Key Management 常見問題
一般問題
什麼是 Oracle Cloud Infrastructure Key Management Service (KMS)?
Oracle Cloud Infrastructure (OCI) Key Management Service (KMS) 是一項雲端服務,可為儲存在 OCI 中的資料集中管理及控制加密金鑰。OCI KMS 是客戶管理的加密,提供下列服務:
- OCI Vault :OCI Vault 是客戶管理的加密服務,可讓您控制在 Oracle 管理和管理 HSM 時,由 OCI 硬體安全模組 (HSM) 代管的金鑰。OCI Vault 提供下列選項:
- Virtual Vault:Virtual Vault 是一種多租戶加密服務,其中您的金鑰儲存於同時代管其他客戶金鑰的 HSM 分割區中。這是 OCI 保存庫中的預設加密服務。
- 私有金鑰保存庫:私有金鑰保存庫是單一租用戶加密服務,可將金鑰儲存在專用 HSM 分割區中,並具有與您的租用戶隔離的專用核心。
- OCI 專用 KMS :OCI 專用 KMS 是單一用戶 HSM 分割區即服務,為儲存和管理加密金鑰提供完全隔離的環境。Private Vault 與 OCI Dedicated KMS 之間的差異在於 HSM 分割區的控制方式。使用 OCI 專用 KMS,您可以控制並宣告 HSM 分割區的所有權,以及使用標準介面 (例如 PKCS#11) 來執行加密作業。Oracle 仍然管理這些 HSM 分割區以進行安全和韌體修正。
- OCI 外部 KMS :外部 KMS 可讓您使用自己的第三方金鑰管理系統來保護 OCI 服務中的資料。您可以控制 OCI 以外的金鑰和 HSM,並負責這些 HSM 的管理和管理。您的主要金鑰一律儲存在 OCI 之外,而且絕不會匯入 OCI 外部 KMS,因此在 OCI 之外進行加密和解密作業。
若要深入瞭解 OCI 加密方案,請參閱此部落格。
OCI KMS 符合哪些安全性和規範需求?
OCI KMS 使用符合 Federal Information Processing Standards (FIPS) 140-2 Security Level 3 安全認證的 HSM,保護金鑰。您可以從此處的 NIST Cryptographic Module Validation Program (CMVP) 網站找到 FIPS 憑證。
OCI KMS 已通過功能和安全控制驗證,可協助您滿足 PCI DSS 3.2.1 的加密和金鑰管理需求 (主要在第 3.5 和 3.6 節中參照)。
OCI KMS 支援哪些功能或功能?
OCI KMS 支援各種功能,可讓您控制金鑰,並確保 OCI 服務中資料的必要安全保護。以下是 OCI KMS 內不同服務的重要功能矩陣。
| 能力 | 虛擬保存庫 | 專用保存庫 | 專用 KMS | 外部 KMS |
|---|---|---|---|---|
| FIPS 140-2 等級 3 HSM | 是 | 是 | 是 | 外部 |
| 對稱式 (AES) 加密 | 是 | 是 | 是 | 是 |
| 非對稱式 (RSA 和 ECDSA) 加密 | 是 | 是 | 是 | 否 |
| 軟體金鑰 | 是 | 是 | 否 | 外部 |
| 備份 / 還原 | 否 | 是 | 是 | 否 |
| 跨區域複寫 | 是 | 是 | 否 | 否 |
| 使用自己的金鑰 | 是 | 是 | 是 | 外部 |
| OCI 服務整合 (儲存、資料庫、SaaS) | 是 | 是 | 否 | 是 |
| 自動金鑰輪換 | 即將上市 | 是 | 否 | 否 |
| 審核日誌 | 是 | 是 | 是 | 是 |
| 排定的刪除 | 是 | 是 | 是 | 是 |
Oracle 如何在區域中提供金鑰的高可用性?我的金鑰儲存在哪些地理區域?
