Menü Kontaktieren Sie uns Bei Oracle Cloud anmelden

Schlüsselverwaltung – Häufig gestellte Fragen

Häufig gestellte Fragen – Themen

Allgemeine Fragen
Vault
Dedicated Key Management Service
External Key Management Service

Allgemeine Fragen

Was versteht man unter dem Cloud Infrastructure Key Management Service (KMS)?

Oracle Cloud Infrastructure (OCI) Key Management Service (KMS) ist ein cloudbasierter Service, der eine zentrale Verwaltung und Kontrolle von Verschlüsselungsschlüsseln für in OCI gespeicherte Daten bietet. OCI KMS ist eine vom Kunden verwaltete Verschlüsselung und bietet die folgenden Dienste an:

OCI Vault: OCI Vault ist ein vom Kunden verwalteter Verschlüsselungsservice, mit dem Sie die Schlüssel kontrollieren können, die in OCI-Hardwaresicherheitsmodulen (HSMs) gehostet werden, während Oracle die HSMs verwaltet. OCI Vault bietet die folgenden Optionen:
- Virtual Vault: Virtual Vault ist ein mehrmandantenfähiger Verschlüsselungsservice, bei dem Ihre Schlüssel in HSM-Partitionen gespeichert werden, die auch Schlüssel anderer Kunden hosten. Es handelt sich dabei um den Standardverschlüsselungsservice in OCI Vault.
- Private Vault: Private Vault ist ein einzelmandantenfähiger Verschlüsselungsservice, der Schlüssel in einer dedizierten HSM-Partition mit dedizierten Kernen speichert, die für Ihren Mandanten isoliert sind.
OCI Dedicated KMS: Demnächst steht mit OCI Dedicated KMS eine mandantenfähige HSM-Partition als Service zur Verfügung, die eine vollständig isolierte Umgebung für die Speicherung und Verwaltung von Verschlüsselungsschlüsseln bietet. Der Unterschied zwischen Private Vault und OCI Dedicated KMS besteht in der Steuerung der HSM-Partitionen. Mit OCI Dedicated KMS können Sie die HSM-Partitionen kontrollieren und für sich beanspruchen sowie Standardschnittstellen wie PKCS#11 verwenden, um kryptografische Operationen durchzuführen. Oracle verwaltet diese HSM-Partitionen weiterhin für Sicherheits- und Firmware-Patches.
OCI External KMS: Mit dem externen KMS können Sie Ihr eigenes Schlüsselverwaltungssystem eines Drittanbieters nutzen, um Daten in OCI-Diensten zu schützen. Sie kontrollieren die Schlüssel und das HSM außerhalb von OCI und sind für die Verwaltung und Handhabbarkeit dieser HSMs verantwortlich. Ihre Hauptschlüssel werden immer außerhalb von OCI gespeichert und nie in OCI External KMS importiert, sodass die Ver- und Entschlüsselungsvorgänge außerhalb von OCI stattfinden.

Weitere Informationen zu OCI-Verschlüsselungsangeboten finden Sie in folgendem Blog.

Welche Sicherheits- und Complianceanforderungen werden von OCI KMS erfüllt?

OCI KMS verwendet HSMs, die der Sicherheitszertifizierung Federal Information Processing Standards (FIPS) 140-2 Security Level 3 entsprechen, um Ihre Schlüssel zu schützen. Das FIPS-Zertifikat finden Sie auf der Website des NIST Cryptographic Module Validation Program (CMVP) – hier.

OCI KMS wurde hinsichtlich der Funktionalität und der Sicherheitskontrollen überprüft, um Sie bei der Erfüllung der Verschlüsselungs- und Schlüsselverwaltungsanforderungen des PCI DSS 3.2.1 zu unterstützen (auf die hauptsächlich in den Abschnitten 3.5 und 3.6 verwiesen wird).

Welche Fähigkeiten oder Funktionen werden von OCI KMS unterstützt?

OCI KMS unterstützt verschiedene Funktionen, mit denen Sie Ihre Schlüssel kontrollieren und den erforderlichen Sicherheitsschutz für Ihre Daten in OCI-Services sicherstellen können. Im Folgenden finden Sie die Funktionsmatrix für kritische Funktionen über verschiedene Services in OCI KMS hinweg.

