخزن OCI لحدود خدمة OCI. يتم تعيين الحدود الافتراضية لكل عقود الإيجار. يمكن للعملاء طلب زيادة حد الخدمة للمفاتيح المخزنة داخل مخزن من خلال اتباع الخطوات في طلب زيادة حد الخدمة لوثائق Oracle Cloud Infrastructure. نظرًا لأن المفتاحين ممكَّنين ومعطلين يتم احتسابهما مقابل الحد، توصي Oracle بحذف المفاتيح المعطلة التي لم تعد تستخدمها.
تتوفر إمكانات الإدارة الرئيسية التالية عند استخدام خدمة Vault. لمزيد من التفاصيل، يرجى الاطلاع على نظرة عامة على Vault في الوثائق.
عند إنشاء مفتاح، يمكنك اختيار شكل مفتاح يشير إلى طول المفتاح والخوارزمية المستخدمة معه. جميع المفاتيح هي حاليًا معيار التشفير المتقدم (AES - GCM)، ويمكنك الاختيار من بين ثلاثة أطوال مفاتيح: AES-128 وAES-192 وAES-256. AES-256 موصى به.
تتوفر إدارة المفاتيح في جميع مناطق Oracle Cloud Infrastructure التجارية والحكومية.
نعم. يؤدي تدوير المفاتيح بانتظام (على سبيل المثال، كل 90 يومًا) باستخدام وحدة التحكم أو واجهة برمجة التطبيقات أو واجهة سطر الأوامر إلى تقييد كمية البيانات المحمية بواسطة مفتاح واحد. يؤدي تدوير المفاتيح بانتظام (على سبيل المثال، كل 90 يومًا) باستخدام وحدة التحكم أو واجهة برمجة التطبيقات أو واجهة سطر الأوامر إلى تقييد كمية البيانات المحمية بواسطة مفتاح واحد.
ملاحظة: لا يؤدي تدوير مفتاح إلى إعادة تشفير البيانات التي تم تشفيرها مسبقًا باستخدام إصدار المفتاح القديم تلقائيًا؛ حيث تتم إعادة تشفير هذه البيانات في المرة التالية التي يقوم العميل بتعديلها فيها. إذا كنت تشك في أنه قد تم اختراق مفتاح ما، يجب عليك إعادة تشفير كل البيانات المحمية بواسطة هذا المفتاح وتعطيل إصدار المفتاح السابق.
نعم. يمكنك استيراد نسخة من المفتاح من البنية الأساسية لإدارة المفاتيح الخاصة بك إلى Vault واستخدامها مع أي خدمات OCI متكاملة أو من داخل التطبيقات الخاصة بك.
نعم، لكن ليس على الفور. يمكنك جدولة الحذف بتكوين فترة انتظار من 7 إلى 30 يومًا. يتم حذف المخزن وكل المفاتيح التي تم إنشاؤها داخل المخزن في نهاية فترة الانتظار، ولم يعد من الممكن الوصول إلى جميع البيانات التي تمت حمايتها بواسطة هذه المفاتيح. بعد حذف المخزن، لا يمكن استعادته.
نعم، لكن ليس على الفور. يمكنك جدولة الحذف بتكوين فترة انتظار من 7 إلى 30 يومًا. كما يمكنك تعطيل مفتاح لمنع أية عمليات تشفير/فك تشفير باستخدام هذا المفتاح.
يمكنك إرسال البيانات مباشرة إلى واجهات برمجة تطبيقات إدارة المفاتيح لتشفيرها وفك تشفيرها باستخدام مفاتيح التشفير الرئيسية المخزنة في Vault.
يمكنك أيضًا تشفير بياناتك محليًا داخل تطبيقاتك وخدمات OCI باستخدام أسلوب يُعرف باسم تشفير المغلف.
باستخدام تشفير المغلف، يمكنك إنشاء مفاتيح تشفير البيانات (DEK) واسترجاعها من واجهات برمجة تطبيقات إدارة المفاتيح. لا يتم تخزين DEKs أو إدارتها في خدمة إدارة المفاتيح ولكن يتم تشفيرها بواسطة مفتاح التشفير الرئيسي. يمكن لتطبيقاتك استخدام DEK لتشفير بياناتك وتخزين DEK المشفر مع البيانات. عندما تريد تطبيقاتك فك تشفير البيانات، يجب الاتصال بفك التشفير بواجهة برمجة تطبيقات إدارة المفاتيح على DEK المشفر لاسترجاع DEK. يمكنك فك تشفير بياناتك محليًا باستخدام DEK.
