Key Management 常見問題
一般問題
什麼是 Oracle Cloud Infrastructure Key Management Service (KMS)?
Oracle Cloud Infrastructure (OCI) Key Management Service (KMS) 是一項雲端服務,可為儲存在 OCI 中的資料集中管理及控制加密金鑰。OCI KMS 是客戶管理的加密,提供下列服務:
- OCI Vault :OCI Vault 是客戶管理的加密服務,可讓您在 Oracle 管理和管理 HSM 時,控制 OCI 硬體安全模組 (HSM) 中代管的金鑰。OCI Vault 提供下列選項:
- 虛擬保存庫:Virtual Vault 是一種多租用戶加密服務,可將金鑰儲存在其他客戶的 HSM 分割區中。它是 OCI Vault 中的預設加密服務。
- Private Vault:Private Vault 是一種單一租用戶加密服務,可將金鑰儲存在專用的 HSM 分割區中,並具有與租用戶隔離的專用核心。
- OCI 專用 KMS :OCI 專用 KMS 是單一用戶 HSM 分割區即服務,提供完全隔離的環境以儲存及管理加密金鑰。Private Vault 和 OCI Dedicated KMS 之間的差異在於控制 HSM 分割區的方式。透過 OCI Dedicated KMS,您可以控制和申請 HSM 分割區的所有權,並使用諸如 PKCS#11 等標準介面來執行加密作業。Oracle 仍然會管理這些 HSM 分割區以進行安全和韌體修補。
- OCI 外部 KMS :外部 KMS 可讓您使用自己的第三方金鑰管理系統來保護 OCI 服務中的資料。您可以控制 OCI 外部的金鑰和 HSM,並負責管理和管理這些 HSM。您的主要金鑰一律儲存在 OCI 外部,且一律不會匯入 OCI 外部 KMS,因此加密和解密作業會在 OCI 外部進行。
若要深入瞭解 OCI 加密方案,請參閱此部落格。
OCI KMS 滿足哪些安全與規範需求?
OCI KMS 使用符合 Federal Information Processing Standards (FIPS) 140-2 Security Level 3 安全認證的 HSM 來保護您的金鑰。FIPS 憑證可在此處的 NIST Cryptographic Module Validation Program (CMVP) 網站上取得。
OCI KMS 已通過功能和安全控制驗證,可協助您滿足 PCI DSS 3.2.1 (主要在第 3.5 和 3.6 節中參照) 的加密和金鑰管理需求。
OCI KMS 支援哪些功能或功能?
OCI KMS 支援各種功能,可讓您控制金鑰,並確保為 OCI 服務中的資料提供必要的安全保護。以下是 OCI KMS 內不同服務的重要功能矩陣。
| 能力 | 虛擬保存庫 | 專用保存庫 | 專用 KMS | 外部 KMS |
|---|---|---|---|---|
| FIPS 140-2 等級 3 HSM | 是 | 是 | 是 | 外部 |
| 對稱 (AES) 加密 | 是 | 是 | 是 | 是 |
| 非對稱 (RSA 和 ECDSA) 加密 | 是 | 是 | 是 | 否 |
| 軟體金鑰 | 是 | 是 | 否 | 外部 |
| 備份 / 還原 | 否 | 是 | 是 | 否 |
| 跨區域複寫 | 是 | 是 | 否 | 否 |
| 自備金鑰 | 是 | 是 | 是 | 外部 |
| OCI Services 整合 (儲存、資料庫、SaaS) | 是 | 是 | 否 | 是 |
| 自動輪換金鑰 | 即將上市 | 是 | 否 | 否 |
| 稽核記錄 | 是 | 是 | 是 | 是 |
| 排定的刪除 | 是 | 是 | 是 | 是 |
Oracle 如何在區域中提供金鑰的高可用性?我的金鑰儲存在哪些地理區域?
