Key Management 常見問題

一般問題

Oracle Cloud Infrastructure Key Management Service (KMS) 是什麼?

Oracle Cloud Infrastructure (OCI) 金鑰管理服務 (KMS) 是一項雲端式服務,可針對儲存在 OCI 中的資料,提供加密金鑰的集中式管理與控制。OCI KMS 是客戶管理的加密服務,並提供下列服務:

  • OCI Vault :OCI Vault 是一項客戶管理的加密服務,可讓您控制託管在 OCI 硬體安全模組 (HSM) 中的金鑰,同時由 Oracle 管理及維護 HSM。OCI Vault 提供以下選項:
    • 虛擬保存庫:虛擬保存庫是一項多租戶加密服務,您的金鑰會儲存在 HSM 分割區中,而這些分割區也託管其他客戶的金鑰。這是 OCI Vault 中的預設加密服務。
    • 私有保存庫:私有保存庫是一項單一租用戶加密服務,可將金鑰儲存在專用 HSM 分割區中,並使用隔離至您租用戶的專用核心。
  • OCI Dedicated KMS :OCI Dedicated KMS 是以服務形式提供的單一租戶 HSM 分割區,可提供完全隔離的環境,用於儲存和管理加密金鑰。Private Vault 與 OCI Dedicated KMS 的差異在於 HSM 分割區的控制方式。透過 OCI Dedicated KMS,您可以控制並取得 HSM 分割區的擁有權,並使用 PKCS#11 等標準介面執行加密作業。Oracle 仍會管理這些 HSM 分割區,以進行安全性與韌體修補。
  • OCI 外部 KMS :外部 KMS 可讓您使用自己的第三方金鑰管理系統,保護 OCI 服務中的資料。您可在 OCI 外部控制金鑰和 HSM,並負責這些 HSM 的管理與可管理性。您的主金鑰一律儲存在 OCI 外部,且絕不會匯入 OCI External KMS,因此加密和解密作業會在 OCI 外部進行。

OCI KMS 符合哪些安全性與法規遵循要求?

OCI KMS 使用符合 Federal Information Processing Standards (FIPS) 140-2 Security Level 3 安全認證的 HSM 來保護您的金鑰。FIPS 憑證可在 NIST 密碼模組驗證計畫 (CMVP) 網站此處找到。

OCI KMS 已通過功能與安全控制驗證,可協助您滿足 PCI DSS 3.2.1 的加密與金鑰管理要求(主要參考第 3.5 和 3.6 節)。

OCI KMS 支援哪些功能或特性?

OCI KMS 支援多種功能,讓您能夠控制金鑰,並確保 OCI 服務中的資料具備所需的安全保護。以下是 OCI KMS 中不同服務的關鍵功能矩陣。

功能 虛擬保管庫 私人保存庫 專用 KMS 外部 KMS
FIPS 140-2 第 3 級 HSMs 外部
對稱式 (AES) 加密
非對稱式(RSA 和 ECDSA)加密
軟體金鑰 外部
備份 / 還原
跨區域複寫
使用自己的金鑰 外部
OCI 服務整合(儲存、資料庫、SaaS)
自動金鑰輪替 即將上市
稽核日誌
排程刪除

Oracle 如何在區域中提供金鑰的高可用性?我的金鑰儲存在哪些地理區域?

Oracle 使用一組節點和 HSM,將您金鑰的複本儲存在其建立所在的相同區域,讓我們能夠為金鑰管理提供 99.9% 服務層級協議 (SLA) 和 99.99% 服務層級目標 (SLO)。請參閱 Oracle PaaS and IaaS Public Cloud Services 重要說明文件

金鑰僅會儲存並用於建立該金鑰的區域。如果您想要將金鑰備份 / 複寫到領域中的另一個區域,以符合合規或災難復原需求,可以使用跨區域備份與還原或跨區域複寫。

OCI KMS 和 Oracle Key Vault (OKV) 有何差異?

