Oracle Cloud Infrastructure (OCI) Key Management Service (KMS) 是一項雲端服務,可為儲存在 OCI 中的資料集中管理及控制加密金鑰。OCI KMS 是客戶管理的加密,提供下列服務:
若要深入瞭解 OCI 加密方案,請參閱此部落格。
OCI KMS 使用符合 Federal Information Processing Standards (FIPS) 140-2 Security Level 3 安全認證的 HSM,保護金鑰。您可以從此處的 NIST Cryptographic Module Validation Program (CMVP) 網站找到 FIPS 憑證。
OCI KMS 已通過功能和安全控制驗證,可協助您滿足 PCI DSS 3.2.1 的加密和金鑰管理需求 (主要在第 3.5 和 3.6 節中參照)。
OCI KMS 支援各種功能,可讓您控制金鑰,並確保 OCI 服務中資料的必要安全保護。以下是 OCI KMS 內不同服務的重要功能矩陣。
能力 | 虛擬保存庫 | 專用保存庫 | 專用 KMS | 外部 KMS |
---|---|---|---|---|
FIPS 140-2 等級 3 HSM | 是 | 是 | 是 | 外部 |
對稱式 (AES) 加密 | 是 | 是 | 是 | 是 |
非對稱式 (RSA 和 ECDSA) 加密 | 是 | 是 | 是 | 否 |
軟體金鑰 | 是 | 是 | 否 | 外部 |
備份 / 還原 | 否 | 是 | 是 | 否 |
跨區域複寫 | 是 | 是 | 否 | 否 |
使用自己的金鑰 | 是 | 是 | 是 | 外部 |
OCI 服務整合 (儲存、資料庫、SaaS) | 是 | 是 | 否 | 是 |
自動金鑰輪換 | 即將上市 | 是 | 否 | 否 |
審核日誌 | 是 | 是 | 是 | 是 |
排定的刪除 | 是 | 是 | 是 | 是 |
Oracle 使用一組節點和 HSM 儲存您金鑰在建立所在區域的複本,讓我們能夠提供 99.9% 服務層次協議 (SLA) 與 99.99% 服務層次目標 (SLO) 以提供金鑰管理。請參閱 Oracle PaaS and IaaS Public Cloud Services 重要說明文件。
金鑰的儲存和使用方式只能在建立它的區域中。若要將金鑰備份 / 複寫至範圍中的另一個區域,以符合規範或 DR 需求,您可以使用跨區域備份及回復或跨區域複寫。
OCI KMS 是一項雲端原生金鑰管理服務,Oracle 建議您用於所有雲端應用程式。OCI KMS 原生已整合至與儲存、資料庫及 SaaS 服務 (例如 FA) 相關的許多 OCI 服務。如果您在 Oracle Cloud 中尋找集中式金鑰管理,並使用隨用隨付價格結構為所有雲端應用程式提供託管服務,則 Oracle 建議使用 OCI KMS。
Oracle Key Vault 是 Oracle 的另一個金鑰管理產品。Oracle Key Vault 為內部部署 (包括 Oracle Exadata Cloud@Customer 和 Oracle Autonomous Database-Dedicated) 和 OCI 中執行之 TDE 啟用的 Oracle 資料庫提供金鑰管理,以及加密的 Oracle GoldenGate 歷程檔和加密的 Oracle Automatic Storage Management 叢集檔案系統金鑰管理。
所有 OCI 區域和領域均提供 OCI KMS,包括政府、歐盟主權雲端、Oracle National Security Regions 和 OCI Dedicated Region Cloud@Customer。您可以在我們的文件和部落格中,深入瞭解區域可用性和 OCI KMS 產品與服務。