Oracle 使用一組節點和 HSM 將金鑰複本儲存在建立所在的相同區域中,讓我們能夠提供 99.9% 服務層次協議 (SLA) 和 99.99% 服務層次目標 (SLO) 以進行金鑰管理。請參閱 Oracle PaaS and IaaS Public Cloud Services 重要說明文件。
金鑰只會儲存在建立它的區域中並使用。若要將金鑰備份 / 複製到範圍中的另一個區域,以符合規範或 DR 需求,您可以使用跨區域備份和回復或跨區域複製。
OCI KMS 和 Oracle Key Vault (OKV) 有何差異?
OCI KMS 是一項雲端原生金鑰管理服務,Oracle 針對您的所有雲端應用程式提供建議。OCI KMS 原生整合至許多與儲存、資料庫和 SaaS 服務 (例如 FA) 相關的 OCI 服務。如果您在 Oracle Cloud 中尋找集中式金鑰管理,並為所有具有隨用隨付定價結構的雲端應用程式提供託管服務,則 OCI KMS 是 Oracle 建議的其中一項。
Oracle Key Vault 是 Oracle 的另一個金鑰管理產品。Oracle Key Vault 可為在內部部署 (包括 Oracle Exadata Cloud@Customer 和 Oracle Autonomous AI Database — Dedicated) 和 OCI 中執行的 TDE 啟用 Oracle 資料庫提供金鑰管理,以及對加密 Oracle GoldenGate 歷程檔和加密 Oracle Automatic Storage Management Cluster File Systems 執行金鑰管理。
OCI KMS 存在哪些 OCI 區域,以及哪裡可以找到 OCI KMS 的資源?
OCI KMS 適用於所有 OCI 區域和領域,包括 Government、EU Sovereign Cloud、Oracle National Security Regions 和 OCI Dedicated Region Cloud@Customer。您可以在我們的文件和部落格中深入瞭解區域可用性和 OCI KMS 產品。
Vault
什麼是 OCI Vault?
OCI Vault 是一項安全、彈性的完全託管服務,可讓您專注於資料加密需求,無須擔心達成高可用性 (例如硬體佈建和軟體修補) 所需的耗時管理工作。Vault 使用符合 Federal Information Processing Standards (FIPS) 140-2 Security Level 3 安全認證的 HSM 來保護金鑰。OCI Vault 是 Oracle 的原生 Gen 2 Cloud 加密服務。
保存庫支援不同類型的加密金鑰 (對稱式 (AES 金鑰) 和非對稱式 (RSA 和 ECDSA 金鑰),以及一組一般工作負載,包括 Oracle Exadata Cloud Service、Oracle Autonomous AI Database、Oracle AI Database 中的通透資料加密,以及非資料庫工作負載。
OCI 保存庫有兩種類型:專用保存庫和預設虛擬保存庫。您建立的金鑰保存庫類型決定金鑰的隔離程度和效能。每個租戶可以擁有零至多個 Vault。
Private Vault 提供 HSM (單一用戶) 上的專用分割區。分割區是 HSM 上的實體邊界,隔離於其他分割區。Private Vault 為加密作業提供每秒更好的一致交易。這些是單一租用戶 HSM。專用保存庫也有其他功能,例如跨區域複寫、跨區域備份及金鑰回復。
預設的虛擬金鑰保存庫使用多租用戶分割區,提供中等的隔離層次。
這兩種金鑰保存庫選項都可讓您以下列其中一種方式建立儲存的主要加密金鑰:
- HSM 金鑰:受 HSM 保護的主加密金鑰會儲存在 HSM 中,且無法從 HSM 匯出。涉及金鑰的所有加密作業也會在 HSM 上發生。這些金鑰符合 FIPS 等級 3 標準。
- 軟體金鑰:受軟體保護的主要加密金鑰會儲存在伺服器上,並且可以從伺服器匯出,以便在從屬端 (而非伺服器) 上執行加密作業。在靜態時,軟體保護金鑰會使用 HSM 上的根金鑰加密。這些金鑰符合 FIPS 等級 1 標準。
OCI Vault 提供哪些功能?