Funktionen	Virtual Vault	Private Vault	Dedicated KMS	External KMS
FIPS 140-2 Level 3 HSMs	Ja	Ja	Ja	Extern
Symmetrische (AES) Verschlüsselung	Ja	Ja	Ja	Ja
Asymmetrische Verschlüsselung (RSA und ECDSA)	Ja	Ja	Ja	Nein
Softwareschlüssel	Ja	Ja	Nein	Extern
Backup/Wiederherstellung	Nein	Ja	Ja	Nein
Regionsübergreifende Replikation	In Kürze	Ja	Nein	Nein
Bring Your Own Key	Ja	Ja	Ja	Extern
OCI Services Integration (Storage, Database, SaaS)	Ja	Ja	Nein	Ja
Automatische Schlüsselrotation	In Kürze	In Kürze	Nein	Nein
Auditlog	Ja	Ja	Ja	Ja
Geplanter Löschvorgang	Ja	Ja	Ja	Ja

Wie stellt Oracle Hochverfügbarkeit von Schlüsseln in einer Region bereit? In welchen geografischen Regionen werden meine Schlüssel gespeichert?

Oracle verwendet einen Cluster von Knoten und HSMs, um Replikate Ihrer Schlüssel in derselben Region zu speichern, in der sie erstellt wurden. Dadurch können wir ein Service Level Agreement (SLA) von 99,9 % und ein Service Level Objective (SLO) von 99,99 % für die Schlüsselverwaltung bieten. Bitte ziehen Sie das Oracle PaaS und IaaS Public Cloud Services – Pillar-Dokument zu Rate.

Ein Schlüssel wird ausschließlich in der Region gespeichert und verwendet, in der er erstellt wurde. Wenn Sie Ihre Schlüssel in einer anderen Region im Realm sichern/replizieren möchten, um Compliance- oder DR-Anforderungen zu erfüllen, können Sie die regionsübergreifende Sicherung und Wiederherstellung oder die regionsübergreifende Replikation nutzen.

Worin liegt der Unterschied zwischen OCI KMS und Oracle Key Vault (OKV)?

OCI KMS ist ein Cloud-nativer Schlüsselverwaltungsservice, den Oracle für alle Cloud-Anwendungen empfiehlt. OCI KMS ist nativ in viele OCI-Dienste im Zusammenhang mit Storage, Datenbanken und SaaS-Diensten wie FA integriert. Wenn Sie ein zentralisiertes Schlüsselmanagement in der Oracle Cloud und einen Managed Service für alle Ihre Cloud-Anwendungen mit einer Pay-as-you-go-Preisstruktur suchen, dann ist OCI KMS das, was Oracle empfiehlt.

Oracle Key Vault ist ein weiteres Schlüsselverwaltungsprodukt von Oracle. Oracle Key Vault bietet eine Schlüsselverwaltung für TDE-fähige Oracle-Datenbanken, die sowohl On-Premises (einschließlich Oracle Exadata Cloud@Customer und Oracle Autonomous Database – Dedicated) als auch in OCI ausgeführt werden, sowie eine Schlüsselverwaltung für verschlüsselte Oracle GoldenGate Trail-Dateien und verschlüsselte Oracle Automatic Storage Management Cluster File Systems.

In welchen OCI-Regionen ist OCI KMS vorhanden, und wo finde ich Ressourcen für OCI KMS?

OCI KMS ist in allen OCI-Regionen und -Realms verfügbar, einschließlich Government, EU Sovereign Cloud, Oracle National Security Regions und OCI Dedicated Region Cloud@Customer. Weitere Informationen zur Regionsverfügbarkeit und zu OCI KMS-Angeboten finden Sie in unserer Dokumentation und in unseren Blogs.

Vault

Was ist OCI Vault?

OCI Vault ist ein sicherer, robuster und vollständig verwalteter Service, mit dem Sie sich auf Ihre Datenverschlüsselungsanforderungen konzentrieren können, ohne sich um zeitraubende administrative Aufgaben kümmern zu müssen, die für eine hohe Verfügbarkeit erforderlich sind, wie z. B. die Bereitstellung von Hardware und Software-Patches. Vault verwendet HSMs, die der Sicherheitszertifizierung Federal Information Processing Standards (FIPS) 140-2 Security Level 3 entsprechen, um Ihre Schlüssel zu schützen. OCI Vault ist der native Cloud-Verschlüsselungsdienst der 2. Generation von Oracle.

Vault unterstützt verschiedene Typen von Verschlüsselungsschlüsseln – symmetrische (AES-Schlüssel) und asymmetrische (RSA- und ECDSA-Schlüssel) – sowie eine Reihe allgemeiner Arbeitslasten, einschließlich Oracle Exadata Cloud Service, Oracle Autonomous Database, Transparent Data Encryption in Oracle Database und datenbankunabhängiger Arbeitslasten.

