نعتذر عن عدم العثور على مطابقة لبحثكم.

نقترح أن تجرِّب ما يلي للمساعدة في العثور على ما تبحث عنه:

  • تحقق من تهجئة كلماتك الرئيسية التي تبحث عنها.
  • استخدم المرادفات للكلمة الرئيسية التي كتبتها، على سبيل المثال، جرِّب “تطبيق” بدلاً من “برنامج.”
  • ابدأ بحثًا جديدًا.
الاتصال بنا تسجيل الدخول إلى Oracle Cloud

الأسئلة الشائعة عن Key Management

أسئلة عامة

ما المقصود بـ Oracle Cloud Infrastructure Vault-Key Management

مخزن Oracle Cloud Infrastructure (OCI) يتيح لك إدارة استخدام المفاتيح والأسرار والتحكم فيها مركزيًا عبر مجموعة واسعة من خدمات OCI وتطبيقاتها. OCI Vault عبارة عن خدمة مدارة آمنة ومرنة تتيح لك التركيز على احتياجات تشفير البيانات دون القلق بشأن المهام الإدارية المستهلكة للوقت مثل توفير الأجهزة وتصحيح البرامج والتوافر العالي.

تستخدم إدارة المفاتيح وحدات أمان الأجهزة (HSM) التي تفي بمعايير معالجة المعلومات الفيدرالية (FIPS) 140-2 شهادة أمان المستوى الثالث لحماية مفاتيحك. يمكنك إنشاء مفاتيح تشفير رئيسية محمية إما بواسطة HSM أو البرامج. باستخدام مفاتيح HSM المحمية، تكون جميع عمليات التشفير وتخزين المفاتيح داخل HSM. باستخدام المفاتيح المحمية بالبرامج، يتم تخزين مفاتيح التشفير ومعالجتها في البرامج، ولكن يتم تأمينها في أوقات الراحة باستخدام مفتاح جذري من HSM.

ما الفرق بين OCI Vault وOracle Key Vault

OCI Vault وOracle Key Vault هما منتجان رئيسان للإدارة من Oracle.

OCI Vault-Key Management هي خدمة مدارة بالكامل وتوفر إدارة مركزية لمفاتيح التشفير لحماية بياناتك المخزنة فقط في OCI. تتمثل رؤية إدارة المفاتيح في دعم أنواع مختلفة من مفاتيح التشفير - متماثلة وغير متماثلة - ومجموعة عامة من أحمال العمل بما في ذلك Oracle Database TDE وأحمال العمل غير المرتبطة بقاعدة البيانات. OCI Vault هي خدمة تشفير السحابة الأصلية Gen2.

توفر Oracle Key Vault إدارة مفاتيح لقواعد بيانات Oracle التي تدعم TDE تعمل في كل من قواعد البيانات المحلية (التي تتضمن Oracle Exadata Cloud@Customer وOracle Autonomous Database المخصصة) وOCI، بالإضافة إلى إدارة المفاتيح لملفات مسار Oracle GoldenGate المشفرة وأنظمة ملفات ACFS المشفرة.

ما الفرق بين التشفير المُدار بواسطة Oracle والتشفير المُدار بواسطة العميل

Oracle Managed هي التشفير الافتراضي للعديد من خدمات OCI. تعني Oracle Managed أنه سيتم تشفير البيانات في أوقات عدم النشاط من خلال مفتاح تشفير تتحكم Oracle في إدارة دورة حياته. يمكن للعملاء الذين لا يريدون إدارة مفاتيح التشفير الخاصة بهم أو الوصول إليها والبحث عن أسهل طريقة لحماية كل البيانات المخزنة في OCI اختيار تشفير Oracle Managed.

يتم توفير التشفير الذي يديره العميل بواسطة خدمة OCI Vault-Key Management حيث يتحكم العميل في المفاتيح التي تحمي بياناته ويديرها. بالإضافة إلى ذلك، فإن العملاء الذين يحتاجون إلى أمان فائق وحماية FIPS 140-2 من المستوى الثالث لتلبية متطلبات الامتثال، يختارون "إدارة العميل" لأن مفاتيح التشفير يتم تخزينها في وحدات أمان الأجهزة (HSM).