OCI KMS 是 Oracle 建議用於所有雲端應用程式的雲端原生金鑰管理服務。OCI KMS 與許多 OCI 服務原生整合,涵蓋儲存、資料庫,以及 FA 等 SaaS 服務。如果您正在 Oracle Cloud 中尋找集中式金鑰管理,以及適用於所有雲端應用程式且採用隨用隨付定價結構的託管服務,那麼 OCI KMS 就是 Oracle 推薦的選擇。

Oracle Key Vault 是 Oracle 的另一款金鑰管理產品。Oracle Key Vault 為內部部署 (包括 Oracle Exadata Cloud@Customer 和 Oracle Autonomous AI Database — Dedicated) 和 OCI 中執行之 TDE 啟用的 Oracle 資料庫提供金鑰管理,以及加密的 Oracle GoldenGate 歷程檔和加密的 Oracle Automatic Storage Management 叢集檔案系統金鑰管理。

OCI KMS 存在於哪些 OCI 區域?我可以在哪裡找到 OCI KMS 的資源?

OCI KMS 可在所有 OCI 區域和領域使用,包括政府、歐盟主權雲、Oracle National Security 區域,以及 OCI 專用區域 Cloud@Customer。您可以在我們的文件中進一步瞭解區域可用性與 OCI KMS 產品。

Vault

什麼是 OCI Vault?

OCI Vault 是安全、有彈性的完全託管服務,可讓您專注於資料加密需求,無須擔心實現高可用性所需的耗時管理作業,例如硬體佈建和軟體打補丁。Vault 使用符合 Federal Information Processing Standards (FIPS) 140-2 Security Level 3 安全認證的 HSM 來保護您的金鑰。OCI Vault 是 Oracle 原生的 Gen 2 Cloud 加密服務。

Vault 支援不同類型的加密金鑰,包括對稱式 (AES 金鑰) 與非對稱式 (RSA 和 ECDSA 金鑰),以及一組通用工作負載,包括 Oracle Exadata Cloud Service、Oracle Autonomous AI Database、Oracle AI Database 中的 Transparent Data Encryption,以及非資料庫工作負載。

OCI 金鑰保存庫有兩種類型:專用金鑰保存庫和預設虛擬金鑰保存庫。您建立的金鑰保存庫類型決定金鑰的隔離程度和效能。每個租戶可以擁有零至多個 Vault。

專用金鑰保存庫 提供 HSM (單一租用戶) 的專用分割區。分割區是 HSM 上的實體邊界,隔離於其他分割區。專用金鑰保存庫 為加密作業每秒提供更佳且一致的交易。這些是單一租戶 HSM。私有保存庫也具備其他功能,例如跨區域複寫,以及金鑰的跨區域備份與還原。

預設的 Virtual Vault 使用多租戶分割區,提供中等程度的隔離。

這兩種 Vault 選項都可讓您建立以下列其中一種方式儲存的主要加密金鑰:

  • HSM 金鑰:由 HSM 保護的主加密金鑰儲存在 HSM 上,無法從 HSM 匯出。涉及金鑰的所有加密作業也會在 HSM 上發生。這些金鑰符合 FIPS 第 3 級規範。
  • 軟體金鑰:由軟體保護的主加密金鑰儲存在伺服器上,並且可從伺服器匯出,以在用戶端上執行加密作業,而不是在伺服器上執行。在靜態時,軟體保護金鑰會使用 HSM 上的根金鑰加密。這些金鑰符合 FIPS 第 1 級標準。

OCI Vault 提供哪些功能?