Es gibt zwei Arten von OCI Vault: Einen Private Vault und einen standardmäßigen Virtual Vault. Der von Ihnen erstellte Vault-Typ bestimmt den Grad der Isolation und Leistung Ihrer Schlüssel. Jeder Tenant kann keine bis zahlreiche Vaults haben.

Ein Private Vault bietet eine dedizierte Partition auf dem HSM (einzelmandantenfähig). Eine Partition ist eine physische Abgrenzung auf dem HSM, die von anderen Partitionen isoliert ist. Private Vault ermöglicht bessere und konsequente Transaktionen pro Sekunde bei kryptografischen Vorgängen. Es handelt sich dabei um einzelmandantenfähige HSMs. Private Vaults bieten außerdem zusätzliche Funktionen wie die regionsübergreifende Replikation sowie die regionsübergreifende Sicherung und Wiederherstellung von Schlüsseln.

Der standardmäßige Virtual Vault verwendet eine mehrmandantenfähige Partition, die einen mäßigen Grad an Isolierung bieten.

Mit beiden Vault-Optionen können Sie Hauptverschlüsselungsschlüssel erstellen, die auf eine der folgenden Arten gespeichert werden:

HSM-Schlüssel: Ein durch ein HSM geschützter Hauptverschlüsselungsschlüssel wird auf einem HSM gespeichert und kann nicht aus diesem exportiert werden. Alle kryptografischen Vorgänge, die den Schlüssel betreffen, finden ebenfalls auf dem HSM statt. Diese Schlüssel sind FIPS Level 3-konform.
Software-Schlüssel: Ein durch Software geschützter Hauptverschlüsselungsschlüssel wird auf einem Server gespeichert und kann von dort exportiert werden, um kryptografische Vorgänge auf dem Client anstatt auf dem Server auszuführen. Im Ruhezustand wird der softwaregeschützte Schlüssel mit einem Root-Schlüssel auf dem HSM verschlüsselt. Diese Schlüssel sind FIPS Level 1-konform.

Welche Funktionen bietet OCI Vault?

Die folgenden Schlüsselverwaltungsfunktionen sind verfügbar, wenn Sie OCI Vault verwenden:

Erstellung eigener Verschlüsselungsschlüssel zum Schutz Ihrer Daten
Verwendung eigener Schlüssel
Rotieren Ihrer Schlüssel
Erstellung und Überprüfung digitaler Signaturen mit Signier- und Überprüfungsvorgängen unter Verwendung Ihrer asymmetrischen Schlüssel
Unterstützung für die regionsübergreifende Sicherung und Wiederherstellung Ihrer Vaults und Schlüssel (nur private Vaults)
Unterstützung für die regionsübergreifende Replikation von Vaults und Schlüsseln (nur private Vaults)
Vorübergehende Deaktivierung von Schlüsseln zum Schutz von Daten
Planung des Löschens von Schlüsseln und Tresoren, die Sie nicht mehr verwenden
Schränken Sie die Verwaltung und Verwendung von Schlüsseln und Tresoren mithilfe von OCI IAM-Richtlinien auf genau definierte Berechtigungen ein.
Überwachung des Lebenszyklus von Schlüsseln und Tresoren mit Oracle Audit und Database Firewall
Nahtlose Integration in OCI-interne Dienste: Oracle Exadata Cloud Service, Oracle Autonomous Database-Dedicated und Oracle Cloud Infrastructure (OCI) Block Storage, File Storage, Object Storage, Streaming und Container Engine for Kubernetes.

In OCI Vault können Sie Schlüssel nach den folgenden Standards erstellen: Advanced Encryption Standard (AES-GCM), Rivest-Shamir-Adleman (RSA) und Elliptic Curve Digital Signature Algorithm (ECDSA). Bei AES-Schlüsseln können Sie aus drei Schlüssellängen wählen: AES-128, AES-192 und AES-256. AES-256 wird empfohlen. OCI Vault unterstützt die folgenden asymmetrischen Schlüsseltypen: RSA 2048, RSA 3072, RSA 4096, NIST P-256, NIST P384 und ECC_NIST521.

Sie können symmetrische AES-Schlüssel und asymmetrische RSA-Schlüssel für die Verschlüsselung und Entschlüsselung erstellen und verwenden. Sie können außerdem asymmetrische RSA- oder ECDSA-Schlüssel zum Signieren digitaler Nachrichten verwenden.

Weitere Informationen und erste Schritte finden Sie unter Überblick über OCI Vault.

Wo werden meine Daten verschlüsselt, wenn ich OCI Vault verwende?