OCI Vault 是安全、有彈性的完全託管服務,可讓您專注於資料加密需求,無須擔心達成高可用性 (例如硬體佈建和軟體修正) 所需的耗時管理作業。保存庫使用符合聯邦資訊處理標準 (FIPS) 140-2 安全層次 3 安全認證的 HSM,保護您的金鑰。OCI Vault 是 Oracle 的原生 Gen 2 Cloud 加密服務。
Vault 支援不同類型的加密金鑰 (對稱式 (AES 金鑰) 和非對稱式 (RSA 和 ECDSA 金鑰) 以及一組一般工作負載,包括 Oracle Exadata Cloud Service、Oracle Autonomous Database、Oracle Database 中的通透資料加密,以及非資料庫工作負載。
OCI 保存庫有兩種類型:專用保存庫和預設虛擬保存庫。您建立的金鑰保存庫類型決定金鑰的隔離程度和效能。每個租戶可以擁有零至多個 Vault。
專用保存庫提供 HSM (單一用戶) 的專用分割區。分割區是 HSM 上的實體邊界,隔離於其他分割區。專用保存庫為加密作業每秒提供更佳且一致的交易。這些是單一租用戶 HSM。專用保存庫也有額外功能,例如跨區域複寫和跨區域備份與還原金鑰。
預設的虛擬金鑰保存庫使用多租用戶分割區,提供中等的隔離層次。
這兩種保存庫選項都可讓您以下列其中一種方式建立儲存的主要加密金鑰:
使用 OCI 保存庫時,有下列金鑰管理功能:
在 OCI Vault 中,您可以建立進階加密標準 (AES-GCM)、Rivest-Shamir-Adleman (RSA) 和橢圓曲線數位簽章演算法 (ECDSA) 金鑰。對於 AES 金鑰,您可以從三個金鑰長度中選擇:AES-128、AES-192 和 AES-256。建議使用 AES-256。OCI Vault 支援下列非對稱金鑰類型:RSA 2048、RSA 3072、RSA 4096、NIST P-256、NIST P384 和 ECC_NIST521。
您可以建立並使用 AES 對稱式金鑰和 RSA 非對稱式金鑰來進行加密和解密。您也可以使用 RSA 或 ECDSA 非對稱金鑰來簽署數位訊息。
如需詳細資訊及開始使用,請參閱 OCI 保存庫簡介。
您可以直接將資料送出至金鑰管理 API,使用保存庫中儲存的主要加密金鑰進行加密和解密。此外,您還可以將應用系統和 OCI 服務內本機的資料加密方式 (稱為信封加密)。
使用信封加密,從金鑰管理 API 產生並擷取資料加密金鑰 (DEK)。DEK 並未儲存在金鑰管理服務中,但是由您的主要加密金鑰加密。您的應用程式可以使用 DEK 來加密您的資料,並將加密的 DEK 與資料一起儲存。當應用程式想要解密資料時,您應該在加密的 DEK 上呼叫解密到金鑰管理 API 以擷取 DEK。您可以使用 DEK 在本機解密資料。
金鑰管理支援多達 4 KB 的資料進行直接加密。此外,信封加密也可以提供顯著的效能。以金鑰管理 API 直接加密資料時,必須透過網路傳輸資料。信封加密可減少網路負載,因為只有要求和傳遞較小的 DEK 到網路上。DEK 是在您的應用程式本機使用或加密 OCI 服務,不需要傳送整個資料區塊。
有。您可以將金鑰的複本從自己的金鑰管理基礎架構匯入至 OCI 保存庫,並且搭配任何整合的 OCI 服務或自己的應用程式內使用。您可以匯入金鑰的所有演算法:AES、RSA 和 ECDSA 金鑰。支援匯入這兩種金鑰類型 — HSM 和軟體金鑰。注意:您無法從 HSM 匯出 HSM 金鑰。
有。您可以根據安全性治理和法規遵循需求定期旋轉金鑰,或在安全性事件發生時臨時執行。使用主控台、API 或 CLI 定期輪換金鑰 (例如,每 90 天),限制受單一金鑰保護的資料量。
注意:輪換金鑰並不會自動將先前以舊金鑰版本加密的資料重新加密;客戶下次修改此資料時才會重新加密。若您懷疑金鑰外洩,則應該對所有由該金鑰保護的資料重新加密,並停用先前的金鑰版本。