使用 OCI Vault 時,可使用以下金鑰管理功能:
- 建立保護資料的專屬加密金鑰
- 使用自己的金鑰
- 輪換金鑰
- 使用非對稱金鑰,以簽署和驗證作業來建立和驗證數位簽章
- 支援跨區域備份和還原保存庫和金鑰 (僅限 Private Vault)
- 支援跨區域複寫保存庫和金鑰 (僅限專用保存庫)
- 暫時停用金鑰以保護資料
- 排定刪除不再使用的金鑰和保存庫
- 使用 OCI IAM 原則,限制對金鑰和保存庫的管理和使用權限。
- 使用 Oracle Audit 和 Database Firewall 監控金鑰和保存庫生命週期狀態
- 與 OCI 內部服務的無縫整合:Oracle Exadata Cloud Service、Oracle Autonomous AI Database — Dedicated 和 Oracle Cloud Infrastructure (OCI) Block Storage、File Storage、Object Storage、Streaming 和 Container Engine for Kubernetes。
在 OCI Vault 中,您可以建立進階加密標準 (AES-GCM)、Rivest-Shamir-Adleman (RSA) 和橢圓曲線數位簽章演算法 (ECDSA) 金鑰。對於 AES 關鍵碼,您可以從三個關鍵長度中進行選擇:AES-128、AES-192 與 AES-256。建議使用 AES-256。OCI Vault 支援下列非對稱金鑰類型:RSA 2048、RSA 3072、RSA 4096、NIST P-256、NIST P384 和 ECC_NIST521。
您可以建立並使用 AES 對稱金鑰和 RSA 非對稱金鑰來進行加密和解密。您也可以使用 RSA 或 ECDSA 非對稱金鑰來簽署數位訊息。
如需詳細資訊及要開始使用,請參閱 OCI Vault 簡介。
如果使用 OCI Vault,資料在哪裡會經過加密?
您可以直接將資料提交到金鑰管理 API,然後使用保存庫中儲存的主要加密金鑰加密和解碼。此外,您還可使用稱為信封加密的方法,在應用程式和 OCI 服務的本機內加密資料。
使用信封加密,您可以產生和擷取金鑰管理 API 的資料加密金鑰 (DEK)。DEK 並未在金鑰管理服務中儲存或管理,但是由主要加密金鑰加密。您的應用程式可使用 DEK 來加密資料,並將加密的 DEK 和資料一起儲存。當您的應用程式想要解密資料時,您應該將加密的 DEK 上的金鑰管理 API 呼叫解密,以擷取 DEK。您可以使用 DEK 在本機解密資料。
為什麼要使用信封加密?為什麼不只是將資料直接傳送到 OCI Key Management Service 和 OCI Vault 進行加密?
金鑰管理程式支援直接進行加密,最多可傳送 4 KB 的資料。此外,信封加密也可以提供顯著的效能。當您使用金鑰管理 API 直接加密資料時,必須透過網路傳輸。Envelope 加密可減少網路負載,因為只使用網路傳送較小 DEK 的請求和傳遞。DEK 是在您的應用程式本機使用或加密 OCI 服務,不需要傳送整個資料區塊。
是否可以將自己的金鑰 (BYOK) 引入 OCI Vault?
有。您可以將金鑰的副本從自己的金鑰管理基礎架構匯入 OCI 保存庫,然後將它用於任何整合的 OCI 服務,或是從您自己的應用程式內。您可以匯入金鑰的所有演算法:AES、RSA 和 ECDSA 金鑰。支援匯入兩種類型的金鑰 - HSM 和軟體金鑰。注意:您無法從 HSM 匯出 HSM 金鑰。
我可以輪換金鑰嗎?
有。您可以定期輪換按鍵,以符合安全性治理與法規遵循需求,或在安全事件發生時執行特別動作。使用主控台、API 或 CLI 定期輪換金鑰 (例如每隔 90 天),以限制單一金鑰保護的資料量。
注意:輪換金鑰並不會自動將先前以舊金鑰版本加密的資料重新加密;客戶下次修改此資料時才會重新加密。若您懷疑金鑰外洩,則應該對所有由該金鑰保護的資料重新加密,並停用先前的金鑰版本。
是否可以刪除保存庫或金鑰?