Sie können Daten direkt an Schlüsselverwaltungs-APIs senden, um sie mit Ihren im Vault gespeicherten Hauptverschlüsselungsschlüsseln zu ver- und entschlüsseln. Sie können Ihre Daten auch lokal in Ihren Anwendungen und OCI-Diensten mithilfe einer als Umschlagverschlüsselung bezeichneten Methode verschlüsseln.

Mithilfe der Umschlagverschlüsselung können Sie Datenverschlüsselungsschlüssel (Data Encryption Keys, DEK) von Schlüsselverwaltungs-APIs generieren und abrufen. DEKs werden nicht im Schlüsselverwaltungsdienst gespeichert oder verwaltet, sondern von Ihrem Hauptverschlüsselungsschlüssel verschlüsselt. Ihre Anwendungen können DEK verwenden, um Ihre Daten zu verschlüsseln und den verschlüsselten DEK zusammen mit den Daten zu speichern. Wenn Ihre Anwendungen die Daten entschlüsseln möchten, sollten Sie über die Schlüsselverwaltungs-API die Entschlüsselung des verschlüsselten DEK aufrufen, um den DEK abzurufen. Sie können Ihre Daten lokal mit dem DEK entschlüsseln.

Warum die Umschlagverschlüsselung verwenden? Warum nicht einfach Daten an OCI Key Management Service und OCI Vault senden, um sie direkt zu verschlüsseln?

Key Management unterstützt das Senden von bis zu 4 KB an Daten, um diese direkt zu verschlüsseln. Darüber hinaus kann die Umschlagverschlüsselung erhebliche Leistungsvorteile bieten. Wenn Sie Daten direkt mit Key Management-APIs verschlüsseln, müssen diese über das Netzwerk übertragen werden. Die Envelope-Verschlüsselung reduziert die Netzwerklast, da nur die Anforderung und Übertragung des viel kleineren DEK über das Netzwerk erfolgt. Der DEK wird lokal in Ihrer Anwendung oder beim Verschlüsseln des OCI-Dienstes verwendet, sodass nicht der gesamte Datenblock gesendet werden muss.

Kann ich meine eigenen Schlüssel (BYOK) mit OCI Vault verwenden?

Ja. Sie können eine Kopie Ihres Schlüssels aus Ihrer eigenen Infrastruktur zur Schlüsselverwaltung in Vault importieren und sie dort mit allen integrierten OCI-Diensten oder Ihren eigenen Anwendungen nutzen. Sie können alle Schlüsselalgorithmen importieren: AES-, RSA- und ECDSA-Schlüssel. Der Import beider Arten von Schlüsseln (sowohl HSM- als auch Softwareschlüssel) wird unterstützt. Hinweis: Sie können keine HSM-Schlüssel aus dem HSM exportieren.

Kann ich meine Schlüssel wechseln?

Ja. Sie können Ihre Schlüssel regelmäßig in Übereinstimmung mit Ihren Sicherheitsrichtlinien und gesetzlichen Vorschriften wechseln oder im Falle eines Sicherheitsvorfalls auch sofort ändern. Durch regelmäßiges Rotieren der Schlüssel (z. B. alle 90 Tage) mithilfe der Konsole, der API oder der CLI, wird die durch einen einzelnen Schlüssel geschützte Datenmenge begrenzt.

Hinweis: Durch das Wechseln eines Schlüssels werden Daten, die zuvor mit der alten Schlüsselversion verschlüsselt wurden, nicht automatisch neu verschlüsselt. Diese Daten werden beim nächsten Ändern durch den Kunden erneut verschlüsselt. Wenn Sie den Verdacht haben, dass ein Schlüssel kompromittiert wurde, sollten Sie alle durch diesen Schlüssel geschützten Daten erneut verschlüsseln und die vorherige Schlüsselversion deaktivieren.

Kann ich einen Vault oder Schlüssel löschen?

Ja, aber nicht sofort. Sie können die Löschung eines Vaults, eines Schlüssels oder einer Schlüsselversion planen, indem Sie eine Wartezeit von 7 bis 30 Tagen festlegen.

Beim Löschen des Vaults werden der Vault und alle im Vault erstellten Schlüssel nach Ablauf der Wartezeit gelöscht, was alle Daten, die durch diese Schlüssel geschützt waren, unzugänglich macht. Nachdem ein Vault gelöscht wurde, kann er nicht wiederhergestellt werden.

Sie können einen Schlüssel auch deaktivieren, wodurch Verschlüsselungs-/Entschlüsselungsvorgänge mit diesem Schlüssel verhindert werden.

Kann ich meine Schlüssel in eine andere Region übertragen und verwenden als die, in der sie erstellt wurden?