可以,但無法立即刪除。您可以設定一個 7 到 30 天的等待期,以安排定期刪除 Vault、密鑰或密鑰版本。
若要刪除保存庫,會在等待期間結束時刪除保存庫和其中建立的所有金鑰,所有受這些金鑰保護的資料都將無法存取。刪除金鑰保存庫之後,即無法予以復原。
您也可以停用金鑰,讓該金鑰無法進行任何加密 / 解密作業。
有。保存庫支援金鑰和保存庫的跨區域複寫。您可以將專用保存庫從一個區域複寫到另一個區域,以使其及其包含的金鑰符合規範需求或改善延遲。
當您設定專用保存庫的跨區域複寫時,保存庫服務會自動同步起始保存庫與一個目的地區域中保存庫之間的任何金鑰或金鑰版本建立、刪除、更新或移動。服務從中複製資料的保存庫稱為來源保存庫。服務從來源保存庫複製資料之目的地區域中的保存庫稱為保存庫複本。此服務支援對目的地區域中的保存庫和金鑰進行加密作業。
OCI Vault 也支援專用保存庫的跨區域備份與回復,讓金鑰與建立位置不同的區域使用。備份與回復會滿足 FIPS 需求,因為不會匯出真正的金鑰資料,而是代表主要資料的二進位物件。還原作業只能對 OCI 管理的 HSM 進行。
系統會根據您建立的保存庫類型向您收取費用。
根據預設,您的 Vault 會根據金鑰版本數目來收費。軟體保護金鑰免費,但 HSM 保護金鑰每個金鑰版本都收取 53 美分。(前 20 個主要版本免費)。不過,如果您建立專用保存庫 (單租用戶 HSM),則會以每小時計費。價格會從建立 Vault 的開始,並繼續直到 Vault 排定刪除為止。您無須支付「專用保存庫」內的金鑰版本費用。
您不會根據對任何管理或加密作業之保存庫和金鑰的 API 要求數計費。
如需詳細資訊,請參考 Oracle Cloud 安全價格。
排定刪除的金鑰:系統不會向您收取排定刪除的金鑰費用。如果您取消刪除金鑰,帳單就會繼續。
依預設,Private Vault 限制為 0。使用者應要求提高限額,才能使用。啟用 Private Vault 後,使用者可獲得 1,000 的寬鬆限制,以及 3,000 個對稱金鑰版本的嚴格限制。
使用預設的虛擬金鑰保存庫儲存金鑰時,沒有嚴格限制。預設為每個金鑰保存庫中,有具備 100 個金鑰的 10 個金鑰保存庫。
不論相應的金鑰為啟用或停用,所有儲存在保存庫的金鑰版本均會納入此限制值計算。
OCI Vault 所施加的限制由 OCI 服務限制所管理。已為所有租用戶設定預設限制。客戶可依照 Oracle Cloud Infrastructure 文件中的此處步驟,要求提高金鑰保存庫內儲存的金鑰服務限制。由於已啟用和停用的金鑰均會納入限制值計算,Oracle 建議刪除不再使用的金鑰。
使用 OCI Key Management Service 對資料進行加密或解密時,只有您透過 OCI IAM 原則授權的使用者、群組或服務可以管理和使用金鑰。您可以強制執行微點使用和管理原則,以提供特定使用者的特定權限。
若要追蹤生命週期狀態變更,您可以在 OCI 稽核中使用日誌,此日誌會顯示您租用戶中所有保存庫、金鑰或金鑰版本的所有 OCI 保存庫管理要求詳細資訊,例如建立、輪換、停用等等。
具有嚴格合規要求或自訂公開金鑰基礎架構 (PKI) 部署的組織,需要對金鑰管理和加密作業進行微點控制和可見性,並可從 OCI 專用 KMS 獲益。
雖然這兩個分割區都提供單一租用戶 HSM 分割區,但 OCI 專用 KMS 可讓您直接控制 HSM 分割區和管理員使用者,這非常適用於進階自訂與管理。使用 OCI 專用 KMS,您可以使用標準介面 (例如 PKCS#11) 在金鑰上執行加密作業。另一方面,Private Vault 則優先考慮與 Oracle 管理的 HSM 易於使用,並適用於標準 KMS 需求。您可以使用 KMS API 在 Private Vault 方案中執行加密作業。
