Oracle Cloud Infrastructure (OCI) Vault 可讓您集中管理及控制各種 OCI 服務和應用系統的金鑰與加密使用。OCI Vault 是安全、有彈性的託管服務,可讓您專注於資料加密需求,無須擔心耗時管理作業 (例如硬體佈建、軟體打補丁及高可用性)。
金鑰管理使用符合 Federal Information Processing Standards (FIPS) 140-2 Security Level 3 安全認證的硬體安全模組 (HSM),保護金鑰。您可以建立受 HSM 或軟體保護的主加密金鑰。使用 HSM 保護金鑰時,所有加密作業和金鑰儲存體都位於 HSM 中。使用軟體保護金鑰時,您的加密金鑰會儲存在軟體中並處理,但會受到 HSM 根金鑰保護。
OCI Vault 和 Oracle Key Vault 是 Oracle 的兩個主要管理產品。
OCI Vault—Key Management 是一個完全託管的服務,可集中管理您的加密金鑰,以保護只儲存在 OCI 中的資料。金鑰管理的願景是支援不同類型的加密金鑰:對稱式、非對稱式工作負載,包括 Oracle Database TDE 與非資料庫工作負載。OCI Vault 是原生 Gen2 雲端加密服務。
Oracle Key Vault 為內部部署 (包括 Oracle Exadata Cloud@Customer 和 Oracle Autonomous Database-Dedicated) 和 OCI 中執行之 TDE 啟用的 Oracle 資料庫提供金鑰管理,以及加密的 Oracle GoldenGate 歷程檔和加密的 ACFS 檔案系統金鑰管理。
Oracle 管理式是許多 OCI 服務的預設加密。Oracle 管理式代表資料將以加密金鑰加密,其生命週期管理由 Oracle 控制。不想要管理或存取加密金鑰的客戶,而想要保護儲存在 OCI 中的所有資料,請選擇 Oracle 管理式加密。
客戶管理的加密是由 OCI Vault—Key Management 服務提供,客戶可控制並管理保護其資料的金鑰。此外,需要更高安全性的客戶和 FIPS 140-2 Level 3 保護,以符合規範來選擇「客戶管理」作為加密金鑰儲存在硬體安全模組 (HSM)。
Oracle Vault 是金鑰的邏輯分組。必須先建立金鑰保存庫,才能產生或匯入任何金鑰。
金鑰保存庫有兩種類型:虛擬專用金鑰保存庫和預設金鑰保存庫。您建立的金鑰保存庫類型決定金鑰的隔離程度和效能。每個租戶可以擁有零至多個 Vault。
虛擬專用金鑰保存庫提供 HSM (單一租用戶) 的專用分割區。分割區是 HSM 上的實體邊界,隔離於其他分割區。虛擬專用金鑰保存庫為加密作業每秒提供更佳且一致的交易。
預設的金鑰保存庫會使用多雲端用戶分割區,因此具有中等的隔離層次。
1. 請確定您的租用戶允許建立想要建立的金鑰保存庫類型。
2. 確定已為使用者帳戶建立 Oracle Identity and Access Management (IAM) 原則,以便具備建立保存庫所需的權限。如需製作聲明,請參閱IAM 原則參考資料。
3. 您必須先從 Oracle Cloud Infrastructure 主控台依序選取安全性和金鑰保存庫來建立金鑰保存庫。
建立一個金鑰保存庫,然後根據您的隔離與處理需求,從兩個可用的金鑰保存庫類型擇一:
4。 在您的金鑰保存庫中建立 [Master Encryption] (主加密) 金鑰。主要加密金鑰有兩種保護模式:HSM 或軟體。
5. 確定呼叫金鑰保存庫之服務或實體的 IAM 原則具有必要權限。
範例:允許服務 objectstorage-us-ashburn-1 使用區間中的金鑰
使用金鑰:
SDK 和 API 也提供加密作業。如需詳細資訊,請參閱說明文件中的金鑰保存庫概要。
6。 使用主控台的指標和 Monitoring (監控) 服務,監控您的操作使用狀況。查看指標和維度。
預設為 Virtual Private Vault 限制為 0。使用者應要求提高限額,才能使用。啟用「虛擬專用金鑰保存庫」之後,使用者會獲得 1000 個寬鬆限制,嚴格限制 3000 個對稱金鑰版本。
使用預設的 Vault 來儲存金鑰時,沒有嚴格限制。預設為每個金鑰保存庫中,有具備 100 個金鑰的 10 個金鑰保存庫。
不論相應的金鑰為啟用或停用,所有儲存在金鑰保存庫的金鑰版本均會納入此限制值計算。