使用 OCI Vault 時,可使用下列金鑰管理功能:

  • 建立您自己的加密金鑰以保護資料
  • 使用自己的金鑰
  • 輪換金鑰
  • 使用您的非對稱金鑰,透過簽署和驗證作業建立及驗證數位簽章
  • 支援跨區域備份及回復保存庫和金鑰 (僅限私人保存庫)
  • 支援保存庫和金鑰的跨區域複寫 (僅限專用保存庫)
  • 暫時停用金鑰以保護資料
  • 排定刪除不再使用的金鑰和保存庫
  • 使用 OCI IAM 政策,限制金鑰與保管庫管理及使用的精細權限。
  • 使用 Oracle Audit and Database Firewall 監控金鑰和 Vault 生命週期狀態
  • 與 OCI 內部服務無縫整合:Oracle Exadata Cloud Service、Oracle Autonomous AI Database — Dedicated,以及 Oracle Cloud Infrastructure (OCI) Block Storage、File Storage、Object Storage、Streaming 和 Container Engine for Kubernetes。

在 OCI Vault 中,您可以建立進階加密標準 (AES-GCM)、Rivest-Shamir-Adleman (RSA) 和橢圓曲線數位簽章演算法 (ECDSA) 金鑰。對於 AES 金鑰,您可以從三個金鑰長度中選擇:AES-128、AES-192 和 AES-256。建議使用 AES-256。OCI Vault 支援下列非對稱金鑰類型:RSA 2048、RSA 3072、RSA 4096、NIST P-256、NIST P384 和 ECC_NIST521。

您可以建立及使用 AES 對稱金鑰和 RSA 非對稱金鑰來進行加密與解密。您也可以使用 RSA 或 ECDSA 非對稱金鑰來簽署數位訊息。

如需更多詳細資訊並開始使用,請參閱 OCI Vault 概觀

如果我使用 OCI Vault,我的資料會加密在哪裡?

您可以直接將資料送出至金鑰管理 API,使用金鑰保存庫中儲存的主要加密金鑰進行加密和解密。此外,您還可以使用「信封加密」方法,將應用系統和 OCI 服務內本機的資料加密。

使用信封加密,從金鑰管理 API 產生並擷取資料加密金鑰 (DEK)。DEK 並未儲存在金鑰管理服務中,但是由您的主要加密金鑰加密。您的應用程式可以使用 DEK 來加密您的資料,並將加密的 DEK 與資料一起儲存。當您的應用程式想要將資料解密時,您應該在加密的 DEK 上呼叫金鑰管理 API 的解密功能,以擷取 DEK。您可以使用 DEK 在本機解密資料。

為什麼要使用信封加密?為何不直接將資料傳送至 OCI Key Management Service 和 OCI Vault 進行加密?

金鑰管理支援最多可傳送 4 KB 的資料進行直接加密。此外,信封加密也可以提供顯著的效能。以金鑰管理 API 直接加密資料時,必須透過網路傳輸資料。信封加密可減少網路負載,因為只有要求和傳遞較小的 DEK 會透過網路進行。DEK 是在您的應用程式本機使用或加密 OCI 服務,不需要傳送整個資料區塊。

我可以將自備金鑰 (BYOK) 帶入 OCI Vault 嗎?

有。您可以將金鑰的複本從自己的金鑰管理基礎架構匯入至 OCI 金鑰保存庫,然後搭配任何整合的 OCI 服務或在自己的應用程式內使用。您可以匯入所有金鑰演算法:AES、RSA 和 ECDSA 金鑰。支援匯入這兩種類型的金鑰,包括 HSM 金鑰以及軟體金鑰。注意:您無法將 HSM 金鑰匯出至 HSM 外部。

我可以輪換金鑰嗎?

有。您可以根據安全性治理和法規遵循需求定期輪換金鑰,或在安全性事件發生時臨時輪換。定期使用主控台、API 或 CLI 輪換金鑰 (例如每 90 天),可限制受單一金鑰保護的資料量。

注意:輪換金鑰並不會自動將先前以舊金鑰版本加密的資料重新加密;客戶下次修改此資料時才會重新加密。若您懷疑金鑰外洩,則應該對所有由該金鑰保護的資料重新加密,並停用先前的金鑰版本。

是否可以刪除金鑰保存庫或金鑰?