可以,但無法立即刪除。您可以設定 7 到 30 天的等候期,排定刪除 Vault、金鑰或金鑰版本。
進行保存庫刪除時,系統會在等待期間結束時刪除保存庫和保存庫內建立的所有索引鍵,不再存取受這些索引鍵保護的資料。刪除金鑰保存庫之後,即無法予以復原。
您也可以停用金鑰,讓該金鑰無法進行任何加密 / 解密作業。
我可以在像建立鑰匙一樣的區域內傳輸和使用鑰匙嗎?
有。保存庫支援跨區域複寫金鑰與保存庫。您可以將私有金鑰保存庫從某個區域複寫到另一個區域,讓它們及其包含的金鑰符合合規性要求或改善延遲。
當您設定專用保存庫的跨區域複寫時,保存庫服務會自動同步起始保存庫與一個目的地區域中保存庫之間的任何金鑰或金鑰版本的建立、刪除、更新或移動。服務從中複製資料的 Vault 稱為來源 Vault。服務從來源 Vault 複製資料的目標區域中的 Vault 稱為 Vault 複本。此服務支援針對目的地區域中的保存庫和金鑰進行加密作業。
OCI Vault 也支援 Private Vault 的跨區域備份與還原,讓金鑰與建立位置不同的區域中使用。備份與回復會滿足 FIPS 需求,因為不會匯出真正的金鑰資料,而是代表主要資料的二進位物件。只能對 OCI 管理的 HSM 執行回復作業。
使用 OCI Key Management Service 和 OCI Vault 的收費方式為何?
系統會根據您建立的保存庫類型向您收取費用。
根據預設,您的 Vault 會根據金鑰版本數目來收費。軟體保護金鑰是免費的,但 HSM 保護的金鑰在每個金鑰版本中都收取 53 美分。(前 20 個金鑰版本是免費的)。不過,如果您建立了 Private Vault (單租用戶 HSM),則每小時計費。定價從建立 Vault 的時間開始,並繼續直到排定刪除 Vault 為止。您無須為 Private Vault 內的金鑰版本付費。
您不會根據對保存庫的 API 要求數目以及對服務進行任何管理或加密作業的金鑰計費。
如需詳細資訊,請參考 Oracle Cloud 安全價格。
排定刪除的金鑰:不會向您收取排定刪除的金鑰費用。如果您取消刪除金鑰,帳單就會繼續。
OCI Vault 有哪些預設限制?
依預設,Private Vault 的限制為 0。使用者應要求提高限度才能使用。啟用私有金鑰保存庫後,使用者會獲得 1,000 個寬鬆限制,以及 3,000 個對稱金鑰版本的嚴格限制。
使用預設的虛擬保存庫來儲存金鑰時,沒有嚴格限制。預設為 10 個 Vault,每個 Vault 有 100 個機碼。
不論是否已啟用或停用對應的金鑰,您儲存在 Vault 中的所有金鑰版本都會計入此限制。
對 OCI Vault 所施加的限制是由 OCI 服務限制所管理。已為所有租用戶設定預設限制。客戶可以依照 Oracle Cloud Infrastructure 文件中此處所述的步驟,為儲存在金鑰保存庫中的金鑰要求提高服務限額。由於啟用或停用的按鍵均計入限制,Oracle 建議刪除您不再使用的已停用按鍵。
誰可以使用和管理 OCI 保存庫中的金鑰,以及誰可以變更金鑰和保存庫的生命週期狀態?
使用 OCI 金鑰管理服務來加密或解密資料時,只有您透過 OCI IAM 原則授權的使用者、群組或服務才能管理及使用金鑰。您可以強制執行微點使用和管理原則,為特定使用者提供特定權限。
若要追蹤生命週期狀態變更,您可以使用 OCI Audit 中的日誌,此日誌將會顯示您租用戶中所有保存庫、金鑰或金鑰版本的所有 OCI 保存庫管理要求詳細資訊,例如建立、輪換、停用等等。
專用金鑰管理服務
什麼是 OCI Dedicated KMS?