Oracle 使用一組節點和 HSM 儲存您金鑰在建立所在區域的複本,讓我們能夠提供 99.9% 服務層次協議 (SLA) 與 99.99% 服務層次目標 (SLO) 以提供金鑰管理。請參閱 Oracle PaaS and IaaS Public Cloud Services 重要說明文件。
金鑰的儲存和使用方式只能在建立它的區域中。若要將金鑰備份 / 複寫至範圍中的另一個區域,以符合規範或 DR 需求,您可以使用跨區域備份及回復或跨區域複寫。
OCI KMS 和 Oracle Key Vault (OKV) 之間有何差異?
OCI KMS 是一項雲端原生金鑰管理服務,Oracle 建議您用於所有雲端應用程式。OCI KMS 原生已整合至與儲存、資料庫及 SaaS 服務 (例如 FA) 相關的許多 OCI 服務。如果您在 Oracle Cloud 中尋找集中式金鑰管理,並使用隨用隨付價格結構為所有雲端應用程式提供託管服務,則 Oracle 建議使用 OCI KMS。
Oracle Key Vault 是 Oracle 的另一個金鑰管理產品。Oracle Key Vault 為內部部署 (包括 Oracle Exadata Cloud@Customer 和 Oracle Autonomous Database-Dedicated) 和 OCI 中執行之 TDE 啟用的 Oracle 資料庫提供金鑰管理,以及加密的 Oracle GoldenGate 歷程檔和加密的 Oracle Automatic Storage Management 叢集檔案系統金鑰管理。
OCI KMS 存在哪些 OCI 區域,哪裡可以找到 OCI KMS 的資源?
所有 OCI 區域和領域均提供 OCI KMS,包括政府、歐盟主權雲端、Oracle National Security Regions 和 OCI Dedicated Region Cloud@Customer。您可以在我們的文件和部落格中,深入瞭解區域可用性和 OCI KMS 產品與服務。
Vault
什麼是 OCI 保存庫?
OCI Vault 是安全、有彈性的完全託管服務,可讓您專注於資料加密需求,無須擔心達成高可用性 (例如硬體佈建和軟體修正) 所需的耗時管理作業。保存庫使用符合聯邦資訊處理標準 (FIPS) 140-2 安全層次 3 安全認證的 HSM,保護您的金鑰。OCI Vault 是 Oracle 的原生 Gen 2 Cloud 加密服務。
Vault 支援不同類型的加密金鑰 (對稱式 (AES 金鑰) 和非對稱式 (RSA 和 ECDSA 金鑰) 以及一組一般工作負載,包括 Oracle Exadata Cloud Service、Oracle Autonomous Database、Oracle Database 中的通透資料加密,以及非資料庫工作負載。
OCI 保存庫有兩種類型:專用保存庫和預設虛擬保存庫。您建立的金鑰保存庫類型決定金鑰的隔離程度和效能。每個租戶可以擁有零至多個 Vault。
專用保存庫提供 HSM (單一用戶) 的專用分割區。分割區是 HSM 上的實體邊界,隔離於其他分割區。專用保存庫為加密作業每秒提供更佳且一致的交易。這些是單一租用戶 HSM。專用保存庫也有額外功能,例如跨區域複寫和跨區域備份與還原金鑰。
預設的虛擬金鑰保存庫使用多租用戶分割區,提供中等的隔離層次。
這兩種保存庫選項都可讓您以下列其中一種方式建立儲存的主要加密金鑰:
- HSM 金鑰:保護 HSM 的主要加密金鑰儲存在 HSM 上,無法從 HSM 匯出。涉及金鑰的所有加密作業也會在 HSM 上發生。這些金鑰與 FIPS 等級 3 相容。
- 軟體金鑰:由軟體保護的主加密金鑰儲存在伺服器上,並且可從伺服器匯出,以在用戶端上執行加密作業,而不是在伺服器上執行。在靜態時,軟體保護金鑰會使用 HSM 上的根金鑰加密。這些金鑰與 FIPS 等級 1 相容。
OCI Vault 提供哪些功能?