可以,但無法立即刪除。您可以透過設定 7 到 30 天的等待期間,排程刪除 Vault、金鑰或金鑰版本。

若為刪除金鑰保存庫,等待期結束時,會將金鑰保存庫和在該金鑰保存庫內建立的所有金鑰刪除,這些金鑰所保護的所有資料也都無法再存取。刪除金鑰保存庫之後,即無法予以復原。

您也可以停用金鑰,讓該金鑰無法進行任何加密 / 解密作業。

我可以在金鑰原建立區域以外的區域傳輸並使用金鑰嗎?

有。Vault 支援金鑰和保存庫的跨區域複寫。您可以將私人保存庫從一個區域複製到另一個區域,讓這些保存庫及其包含的金鑰可供使用,以滿足合規要求或改善延遲。

當您為私人保存庫設定跨區域複寫時,Vault 服務會自動同步起始保存庫與某個目的地區域的保存庫之間,任何金鑰或金鑰版本的建立、刪除、更新或移動。服務從中複製資料的保存庫稱為來源保存庫。服務將資料從來源保存庫複寫到目的地區域中的保存庫,稱為保存庫複本。該服務支援針對目的地區域中的保存庫和金鑰執行密碼編譯作業。

OCI Vault 也支援 Private Vault 的跨區域備份與回復,讓金鑰能在不同於其建立位置的區域中使用。備份與回復會滿足 FIPS 需求,因為不會匯出真正的金鑰資料,而是代表主要資料的二進位物件。回復作業只能對 OCI 管理的 HSM 進行。

使用 OCI Key Management Service 和 OCI Vault 如何計費?

系統會根據您建立的保存庫類型向您收取費用。

根據預設,您的 Vault 會根據金鑰版本數目來收費。軟體保護金鑰是免費的,但 HSM 保護金鑰每個金鑰版本收取 53 美分。(前 20 個金鑰版本免費)。不過,如果您建立專用保存庫 (單租用戶 HSM),系統就會以每小時計費。計費自 Vault 建立時開始,並持續到 Vault 排定刪除為止。您無須支付「專用保存庫」內的金鑰版本費用。

您不會因對服務提出保存庫和金鑰的 API 要求數量(用於任何管理或加密作業)而被計費。

如需詳細資訊,請參考 Oracle Cloud 安全價格

排定刪除的金鑰:系統不會向您收取排定刪除的金鑰費用。如果您取消刪除金鑰,帳單就會繼續。

OCI Vault 的預設限制為何?

Private Vault 限制預設為 0。使用者應要求提高限額,才能使用。啟用 私有保管庫 後,使用者會取得 1,000 個對稱金鑰版本的軟性限制,以及 3,000 個的硬性限制。

使用預設的 Virtual Vault 來儲存金鑰時,沒有嚴格限制。預設為每個金鑰保存庫中,有具備 100 個金鑰的 10 個金鑰保存庫。

不論相應的金鑰為啟用或停用,所有儲存在金鑰保存庫的金鑰版本均會納入此限制值計算。

OCI Vault 所施加的限制由 OCI 服務限制所管理。已為所有租用戶設定預設限制。客戶可依照 Oracle Cloud Infrastructure 文件中此處所述步驟,要求提高儲存在金鑰保存庫內的金鑰服務限制。由於已啟用和停用的金鑰均會納入限制值計算,Oracle 建議刪除不再使用的已停用金鑰。

誰可以在 OCI Vault 中使用及管理我的金鑰?我可以查看誰變更了金鑰和 Vault 的生命週期狀態嗎?

當您使用 OCI Key Management Service 加密或解密資料時,只有您透過 OCI IAM 政策授權的使用者、群組或服務可以管理及使用金鑰。您可以強制執行精細的使用與管理原則,為特定使用者授予特定權限。

若要追蹤生命週期狀態變更,您可以使用 OCI Audit 中的日誌,這些日誌會顯示您租用戶中所有 Vault、金鑰或金鑰版本的所有 OCI Vault 管理要求詳細資訊,例如建立、輪替、停用等。

專用金鑰管理服務

什麼是 OCI Dedicated KMS?