OCI Dedicated KMS 是一項完全託管的服務,可在您的 OCI 帳戶中提供單一租用戶硬體安全模組 (HSM) 分割區。您可以獨佔地控制加密金鑰和儲存加密金鑰的 HSM 分割區,讓您對金鑰管理有更大的控制權。OCI Dedicated KMS 的主要優點是什麼?
- 精細控制:管理 HSM 環境中的關鍵生命週期、使用者存取和安全原則。
- 直接 HSM 互動:應用程式會透過 PKCS#11 直接存取 HSM,略過 OCI API 以提高效率。
- 規範:使用通過 FIPS 140-2 Level 3 認證的 HSM,直接進行 HSM 互動以進行低延遲作業。
誰需要 OCI Dedicated KMS?
具有嚴格規範需求或自訂公開金鑰基礎架構 (PKI) 部署的組織,需要對金鑰管理和加密作業進行微點控制和可見性,可從 OCI Dedicated KMS 中大幅提升。
OCI Dedicated KMS 與 OCI 的 Vault (Private Vault) 產品有何不同?
雖然這兩種方案都有提供單一租用戶 HSM 分割區,但 OCI Dedicated KMS 可讓您直接控制 HSM 分割區和管理員使用者,這適用於進階自訂和管理。您可以使用 OCI 專用 KMS 等標準介面 (例如 PKCS#11) 在金鑰上執行加密作業。另一方面,Private Vault (私有金鑰保存庫) 可優先於與 Oracle 管理的 HSM 搭配使用,並適用於標準 KMS 需求。您可以使用 KMS API 在 Private Vault 方案中執行加密作業。
OCI Dedicated KMS 支援哪些 OCI 服務?
應用程式必須使用像 PKCS#11 之類的標準介面,才能直接與 OCI Dedicated KMS 互動。OCI 服務 (例如 Database、Storage 和 Oracle Fusion Applications) 與 Vault 產品原生整合;在 OCI KMS 中為這些服務使用 Vault。
如何開始使用 OCI Dedicated KMS?
依照預設,在 OCI 內增加 OCI 專用 KMS 資源限制,您無法在 OCI 主控台中建立 HSM 叢集。HSM 叢集建立是一項多步驟程序,涉及兩個階段的使用者介入:需要初始化和需要啟動。請參閱技術文件以成功建立 HSM 叢集。
OCI Dedicated KMS 如何計費?
OCI Dedicated KMS 價格為每小時每個 HSM 分割區 1.75 美元。HSM 分割區至少有三個,起點成本為每小時 5.25 美元。
您必須明確要求限制專用的 HSM 分割區。是否可以新增更多分割區至現有的 HSM 叢集?
編號每個 HSM 叢集都有三個固定的分割區。如果您需要更多分割區,請建立其他 HSM 叢集。
如何管理及執行金鑰的加密作業?
客戶應用程式不需仰賴 OCI API,即可使用 PKCS#11 標準介面直接透過 HSM 存取金鑰及執行加密作業。
OCI Dedicated KMS 有哪些安全功能?
OCI Dedicated KMS 透過通過 FIPS 140-2 Level 3 認證的 HSM 分割區、HSM 互動的端對端加密,以及對使用者存取和安全原則的精細控制,為金鑰管理提供更佳的控制和安全性。
哪裡可以找到有關 OCI 專用 KMS 的詳細資訊?
您可以在 OCI Key Management Service 網頁上找到有用的資訊。如需設定的詳細資訊,請參閱 Oracle 技術文件。
外部金鑰管理服務
什麼是 OCI 外部金鑰管理服務 (OCI 外部 KMS)?