應用程式必須使用 PKCS#11 等標準介面,才能直接與 OCI 專用 KMS 互動。OCI 服務 (例如資料庫、儲存及 Oracle Fusion Applications) 原生與保存庫方案整合;在 OCI KMS 內為這些服務使用保存庫。
依照預設,您無法在 OCI 主控台中建立 HSM 叢集,因此增加 OCI 內的 OCI 專用 KMS 資源限制。建立 HSM 叢集是一個多步驟處理作業,涉及使用者介入的兩個階段:需要初始化和需要啟動。請參閱技術文件以順利建立 HSM 叢集。
OCI Dedicated KMS 的定價為每小時每個 HSM 分割區 1.75 美元。至少需要三個 HSM 分割區,起始成本為每小時 5.25 美元。
您必須明確要求限制專用的 HSM 分割區。編號每個 HSM 叢集都保存三個固定分割區。如果您需要更多分割區,請建立其他 HSM 叢集。
客戶應用程式會使用 PKCS#11 標準介面直接透過 HSM 存取金鑰及執行加密作業,而不需要仰賴 OCI API。
OCI Dedicated KMS 透過已通過 FIPS 140-2 Level 3 認證的 HSM 分割區、用於 HSM 互動的端對端加密,以及對使用者存取和安全原則的精細控制,提供更佳的金鑰管理控制和安全性。
您可以在 OCI Key Management Service 網頁上找到有用的資訊。如需設定的詳細資訊,請參閱 Oracle 技術說明文件。
OCI 外部 KMS 是一項服務,可讓客戶使用在 OCI 外部儲存及管理的加密金鑰。對於有法規要求在內部部署或外部 OCI 儲存加密金鑰,或是想要對加密金鑰有更多控制權的客戶而言,這將非常有用。如需詳細資訊,請參閱此部落格。
此服務可協助客戶解決下列問題:
OCI 外部 KMS 讓客戶可以更進一步控制其加密金鑰,但也具有操作責任:客戶必須在內部部署管理、管理及維護加密金鑰和硬體安全模組 (HSM)。這是與現有 OCI Vault 服務不同的所有權模型,Oracle 代表客戶管理和管理 HSM 基礎架構。
若要在 OCI 外部 KMS 中輪換金鑰 (也稱為金鑰參照),您必須先使用下方步驟在 Thales CipherTrust Manager 中輪換金鑰,因為金鑰資料儲存在 OCI 之外。
在 OCI 中,您可以按一下循環金鑰參照,然後從上一個步驟輸入外部金鑰版本 ID 。
OCI 外部 KMS 支援對稱式加密金鑰,並且與已與 OCI 保存庫整合的應用程式相容。因此,客戶不必修改應用程式來從 OCI 外部 KMS 中獲益,就能使用和關聯金鑰的方式與 OCI Vault 和 SLA 99.9% 相同。
下列服務已與 OCI 保存庫整合,不做任何變更就能從 OCI 外部 KMS 獲益:
OCI 外部 KMS 的設計方式為 OCI 無法存取實際的加密金鑰資料。一旦客戶封鎖了 Thales CipherTrust Manager 中的金鑰,OCI 就無法使用金鑰參照來解密資料,或使用該金鑰參照執行任何作業。
您也可以從 OCI 主控台停用 / 刪除金鑰參照。
OCI 外部 KMS 目前不支援金鑰 / 保存庫的跨區域複寫。
OCI External KMS costs US$3 per key version per month, and there is no additional cost for the use of these key versions.客戶的軟限制為每個保存庫 10 個保存庫和 100 個金鑰版本。請與 Thales 聯絡以瞭解 CipherTrust Manager 價格與限制。
您可以閱讀技術文件或在 OCI 主控台中試用,深入瞭解 OCI 外部 KMS。透過依序選取 OCI 導覽功能表中的身分識別和安全、金鑰管理和加密密碼管理,然後選取外部金鑰管理,存取 OCI 主控台中的外部 KMS 。