使用 OCI 保存庫時,有下列金鑰管理功能:
- 建立自己的加密金鑰以保護資料
- 使用自己的金鑰
- 輪換金鑰
- 使用非對稱金鑰建立及驗證數位簽章,並驗證作業
- 支援跨區域備份及回復保存庫和金鑰 (僅限專用保存庫)
- 支援跨區域複寫保存庫和金鑰 (僅限專用保存庫)
- 暫時停用金鑰以保護資料
- 排定刪除不再使用的金鑰和保存庫
- 使用 OCI IAM 原則限制金鑰和保存庫的管理和使用權限。
- 使用 Oracle Audit 和 Database Firewall,監控金鑰和保存庫生命週期狀態
- 與 OCI 內部服務的無縫整合:Oracle Exadata Cloud Service、Oracle Autonomous Database-Dedicated 和 Oracle Cloud Infrastructure (OCI) Block Storage、File Storage、Object Storage、Streaming 和 Container Engine for Kubernetes。
在 OCI Vault 中,您可以建立進階加密標準 (AES-GCM)、Rivest-Shamir-Adleman (RSA) 和橢圓曲線數位簽章演算法 (ECDSA) 金鑰。對於 AES 金鑰,您可以從三個金鑰長度中選擇:AES-128、AES-192 和 AES-256。建議使用 AES-256。OCI Vault 支援下列非對稱金鑰類型:RSA 2048、RSA 3072、RSA 4096、NIST P-256、NIST P384 和 ECC_NIST521。
您可以建立並使用 AES 對稱式金鑰和 RSA 非對稱式金鑰來進行加密和解密。您也可以使用 RSA 或 ECDSA 非對稱金鑰來簽署數位訊息。
如需詳細資訊及開始使用,請參閱 OCI 保存庫簡介。
如果我使用 OCI Vault,我的資料會加密在哪裡?
您可以直接將資料送出至金鑰管理 API,使用保存庫中儲存的主要加密金鑰進行加密和解密。此外,您還可以將應用系統和 OCI 服務內本機的資料加密方式 (稱為信封加密)。
使用信封加密,從金鑰管理 API 產生並擷取資料加密金鑰 (DEK)。DEK 並未儲存在金鑰管理服務中,但是由您的主要加密金鑰加密。您的應用程式可以使用 DEK 來加密您的資料,並將加密的 DEK 與資料一起儲存。當應用程式想要解密資料時,您應該在加密的 DEK 上呼叫解密到金鑰管理 API 以擷取 DEK。您可以使用 DEK 在本機解密資料。
為什麼要使用信封加密?為什麼不只是將資料傳送至 OCI Key Management Service 和 OCI Vault 直接加密?
金鑰管理支援多達 4 KB 的資料進行直接加密。此外,信封加密也可以提供顯著的效能。以金鑰管理 API 直接加密資料時,必須透過網路傳輸資料。信封加密可減少網路負載,因為只有要求和傳遞較小的 DEK 到網路上。DEK 是在您的應用程式本機使用或加密 OCI 服務,不需要傳送整個資料區塊。
是否可以將自己的金鑰 (BYOK) 導入 OCI Vault?
有。您可以將金鑰的複本從自己的金鑰管理基礎架構匯入至 OCI 保存庫,並且搭配任何整合的 OCI 服務或自己的應用程式內使用。您可以匯入金鑰的所有演算法:AES、RSA 和 ECDSA 金鑰。支援匯入這兩種金鑰類型 — HSM 和軟體金鑰。注意:您無法從 HSM 匯出 HSM 金鑰。
我可以輪換金鑰嗎?
有。您可以根據安全性治理和法規遵循需求定期旋轉金鑰,或在安全性事件發生時臨時執行。使用主控台、API 或 CLI 定期輪換金鑰 (例如,每 90 天),限制受單一金鑰保護的資料量。
注意:輪換金鑰並不會自動將先前以舊金鑰版本加密的資料重新加密;客戶下次修改此資料時才會重新加密。若您懷疑金鑰外洩,則應該對所有由該金鑰保護的資料重新加密,並停用先前的金鑰版本。
是否可以刪除金鑰保存庫或金鑰?