OCI Dedicated KMS 是一項全受管服務,可在您的 OCI 帳戶中提供單一租用戶硬體安全模組 (HSM) 分割區。您可取得對加密金鑰及儲存這些金鑰之 HSM 分割區的專屬控制權與可視性,讓您更能掌控金鑰管理。

OCI Dedicated KMS 的主要優點有哪些?

  • 精細控制:在 HSM 環境中管理金鑰生命週期、使用者存取權及安全政策。
  • 直接 HSM 互動:應用程式透過 PKCS#11 直接存取 HSM,略過 OCI API 以提升效率。
  • 法規遵循:使用通過 FIPS 140-2 第 3 級認證的 HSM,並直接與 HSM 互動以執行低延遲操作。

誰需要 OCI Dedicated KMS?

具備嚴格合規要求,或採用自訂公開金鑰基礎架構 (PKI) 部署,且需要對金鑰管理和加密作業進行精細控制與可視性的組織,可從 OCI Dedicated KMS 獲得顯著助益。

OCI Dedicated KMS 與 OCI 的 Vault(Private Vault)產品有何不同?

雖然兩者都提供單一租戶 HSM 分割區,但 OCI Dedicated KMS 可讓您直接控制 HSM 分割區和管理員使用者,非常適合進階自訂與管理。透過 OCI Dedicated KMS,您可以使用 PKCS#11 等標準介面,對金鑰執行加密作業。另一方面,Private Vault 優先考量搭配 Oracle 管理的 HSM 使用便利性,適合標準 KMS 需求。您使用 KMS API 在 Private Vault 服務中執行加密作業。

OCI Dedicated KMS 支援哪些 OCI 服務?

應用程式必須使用 PKCS#11 等標準介面,直接與 OCI Dedicated KMS 互動。Database、Storage 和 Oracle Fusion Applications 等 OCI 服務已與 Vault 產品原生整合;請在 OCI KMS 中針對這些服務使用 Vault。

如何開始使用 OCI Dedicated KMS?

提高 OCI 中的 OCI 專用 KMS 資源限制,因為根據預設,您無法在 OCI 主控台中建立 HSM 叢集。HSM 叢集建立是多步驟程序,並在兩個階段需要使用者介入:需要初始化與需要啟用。請參閱技術文件,以成功建立 HSM 叢集。

OCI Dedicated KMS 的費用是多少?

OCI Dedicated KMS 的價格為每個 HSM 分割區每小時 1.75 美元。最低須使用三個 HSM 分割區,起始費用為每小時 US$5.25。

您必須明確要求限制,以使用專用 HSM 分割區。

我可以將更多分割區新增至現有的 HSM 叢集嗎?

否。每個 HSM 叢集都包含三個固定分割區。如果您需要更多分割區,請建立其他 HSM 叢集。

如何管理我的金鑰並對金鑰執行加密作業?

客戶應用程式使用 PKCS#11 標準介面,直接透過 HSM 存取金鑰並執行加密作業,無需仰賴 OCI API。

OCI Dedicated KMS 有哪些安全功能?

OCI Dedicated KMS 透過 FIPS 140-2 Level 3 認證的 HSM 分割區、HSM 互動的端對端加密,以及對使用者存取與安全政策的精細控制,為金鑰管理提供更高的控制力與安全性。

哪裡可以找到有關 OCI Dedicated KMS 的更多資訊?

您可以在 OCI 金鑰管理服務網頁上找到實用資訊。如需設定的詳細資訊,請參閱 Oracle 技術文件

外部金鑰管理服務

什麼是 OCI 外部金鑰管理服務 (OCI External KMS)?