OCI 外部 KMS 是一項服務,可讓客戶使用 OCI 外部儲存及管理的加密金鑰。對於監管要求將加密金鑰儲存在內部部署或 OCI 外部,或想要更有效地控制加密金鑰的客戶而言,這非常有用。如需詳細資訊,請參考此部落格。
OCI 外部 KMS 有哪些優點?
此服務可協助客戶解決下列問題:
- 資料主權、合規性和法規:OCI External KMS 可協助客戶控制其加密金鑰以及儲存在這些金鑰的位置。這對必須遵守嚴格資料主權要求的組織 (例如歐盟一般資料保護法規 (GDPR)) 有助益。
- 信任與保證:OCI 外部 KMS 可讓客戶擁有及管理加密模組,並成為其加密金鑰的託管人。這對於必須向最終客戶、合作夥伴及利害關係人示範其對加密程序的控制權的組織很有幫助。
使用 OCI 外部 KMS 有哪些作業考量?
OCI 外部 KMS 可讓客戶更進一步控制其加密金鑰,但也具有營運責任:客戶必須管理、管理及維護內部部署的加密金鑰和硬體安全模組 (HSM)。這是與現有 OCI Vault 服務不同的擁有權模型,Oracle 會代替客戶管理和管理 HSM 基礎架構。
如何輪換 OCI 外部 KMS 中的金鑰?
若要輪換 OCI 外部 KMS 中的金鑰 (也稱為金鑰參照),您必須先使用下方步驟輪換 Thales CipherTrust Manager 中的金鑰,因為金鑰資料儲存在 OCI 外部。
- 在 Thales CipherTrust Manager 中新增外部金鑰版本。
在 OCI 中,您可以按一下輪替金鑰參照,然後從上一個步驟輸入外部金鑰版本 ID 。
OCI 外部 KMS 支援哪些 OCI 服務?
OCI 外部 KMS 支援對稱式加密金鑰,並且與已經與 OCI 保存庫整合的應用程式相容。因此,客戶不需要修改應用程式,即可從 OCI 外部 KMS 獲益,而金鑰的使用與關聯方式與 OCI Vault 的相同,且 SLA 值為 99.9%。
下列服務已與 OCI Vault 整合,無須進行任何變更,即可從 OCI 外部 KMS 獲益:
- Oracle Cloud Infrastructure Object Storage、區塊磁碟區和檔案儲存
- Oracle Cloud Infrastructure Container Engine for Kubernetes
- Oracle AI Database,包括專用 Exadata 基礎架構上的 Oracle Autonomous AI Database、共用 Exadata 基礎架構上的 Oracle Autonomous AI Database、Oracle Database Cloud Service 和資料庫即服務
如果我在 OCI 外部 KMS 中停用、封鎖或移除 Thales CipherTrust Manager 中的金鑰,會發生什麼情況?OCI 中的資料是否仍然可供存取?
OCI 外部 KMS 的設計方式是讓 OCI 無法存取實際的加密金鑰資料。一旦客戶封鎖了 Thales CipherTrust Manager 中的金鑰,OCI 就無法使用金鑰參照來解密資料,或使用該金鑰參照執行任何作業。
您也可以從 OCI 主控台停用 / 刪除金鑰參照。
OCI 外部 KMS 是否支援金鑰 / 保存庫的跨區域複寫?
OCI 外部 KMS 目前不支援金鑰 / 保存庫的跨區域複寫。
OCI 外部 KMS 的價格為何?
OCI 外部 KMS 成本每月每個金鑰版本 3 美元,使用這些金鑰版本無需支付額外費用。客戶的每個保存庫最多可有 10 個保存庫和 100 個金鑰版本。請聯絡 Thales 以瞭解 CipherTrust Manager 價格與限制。
如何進一步瞭解 OCI 外部 KMS?
若要深入瞭解 OCI 外部 KMS,請閱讀技術文件,或在 OCI 主控台中試用。若要存取 OCI 主控台中的外部 KMS ,請選取 OCI 導覽功能表中的「識別與安全性」,接著選取「金鑰管理與加密密碼管理」,然後選取「外部金鑰管理」。