可以,但無法立即刪除。您可以設定一個 7 到 30 天的等待期,以安排定期刪除 Vault、密鑰或密鑰版本。
若要刪除保存庫,會在等待期間結束時刪除保存庫和其中建立的所有金鑰,所有受這些金鑰保護的資料都將無法存取。刪除金鑰保存庫之後,即無法予以復原。
您也可以停用金鑰,讓該金鑰無法進行任何加密 / 解密作業。
我可以在金鑰原建立區域以外的區域傳輸並使用金鑰嗎?
有。保存庫支援金鑰和保存庫的跨區域複寫。您可以將專用保存庫從一個區域複寫到另一個區域,以使其及其包含的金鑰符合規範需求或改善延遲。
當您設定專用保存庫的跨區域複寫時,保存庫服務會自動同步起始保存庫與一個目的地區域中保存庫之間的任何金鑰或金鑰版本建立、刪除、更新或移動。服務從中複製資料的保存庫稱為來源保存庫。服務從來源保存庫複製資料之目的地區域中的保存庫稱為保存庫複本。此服務支援對目的地區域中的保存庫和金鑰進行加密作業。
OCI Vault 也支援專用保存庫的跨區域備份與回復,讓金鑰與建立位置不同的區域使用。備份與回復會滿足 FIPS 需求,因為不會匯出真正的金鑰資料,而是代表主要資料的二進位物件。還原作業只能對 OCI 管理的 HSM 進行。
使用 OCI Key Management Service 和 OCI Vault 如何計費?
系統會根據您建立的保存庫類型向您收取費用。
根據預設,您的 Vault 會根據金鑰版本數目來收費。軟體保護金鑰免費,但 HSM 保護金鑰每個金鑰版本都收取 53 美分。(前 20 個主要版本免費)。不過,如果您建立專用保存庫 (單租用戶 HSM),則會以每小時計費。價格會從建立 Vault 的開始,並繼續直到 Vault 排定刪除為止。您無須支付「專用保存庫」內的金鑰版本費用。
您不會根據對任何管理或加密作業之保存庫和金鑰的 API 要求數計費。
如需詳細資訊,請參考 Oracle Cloud 安全價格。
排定刪除的金鑰:系統不會向您收取排定刪除的金鑰費用。如果您取消刪除金鑰,帳單就會繼續。
OCI Vault 有哪些預設限制?
依預設,Private Vault 限制為 0。使用者應要求提高限額,才能使用。啟用 Private Vault 後,使用者可獲得 1,000 的寬鬆限制,以及 3,000 個對稱金鑰版本的嚴格限制。
使用預設的虛擬金鑰保存庫儲存金鑰時,沒有嚴格限制。預設為每個金鑰保存庫中,有具備 100 個金鑰的 10 個金鑰保存庫。
不論相應的金鑰為啟用或停用,所有儲存在保存庫的金鑰版本均會納入此限制值計算。
OCI Vault 所施加的限制由 OCI 服務限制所管理。已為所有租用戶設定預設限制。客戶可依照 Oracle Cloud Infrastructure 文件中的此處步驟,要求提高金鑰保存庫內儲存的金鑰服務限制。由於已啟用和停用的金鑰均會納入限制值計算,Oracle 建議刪除不再使用的金鑰。
誰可以在 OCI Vault 中使用和管理我的金鑰,我可以看到誰對金鑰和金鑰保存庫的生命週期狀態進行更改?
使用 OCI Key Management Service 對資料進行加密或解密時,只有您透過 OCI IAM 原則授權的使用者、群組或服務可以管理和使用金鑰。您可以強制執行微點使用和管理原則,以提供特定使用者的特定權限。
若要追蹤生命週期狀態變更,您可以在 OCI 稽核中使用日誌,此日誌會顯示您租用戶中所有保存庫、金鑰或金鑰版本的所有 OCI 保存庫管理要求詳細資訊,例如建立、輪換、停用等等。
專用金鑰管理服務
什麼是 OCI 專用 KMS?