OCI 外部 KMS 是一項服務,可讓客戶使用儲存並管理於 OCI 之外的加密金鑰。這對於因法規要求而必須將加密金鑰儲存在內部部署環境或 OCI 外部,或希望對其加密金鑰擁有更多控制權的客戶而言,非常實用。

OCI External KMS 有哪些優點?

此服務可協助客戶解決以下問題:

  • 資料主權、法規遵循與法規:OCI External KMS 可協助客戶維持對加密金鑰及其儲存位置的控制。這對必須遵循嚴格資料主權要求的組織相當有利,例如歐盟一般資料保護規範 (GDPR)。
  • 信任與保證:OCI External KMS 可讓客戶擁有並管理加密模組,並成為其加密金鑰的保管者。這對於必須向最終客戶、合作夥伴和利害關係人展示其對加密程序掌控能力的組織而言十分有益。

使用 OCI External KMS 時有哪些營運考量?

OCI External KMS 讓客戶能更充分掌控其加密金鑰,但同時也伴隨營運責任:客戶必須在內部部署環境中控管、管理及維護加密金鑰與硬體安全模組 (HSM)。這是不同於現有 OCI Vault 服務的擁有權模式;在現有模式中,Oracle 代表客戶管理及維護 HSM 基礎架構。

如何在 OCI External KMS 中輪替金鑰?

若要在 OCI External KMS 中輪替金鑰 (也稱為金鑰參照),您必須先使用下列步驟在 Thales CipherTrust Manager 中輪替金鑰,因為金鑰材料儲存在 OCI 外部。

  • Thales CipherTrust Manager 中新增 外部金鑰版本

在 OCI 中,您接著可以按一下輪替金鑰參照,然後輸入上一個步驟中的外部金鑰版本 ID

OCI External KMS 支援哪些 OCI 服務?

OCI External KMS 支援對稱加密金鑰,並與已整合 OCI Vault 的應用程式相容。因此,客戶無需修改應用程式即可受益於 OCI External KMS;他們可以像使用 OCI Vault 一樣使用並關聯金鑰,且享有相同的 99.9% SLA。

下列服務已與 OCI Vault 整合,無需任何變更即可受惠於 OCI External KMS:

  • Oracle Cloud Infrastructure Object Storage、區塊磁碟區和檔案儲存
  • Oracle Cloud Infrastructure Container Engine for Kubernetes
  • Oracle AI Database,包括在專用 Exadata 基礎架構上執行的 Oracle Autonomous AI Database、在共用 Exadata 基礎架構上執行的 Oracle Autonomous AI Database、Oracle Database Cloud Service,以及資料庫即服務

如果我在 OCI 外部 KMS 中停用、封鎖或移除 Thales CipherTrust Manager 的金鑰,會發生什麼情況?我在 OCI 中的資料是否仍可存取?

OCI 外部 KMS 的設計方式,可確保 OCI 無法存取實際的加密金鑰材料。一旦客戶在 Thales CipherTrust Manager 中封鎖金鑰,OCI 就無法使用金鑰參照來解密資料,或使用該金鑰參照執行任何作業。

接著,您也可以從 OCI 主控台停用 / 刪除金鑰參照。

OCI External KMS 是否支援金鑰 / 保存庫的跨區域複寫?

OCI 外部 KMS 目前不支援金鑰 / 保存庫的跨區域複寫。

OCI External KMS 的定價為何?

OCI External KMS 的費用為每個金鑰版本每月 3 美元,使用這些金鑰版本不需支付額外費用。客戶的軟性限制為 10 個保存庫,以及每個保存庫 100 個金鑰版本。請聯絡 Thales,瞭解 CipherTrust Manager 的價格與限制。

如何進一步瞭解 OCI External KMS?

您可以閱讀技術文件,或在 OCI 主控台中試用,深入瞭解 OCI External KMS。在 OCI 主控台中,選取 OCI 導覽功能表中的「身分識別與安全性」,接著選取「金鑰管理與密碼管理」,然後選取「外部金鑰管理」,即可存取外部 KMS