ما الأنواع المختلفة لعزل Vault في OCI Vault—Key Management

يتم تعريف OCI Vault أيضًا على أنها مجموعة منطقية من المفاتيح. يجب إنشاء Vault قبل أن تتمكن من إنشاء أي مفاتيح أو استيرادها.

يوجد نوعان من Vault : Vault الافتراضية الخاصة وVault الافتراضية. يحدد نوع المخازن التي تنشئها درجة العزل والأداء لمفاتيحك. يمكن أن يكون لكل مستأجر قيمة من الصفر إلى العديد من المخازن.

يوفر المخزن الخاص الظاهري قسمًا مخصصًا على HSM (المستأجر الفردي). القسم هو حد مادي على HSM الذي يتم عزله عن الأقسام الأخرى. يوفر المخزن الافتراضي الخاص معاملات أفضل ومتسقة في الثانية لعمليات التشفير.

يستخدم المخزن الافتراضي مقطعًا متعدد العملاء، بحيث يكون له مستوى معتدل من العزل.

طريقة بدء استخدام Vault-Key Management

1- تأكد من أن حدود الإيجار الخاص بك تسمح بتكوين نوع المخزن الذي تنوي تكوينه.

2- تأكد من تكوين سياسات Oracle Identity and Access Management (IAM) لحساب المستخدم للحصول على الأذونات اللازمة لتكوين مخزن. راجع مرجع سياسة IAM لتكوين عبارة.

3- يمكنك أولاً تكوين مخزن عن طريق تحديد الأمان من وحدة تحكم Oracle Cloud Infrastructure، ثم المخزن.

قم بإنشاء مخزن واختيار واحد من نوعي المخزن المتوفرين اللذين يناسبان متطلبات العزل والمعالجة بشكل أفضل:

  • المخزن الخاص الظاهري: اختر مخزن خاص ظاهري إذا كنت بحاجة إلى مزيد من العزلة على HSM ومعالجة مخصصة لعمليات التشفير/فك التشفير.
  • افتراضي (افتراضي): اختر المخزن الافتراضي إذا كنت ترغب في قبول عزل معتدل (تقسيم متعدد العملاء في HSM) والمعالجة المشتركة لعمليات التشفير/فك التشفير.

4- قم بإنشاء مفتاح (مفاتيح) [التشفير الرئيسي] داخل المخزن. يمكن أن يكون لمفاتيح التشفير الرئيسية أحد وضعي الحماية: HSM أو البرامج.

  • مفتاح تشفير رئيسي محمي بواسطة HSM مخزَّن على HSM ولا يمكن تصديره من HSM. تتم جميع عمليات التشفير التي تتضمن المفتاح أيضًا على HSM.
  • يتم تخزين مفتاح تشفير رئيسي محمي بواسطة البرنامج على الخادم ويمكن تصديره من الخادم لإجراء عمليات تشفير على العميل بدلاً من الخادم. أثناء وجوده على القرص، يتم تشفير المفتاح المحمي بالبرامج بواسطة مفتاح رئيسي على HSM.

5- تأكد من أن سياسات IAM للخدمة أو الكيان الذي يستدعي Vault لديها الأذونات اللازمة.

مثال: السماح لـ objectstorage-us-ashburn-1 باستخدام المفاتيح في حاوية الموارد السحابية

استخدم المفتاح (المفاتيح):

  • باستخدام تخزين Oracle Cloud Infrastructure الأصلي: عند إنشاء تخزين (الفترة الزمنية، والملف، والحجم)، يتم تمييزه بعلامة "مفاتيح CUSTOMER-MANAGED للاستخدام من ENCRYPT"، ثم حدد المخزن ومفتاح التشفير الرئيسي. سيتم تشفير البيانات الموجودة في تخزين المستودع/الحجم/الملف باستخدام مفتاح تشفير البيانات الملتف مع مفتاح التشفير الرئيسي في Vault.
  • باستخدام عمليات التشفير، استخدام واجهة سطر الأوامر (CLI) كمثال: تشفير oci kms --key-id --plaintext

تتوفر عمليات التشفير أيضًا في SDK وAPI. لمزيد من التفاصيل، يرجى الاطلاع على نظرة عامة على Vault في الوثائق.