تدعم إدارة المفاتيح إرسال ما يصل إلى 4 كيلوبايت من البيانات ليتم تشفيرها مباشرة. بالإضافة إلى ذلك، يمكن أن يوفر تشفير المظروف فوائد أداء كبيرة. عند تشفير البيانات مباشرةً باستخدام واجهات برمجة تطبيقات إدارة المفاتيح، يجب نقلها عبر الشبكة. يعمل تشفير المظروف على تقليل تحميل الشبكة حيث إن طلب DEK الأصغر حجمًا بكثير وتسليمه فقط ينتقل عبر الشبكة. يتم استخدام DEK محليًا في التطبيق أو خدمة OCI المشفرة، مع تجنب الحاجة إلى إرسال كتلة البيانات بأكملها.
تستخدم Oracle مجموعة من نقاط التوصيل وأجهزة HSM لتخزين نسخة متماثلة من المفاتيح الخاصة بك في نفس المنطقة التي تم إنشاؤها بها، مما يمكننا من توفير 99.9% من اتفاقية مستوى الخدمة (SLA) و99.99% من اتفاقية مستوى الخدمة (SLO) لإدارة المفاتيح. يرجى الاطلاع على مستند Oracle PaaS وIaaS Public Cloud Services Pillar(PDF).
نعم. تدعم إدارة المفاتيح النسخ الاحتياطي والاستعادة عبر المناطق لأجل المخزن الخاص الظاهري حتى يمكن استخدام المفاتيح في منطقة مختلفة عن المنطقة التي تم تكوينها بها. يلبي النسخ الاحتياطي والاستعادة متطلبات FIPS حيث لا يتم تصدير المواد الرئيسية الحقيقية، بل يتم تصدير كائن ثنائي يمثل المواد الرئيسية. يمكن أن تتم عمليات الاستعادة فقط لمهام HSM المُدارة بواسطة OCI.
يتم فرض رسوم عليك استنادًا إلى نوع المخزن الذي تم إنشاؤه.
بشكل افتراضي، يتم فرض رسوم على المخزن استنادًا إلى عدد الإصدارات الرئيسية. المفاتيح المحمية بالبرمجيات مجانية لكن المفاتيح المحمية HSM يتم تحصيل 50 سنتًا لكل إصدار مفتاح. (أول 20 نسخة رئيسية مجانية).
ومع ذلك، إذا قمت بإنشاء Virtual Private Vault (HSM للمستأجر الفردي)، فسيتم التسعير بالساعة. يبدأ التسعير من وقت إنشاء المخزن ويستمر حتى تتم جدولة المخزن ليتم حذفه. لم تتم محاسبتك نظير الإصدارات الأساسية داخل مخزن افتراضي خاص.
لمزيد من التفاصيل، يرجى الرجوع إلى تسعير أمان Oracle Cloud.
لا، لم تتم فوترة المفاتيح المجدولة للحذف. إذا قمت بإلغاء حذف المفاتيح الخاصة بك، فستستأنف الفوترة.
عندما تطلب من الخدمة إنشاء مفتاح بنمط الحماية HSM، تقوم إدارة المفاتيح بتخزين المفتاح وكل إصدارات المفاتيح اللاحقة في HSM. لا يمكن عرض أو تصدير مواد مفتاح النص العادي من HSM مطلقًا. باستخدام وضع الحماية البرامج، يتم تخزين المفاتيح على خوادم إدارة المفاتيح ولكنها محمية في أوقات الراحة من خلال مفتاح جذر من HSM.
يمكن للمستخدمين أو المجموعات أو الخدمات التي تعتمدها عن طريق سياسة IAM فقط استخدام المفاتيح عن طريق استدعاء إدارة المفاتيح لتشفير البيانات أو فك تشفيرها.
نعم. إذا قمت بإنشاء مفتاح بوضع الحماية البرامج، يمكن تصدير المواد الأساسية بنص عادي. ومع ذلك، إذا قمت بإنشاء المفاتيح بوضع الحماية HSM، لا يمكنك تصدير مواد المفتاح لأن المفتاح لا يغادر HSM أبدًا. يمكنك إجراء نسخ احتياطي للمواد الرئيسية لاستعادتها في نفس المنطقة أو في منطقة أخرى. غير أن هذه النسخة الاحتياطية لا تتيح الوصول إلى المواد الرئيسية.