OCI Vault 所施加的限制由 OCI 服務限制所管理。已為所有租用戶設定預設限制。客戶可依照 Oracle Cloud Infrastructure 文件的要求提高服務限制步驟,要求提高儲存在金鑰保存庫內的金鑰服務限制。由於已啟用和停用的金鑰均會納入限制值計算,Oracle 建議刪除不再使用的已停用金鑰。
當您使用金鑰保存庫服務時,有下列主要管理功能。如需詳細資訊,請參閱說明文件中的金鑰保存庫概要。
建立金鑰時,可選擇用於指示金鑰長度和所用演算法的金鑰形式。所有金鑰目前都是進階加密標準 (AES - GCM),您可以從三個金鑰長度中選擇:AES-128、AES-192 和 AES-256。建議使用 AES-256。
所有商務和政府 Oracle Cloud Infrastructure 區域都提供金鑰管理。
有。您可以根據安全性治理和法規遵循需求定期輪換金鑰,或在安全性事件發生時臨時輪換。可使用 Console、API 定期輪換金鑰 (例如:每 90 天),或使用 CLI 限制受單一金鑰保護的資料量。
注意:輪換金鑰並不會自動將先前以舊金鑰版本加密的資料重新加密;客戶下次修改此資料時才會重新加密。若您懷疑金鑰外洩,則應該對所有由該金鑰保護的資料重新加密,並停用先前的金鑰版本。
有。您可以將金鑰的複本從自己的金鑰管理基礎架構匯入至金鑰保存庫,然後搭配任何整合的 OCI 服務或自備應用程式內使用。
可以,但無法立即刪除。您可以透過設定 7 到 30 天的等待期間來排程刪除。金鑰保存庫和所有在金鑰保存庫內建立的所有金鑰都會在等待期結束時刪除,所有受這些金鑰保護的資料都將無法存取。刪除金鑰保存庫之後,即無法予以復原。
可以,但無法立即刪除。您可以透過設定 7 到 30 天的等待期間來排程刪除。您也可以停用金鑰,讓該金鑰無法進行任何加密 / 解密作業。
您可以直接將資料送出至金鑰管理 API,使用金鑰保存庫中儲存的主要加密金鑰進行加密和解密。
此外,您還可以使用「信封加密」方法,將應用系統和 OCI 服務內本機的資料加密。
使用信封加密,從金鑰管理 API 產生並擷取資料加密金鑰 (DEK)。DEK 並未儲存在金鑰管理服務中,但是由您的主要加密金鑰加密。您的應用程式可以使用 DEK 來加密您的資料,並將加密的 DEK 與資料一起儲存。當應用程式想要將資料解密時,您應該在加密的 DEK 上呼叫解密到金鑰管理 API 以擷取 DEK。您可以使用 DEK 在本機解密資料。
金鑰管理支援最多可傳送 4 KB 的資料進行直接加密。此外,信封加密也可以提供顯著的效能。以金鑰管理 API 直接加密資料時,必須透過網路傳輸資料。信封加密可減少網路負載,因為只有要求和傳遞較小的 DEK 到網路上。DEK 是在您的應用程式本機使用或加密 OCI 服務,不需要傳送整個資料區塊。
Oracle 使用一組節點和 HSM 儲存您金鑰在建立所在區域的複本,讓我們能夠提供 99.9% SLA 和 99.99% SLO 以提供金鑰管理。請參閱 Oracle PaaS and IaaS Public Cloud Services 重要說明文件。
有。Key Management 支援虛擬專用保存庫的跨區域備份與回復,讓金鑰與建立位置不同的區域使用。備份與回復會滿足 FIPS 需求,因為不會匯出真正的金鑰資料,而是代表主要資料的二進位物件。回復作業只能對 OCI 管理的 HSM 進行。
系統會根據您建立的保存庫類型向您收取費用。
根據預設,您的 Vault 會根據金鑰版本數目來收費。軟體保護金鑰是免費的,但 HSM 保護金鑰每個金鑰版本都收取 50 美分。(前 20 個金鑰版本免費)。
不過,如果您建立虛擬專用保存庫 (單租用戶 HSM),系統就會以每小時計費。價格會從建立 Vault 的開始,並繼續直到 Vault 排定刪除為止。您無須支付「虛擬專用保存庫」內的金鑰版本費用。
如需詳細資訊,請參考 Oracle Cloud 安全價格。
否,系統不會向您收取排定刪除的金鑰費用。如果您取消刪除金鑰,帳單就會繼續。
不能。
當您要求服務建立具有保護模式 HSM 的金鑰時,金鑰管理會將金鑰與所有後續的金鑰版本都儲存在 HSM 中。一律無法從 HSM 檢視或匯出純文字金鑰資料。使用保護模式 Software 時,金鑰會儲存在「金鑰管理」伺服器上,並且受到 HSM root 金鑰保護。
唯有您透過 IAM 原則授權的使用者、群組或服務,才可啟動 Key Management 來加密或解密資料使用金鑰。
有。如果您建立一個保護模式為 Software 的金鑰,可以純文字來匯出金鑰資料。不過,如果您以保護模式 HSM 建立金鑰,就無法匯出金鑰資料,因為金鑰永遠不會離開 HSM。您可以備份主要材料,以還原相同或不同的區域。不過,備份不會授予金鑰資料的存取權。