6- مراقبة استخدام العمليات باستخدام المقاييس في وحدة التحكم وخدمة Monitoring. راجع القياسات والأبعاد.

ما الحدود الافتراضية لـ Vault

حد المخزن الافتراضي الخاص هو 0 بشكل افتراضي. يجب على المستخدم طلب زيادة الحد لاستخدامه. بمجرد تمكين المخزن الافتراضي الخاص، يحصل المستخدم على حد مرن يبلغ 1000 وحد ثابت يبلغ 3000 إصدار مفتاح متماثل.

عند استخدام المخزن الافتراضي لتخزين المفاتيح، لا يوجد حد ثابت. القيمة الافتراضية هي 10 مخازن بها 100 مفتاح لكل مخزن.

جميع الإصدارات الأساسية التي تخزنها في جرد المخزن باتجاه هذا الحد، بغض النظر عن المفتاح المقابل الذي يتم تمكينه أو تعطيله.

تخضع الحدود المفروضة على مخزن OCI لحدود خدمة OCI. يتم تعيين الحدود الافتراضية لكل عقود الإيجار. يمكن للعملاء طلب زيادة حد الخدمة للمفاتيح المخزنة داخل مخزن من خلال اتباع الخطوات في طلب زيادة حد الخدمة لوثائق Oracle Cloud Infrastructure. نظرًا لأن المفتاحين ممكَّنين ومعطلين يتم احتسابهما مقابل الحد، توصي Oracle بحذف المفاتيح المعطلة التي لم تعد تستخدمها.

ما الإمكانات التي توفرها OCI Vault-Key Management

تتوفر إمكانات الإدارة الرئيسية التالية عند استخدام خدمة Vault. لمزيد من التفاصيل، يرجى الاطلاع على نظرة عامة على Vault في الوثائق.

  • إنشاء مفاتيح التشفير الخاصة بك التي تحمي بياناتك
  • نظام Bring your own keys
  • أدر مفاتيحك
  • دعم للنسخ الاحتياطي والاستعادة عبر المناطق لمفاتيحك
  • تقييد الأذونات على المفاتيح باستخدام سياسات IAM
  • التكامل مع خدمات OCI الداخلية: Oracle Autonomous Database-مخصص، Oracle Block Storage، تخزين Oracle File، Oracle Object Storage، Streaming ومحرك الحاويات لـ Kubernetes

ما هو شكل/طول المفاتيح التي يمكنني إنشاؤها وتخزينها في Vault-Key Management

عند إنشاء مفتاح، يمكنك اختيار شكل مفتاح يشير إلى طول المفتاح والخوارزمية المستخدمة معه. جميع المفاتيح هي حاليًا معيار التشفير المتقدم (AES - GCM)، ويمكنك الاختيار من بين ثلاثة أطوال مفاتيح: AES-128 وAES-192 وAES-256. AES-256 موصى به.

ما مناطق Oracle Cloud Infrastructure هي Vault-Key Management المتاحة في

تتوفر إدارة المفاتيح في جميع مناطق Oracle Cloud Infrastructure التجارية والحكومية.


إدارة المفاتيح ومخازن المفاتيح

هل يمكنني تدوير مفاتيحي

نعم. يؤدي تدوير المفاتيح بانتظام (على سبيل المثال، كل 90 يومًا) باستخدام وحدة التحكم أو واجهة برمجة التطبيقات أو واجهة سطر الأوامر إلى تقييد كمية البيانات المحمية بواسطة مفتاح واحد. يؤدي تدوير المفاتيح بانتظام (على سبيل المثال، كل 90 يومًا) باستخدام وحدة التحكم أو واجهة برمجة التطبيقات أو واجهة سطر الأوامر إلى تقييد كمية البيانات المحمية بواسطة مفتاح واحد.