OCI Dedicated KMS 是一項完全託管的服務,可在您的 OCI 帳戶內提供單一租用戶硬體安全模組 (HSM) 分割區。您可以對加密金鑰和儲存加密金鑰的 HSM 分割區擁有獨佔控制權和可見性,讓您對金鑰管理有更大的控制權。OCI 專用 KMS 的主要優點為何?
- 精細控制:管理 HSM 環境內的金鑰生命週期、使用者存取及安全原則。
- 直接 HSM 互動:應用程式會透過 PKCS#11 直接存取 HSM,略過 OCI API 以提高效率。
- 規範:使用 FIPS 140-2 Level 3 認證的 HSM,以及直接 HSM 互動來進行低延遲作業。
誰需要 OCI 專用 KMS?
具有嚴格合規要求或自訂公開金鑰基礎架構 (PKI) 部署的組織,需要對金鑰管理和加密作業進行微點控制和可見性,並可從 OCI 專用 KMS 獲益。
OCI 專用 KMS 與 OCI 的保存庫 (專用保存庫) 方案有何不同?
雖然這兩個分割區都提供單一租用戶 HSM 分割區,但 OCI 專用 KMS 可讓您直接控制 HSM 分割區和管理員使用者,這非常適用於進階自訂與管理。使用 OCI 專用 KMS,您可以使用標準介面 (例如 PKCS#11) 在金鑰上執行加密作業。另一方面,Private Vault 則優先考慮與 Oracle 管理的 HSM 易於使用,並適用於標準 KMS 需求。您可以使用 KMS API 在 Private Vault 方案中執行加密作業。
OCI Dedicated KMS 支援哪些 OCI 服務?
應用程式必須使用 PKCS#11 等標準介面,才能直接與 OCI 專用 KMS 互動。OCI 服務 (例如資料庫、儲存及 Oracle Fusion Applications) 原生與保存庫方案整合;在 OCI KMS 內為這些服務使用保存庫。
如何開始使用 OCI 專用 KMS?
依照預設,您無法在 OCI 主控台中建立 HSM 叢集,因此增加 OCI 內的 OCI 專用 KMS 資源限制。建立 HSM 叢集是一個多步驟處理作業,涉及使用者介入的兩個階段:需要初始化和需要啟動。請參閱技術文件以順利建立 HSM 叢集。
OCI 專用 KMS 如何計費?
OCI Dedicated KMS 的定價為每小時每個 HSM 分割區 1.75 美元。至少需要三個 HSM 分割區,起始成本為每小時 5.25 美元。
您必須明確要求限制專用的 HSM 分割區。是否可以將更多分割區新增至現有的 HSM 叢集?
編號每個 HSM 叢集都保存三個固定分割區。如果您需要更多分割區,請建立其他 HSM 叢集。
如何管理及執行金鑰的加密作業?
客戶應用程式會使用 PKCS#11 標準介面直接透過 HSM 存取金鑰及執行加密作業,而不需要仰賴 OCI API。
OCI 專用 KMS 有哪些安全功能?
OCI Dedicated KMS 透過已通過 FIPS 140-2 Level 3 認證的 HSM 分割區、用於 HSM 互動的端對端加密,以及對使用者存取和安全原則的精細控制,提供更佳的金鑰管理控制和安全性。
哪裡可以找到有關 OCI Dedicated KMS 的詳細資訊?
您可以在 OCI Key Management Service 網頁上找到有用的資訊。如需設定的詳細資訊,請參閱 Oracle 技術說明文件。
外部金鑰管理服務
什麼是 OCI 外部金鑰管理服務 (OCI 外部 KMS)?