ملاحظة: لا يؤدي تدوير مفتاح إلى إعادة تشفير البيانات التي تم تشفيرها مسبقًا باستخدام إصدار المفتاح القديم تلقائيًا؛ حيث تتم إعادة تشفير هذه البيانات في المرة التالية التي يقوم العميل بتعديلها فيها. إذا كنت تشك في أنه قد تم اختراق مفتاح ما، يجب عليك إعادة تشفير كل البيانات المحمية بواسطة هذا المفتاح وتعطيل إصدار المفتاح السابق.

هل يمكنني جلب مفاتيحي الخاصة إلى إدارة Vault-Key

نعم. يمكنك استيراد نسخة من المفتاح من البنية الأساسية لإدارة المفاتيح الخاصة بك إلى Vault واستخدامها مع أي خدمات OCI متكاملة أو من داخل التطبيقات الخاصة بك.

هل يمكنني حذف مخزن

نعم، لكن ليس على الفور. يمكنك جدولة الحذف بتكوين فترة انتظار من 7 إلى 30 يومًا. يتم حذف المخزن وكل المفاتيح التي تم إنشاؤها داخل المخزن في نهاية فترة الانتظار، ولم يعد من الممكن الوصول إلى جميع البيانات التي تمت حمايتها بواسطة هذه المفاتيح. بعد حذف المخزن، لا يمكن استعادته.

هل يمكنني حذف إصدار مفتاح أو مفتاح

نعم، لكن ليس على الفور. يمكنك جدولة الحذف بتكوين فترة انتظار من 7 إلى 30 يومًا. كما يمكنك تعطيل مفتاح لمنع أية عمليات تشفير/فك تشفير باستخدام هذا المفتاح.


استخدام المفاتيح

أين يتم تشفير بياناتي إذا استخدمت OCI Vault-Key Management

يمكنك إرسال البيانات مباشرة إلى واجهات برمجة تطبيقات إدارة المفاتيح لتشفيرها وفك تشفيرها باستخدام مفاتيح التشفير الرئيسية المخزنة في Vault.

يمكنك أيضًا تشفير بياناتك محليًا داخل تطبيقاتك وخدمات OCI باستخدام أسلوب يُعرف باسم تشفير المغلف.

باستخدام تشفير المغلف، يمكنك إنشاء مفاتيح تشفير البيانات (DEK) واسترجاعها من واجهات برمجة تطبيقات إدارة المفاتيح. لا يتم تخزين DEKs أو إدارتها في خدمة إدارة المفاتيح ولكن يتم تشفيرها بواسطة مفتاح التشفير الرئيسي. يمكن لتطبيقاتك استخدام DEK لتشفير بياناتك وتخزين DEK المشفر مع البيانات. عندما تريد تطبيقاتك فك تشفير البيانات، يجب الاتصال بفك التشفير بواجهة برمجة تطبيقات إدارة المفاتيح على DEK المشفر لاسترجاع DEK. يمكنك فك تشفير بياناتك محليًا باستخدام DEK.

لماذا تستخدم تشفير المظروف؟ لماذا لا ترسل البيانات فقط إلى Vault-Key Management للتشفير مباشرةً

تدعم إدارة المفاتيح إرسال ما يصل إلى 4 كيلوبايت من البيانات ليتم تشفيرها مباشرة. بالإضافة إلى ذلك، يمكن أن يوفر تشفير المظروف فوائد أداء كبيرة. عند تشفير البيانات مباشرةً باستخدام واجهات برمجة تطبيقات إدارة المفاتيح، يجب نقلها عبر الشبكة. يعمل تشفير المظروف على تقليل تحميل الشبكة حيث إن طلب DEK الأصغر حجمًا بكثير وتسليمه فقط ينتقل عبر الشبكة. يتم استخدام DEK محليًا في التطبيق أو خدمة OCI المشفرة، مع تجنب الحاجة إلى إرسال كتلة البيانات بأكملها.


التوافر العالي واجراءات مواجهة الكوارث

كيف توفر Oracle توافرًا عاليًا للمفاتيح في منطقة

تستخدم Oracle مجموعة من نقاط التوصيل وأجهزة HSM لتخزين نسخة متماثلة من المفاتيح الخاصة بك في نفس المنطقة التي تم إنشاؤها بها، مما يمكننا من توفير 99.9% من اتفاقية مستوى الخدمة (SLA) و99.99% من اتفاقية مستوى الخدمة (SLO) لإدارة المفاتيح. يرجى الاطلاع على مستند Oracle PaaS وIaaS Public Cloud Services Pillar(PDF).

هل يمكنني نقل مفاتيحي واستخدامها في منطقة تختلف عن مكان إنشائها

نعم. تدعم إدارة المفاتيح النسخ الاحتياطي والاستعادة عبر المناطق لأجل المخزن الخاص الظاهري حتى يمكن استخدام المفاتيح في منطقة مختلفة عن المنطقة التي تم تكوينها بها. يلبي النسخ الاحتياطي والاستعادة متطلبات FIPS حيث لا يتم تصدير المواد الرئيسية الحقيقية، بل يتم تصدير كائن ثنائي يمثل المواد الرئيسية. يمكن أن تتم عمليات الاستعادة فقط لمهام HSM المُدارة بواسطة OCI.


تحرير الفواتير

كيف تتم محاسبتي لاستخدام Vault-Key Management

يتم فرض رسوم عليك استنادًا إلى نوع المخزن الذي تم إنشاؤه.

بشكل افتراضي، يتم فرض رسوم على المخزن استنادًا إلى عدد الإصدارات الرئيسية. المفاتيح المحمية بالبرمجيات مجانية لكن المفاتيح المحمية HSM يتم تحصيل 50 سنتًا لكل إصدار مفتاح. (أول 20 نسخة رئيسية مجانية).

ومع ذلك، إذا قمت بإنشاء Virtual Private Vault (HSM للمستأجر الفردي)، فسيتم التسعير بالساعة. يبدأ التسعير من وقت إنشاء المخزن ويستمر حتى تتم جدولة المخزن ليتم حذفه. لم تتم محاسبتك نظير الإصدارات الأساسية داخل مخزن افتراضي خاص.

لمزيد من التفاصيل، يرجى الرجوع إلى تسعير أمان Oracle Cloud.

هل تمت فوترة المفاتيح الخاصة بي عند جدولتها للحذف؟

لا، لم تتم فوترة المفاتيح المجدولة للحذف. إذا قمت بإلغاء حذف المفاتيح الخاصة بك، فستستأنف الفوترة.


الأمان

كيف يتم تأمين المفاتيح التي أقوم بإنشائها داخل إدارة Vault-Key

عندما تطلب من الخدمة إنشاء مفتاح بنمط الحماية HSM، تقوم إدارة المفاتيح بتخزين المفتاح وكل إصدارات المفاتيح اللاحقة في HSM. لا يمكن عرض أو تصدير مواد مفتاح النص العادي من HSM مطلقًا. باستخدام وضع الحماية البرامج، يتم تخزين المفاتيح على خوادم إدارة المفاتيح ولكنها محمية في أوقات الراحة من خلال مفتاح جذر من HSM.

يمكن للمستخدمين أو المجموعات أو الخدمات التي تعتمدها عن طريق سياسة IAM فقط استخدام المفاتيح عن طريق استدعاء إدارة المفاتيح لتشفير البيانات أو فك تشفيرها.

هل يمكنني تصدير مفتاح قمت بإنشائه في إدارة Vault-Key

نعم. إذا قمت بإنشاء مفتاح بوضع الحماية البرامج، يمكن تصدير المواد الأساسية بنص عادي. ومع ذلك، إذا قمت بإنشاء المفاتيح بوضع الحماية HSM، لا يمكنك تصدير مواد المفتاح لأن المفتاح لا يغادر HSM أبدًا. يمكنك إجراء نسخ احتياطي للمواد الرئيسية لاستعادتها في نفس المنطقة أو في منطقة أخرى. غير أن هذه النسخة الاحتياطية لا تتيح الوصول إلى المواد الرئيسية.