OCI 外部 KMS 是一項服務,可讓客戶使用在 OCI 外部儲存及管理的加密金鑰。對於有法規要求在內部部署或外部 OCI 儲存加密金鑰,或是想要對加密金鑰有更多控制權的客戶而言,這將非常有用。如需詳細資訊,請參閱此部落格。
OCI 外部 KMS 有哪些優點?
此服務可協助客戶解決下列問題:
- 資料主權、規範及法規:OCI 外部 KMS 可協助客戶控制加密金鑰,以及金鑰儲存位置。這對於必須遵守嚴格資料主權要求的組織很有幫助,例如歐盟一般資料保護法規 (GDPR)。
- 信任與保證:OCI 外部 KMS 可讓客戶擁有及管理加密模組,並成為其加密金鑰的託管人。這對於必須向終端使用者、夥伴與利害關係人證明其對加密程序之控制權的組織很有幫助。
使用 OCI 外部 KMS 的作業考量為何?
OCI 外部 KMS 讓客戶可以更進一步控制其加密金鑰,但也具有操作責任:客戶必須在內部部署管理、管理及維護加密金鑰和硬體安全模組 (HSM)。這是與現有 OCI Vault 服務不同的所有權模型,Oracle 代表客戶管理和管理 HSM 基礎架構。
如何在 OCI 外部 KMS 中輪換金鑰?
若要在 OCI 外部 KMS 中輪換金鑰 (也稱為金鑰參照),您必須先使用下方步驟在 Thales CipherTrust Manager 中輪換金鑰,因為金鑰資料儲存在 OCI 之外。
- 在 Thales CipherTrust Manager 中新增新的外部金鑰版本。
在 OCI 中,您可以按一下循環金鑰參照,然後從上一個步驟輸入外部金鑰版本 ID 。
OCI 外部 KMS 支援哪些 OCI 服務?
OCI 外部 KMS 支援對稱式加密金鑰,並且與已與 OCI 保存庫整合的應用程式相容。因此,客戶不必修改應用程式來從 OCI 外部 KMS 中獲益,就能使用和關聯金鑰的方式與 OCI Vault 和 SLA 99.9% 相同。
下列服務已與 OCI 保存庫整合,不做任何變更就能從 OCI 外部 KMS 獲益:
- Oracle Cloud Infrastructure Object Storage、Block Volume 和 File Storage
- Oracle Cloud Infrastructure Container Engine for Kubernetes
- Oracle Database,包括 Oracle Autonomous Database on Dedicated Exadata Infrastructure、Shared Exadata InfrastructureOracle Autonomous Database on Shared Exadata Infrastructure 上的 Oracle Autonomous Database、Oracle Database Cloud Service,以及資料庫即服務
如果我在 OCI 外部 KMS 中停用、封鎖或移除 Thales CipherTrust Manager 中的金鑰,會發生什麼情況?OCI 中的資料是否仍然可以存取?
OCI 外部 KMS 的設計方式為 OCI 無法存取實際的加密金鑰資料。一旦客戶封鎖了 Thales CipherTrust Manager 中的金鑰,OCI 就無法使用金鑰參照來解密資料,或使用該金鑰參照執行任何作業。
您也可以從 OCI 主控台停用 / 刪除金鑰參照。
OCI 外部 KMS 是否支援跨區域複寫金鑰 / 保存庫?
OCI 外部 KMS 目前不支援金鑰 / 保存庫的跨區域複寫。
OCI 外部 KMS 的價格為何?
OCI External KMS costs US$3 per key version per month, and there is no additional cost for the use of these key versions.客戶的軟限制為每個保存庫 10 個保存庫和 100 個金鑰版本。請與 Thales 聯絡以瞭解 CipherTrust Manager 價格與限制。
如何進一步瞭解 OCI 外部 KMS?
您可以閱讀技術文件或在 OCI 主控台中試用,深入瞭解 OCI 外部 KMS。透過依序選取 OCI 導覽功能表中的身分識別和安全、金鑰管理和加密密碼管理,然後選取外部金鑰管理,存取 OCI 主控台中的外部 KMS 。