Ja. Vault unterstützt die regionale Replikation von Schlüsseln und Vaults. Sie können private Vaults von einer Region in eine andere Region replizieren, um sie und die darin enthaltenen Schlüssel zur Erfüllung von Complianceanforderungen oder zur Verbesserung der Latenz verfügbar zu machen.

Wenn Sie die regionsübergreifende Replikation für einen privaten Vault konfigurieren, synchronisiert der Vault-Dienst automatisch die Erstellung, Löschung, Aktualisierung oder Verschiebung von Schlüsseln oder Schlüsselversionen zwischen dem initiierenden Vault und einem Vault in einer Zielregion. Der Vault, aus dem der Service Daten repliziert, wird als Quell-Vault bezeichnet. Der Vault in der Zielregion, in der der Service Daten aus dem Quell-Vault repliziert, wird als Vault-Replikat bezeichnet. Der Dienst unterstützt kryptografische Operationen in Bezug auf den Vault und die Schlüssel in der Zielregion.

OCI Vault unterstützt außerdem die regionsübergreifende Sicherung und Wiederherstellung für den Private Vault, sodass Schlüssel in einer anderen Region als der, in der sie erstellt wurden, verwendet werden können. Die Sicherung und Wiederherstellung erfüllt die FIPS-Anforderungen, da nicht die echten Schlüsselmaterialien exportiert werden, sondern ein binäres Objekt, welches das Schlüsselmaterial repräsentiert. Wiederherstellungsvorgänge können nur für die von OCI verwalteten HSMs durchgeführt werden.

Wie wird mir die Nutzung von OCI Key Management Service und OCI Vault in Rechnung gestellt?

Die Gebühren richten sich nach dem Typ des erstellten Vaults.

Standardmäßig wird Ihr Vault basierend auf der Anzahl der Schlüsselversionen abgerechnet. Software-geschützte Schlüssel sind kostenlos, HSM-geschützte Schlüssel kosten jedoch 53 Cent pro Schlüsselversion. (Die ersten 20 Schlüsselversionen sind kostenlos). Wenn Sie jedoch einen privaten Vault (einzelmandantenfähiger HSM) erstellen, wird der Preis pro Stunde berechnet. Die Abrechnung beginnt mit dem Zeitpunkt der Erstellung des Vaults und dauert an, bis das Löschen des Vaults geplant ist. Für Schlüsselversionen in einem Private Vault werden Ihnen keine Gebühren berechnet.

Die Anzahl der API-Anfragen für Vaults und Schlüssel, die an den Dienst für Verwaltungs- oder Verschlüsselungsvorgänge gestellt werden, wird nicht in Rechnung gestellt.

Weitere Informationen finden Sie unter Oracle Cloud Security – Preisgestaltung.

Zur Löschung vorgesehene Schlüssel: Für Schlüssel, deren Löschung geplant ist, werden Ihnen keine Kosten in Rechnung gestellt. Wenn Sie das Löschen Ihrer Schlüssel abbrechen, wird die Rechnungsstellung wieder aufgenommen.

Was sind die Standardgrenzwerte für OCI Vault?

Der Private Vault-Grenzwert ist standardmäßig 0. Benutzer sollten eine Grenzwerterhöhung anfordern, wenn sie ihn verwenden möchten. Sobald der Private Vault aktiviert ist, erhalten Benutzer einen variablen Grenzwert von 1.000 und einen festen Grenzwert von 3.000 symmetrischen Schlüsselversionen.

Wenn Sie den standardmäßigen Virtual Vault verwenden, um Ihre Schlüssel zu speichern, gibt es keinen festen Grenzwert. Die Standardeinstellung liegt bei 10 Vaults mit 100 Schlüsseln pro Vault.

Alle Schlüsselversionen, die Sie in einem Vault speichern, gelten für dieses Limit, unabhängig davon, ob der entsprechende Schlüssel aktiviert oder deaktiviert ist.

Die für OCI Vault festgelegten Limits werden durch die OCI-Servicelimits bestimmt. Standardlimits sind für alle Tenancys festgelegt. Kunden können eine Erhöhung des Servicelimits für in einem Vault gespeicherte Schlüssel beantragen, indem sie die Schritte befolgen, die hier in der Oracle Cloud Infrastructure-Dokumentation beschrieben sind. Da sowohl aktivierte als auch deaktivierte Schlüssel zum Grenzwert zählen, empfiehlt Oracle, deaktivierte Schlüssel, die Sie nicht mehr verwenden, zu löschen.

Wer kann meine Schlüssel in OCI Vault verwenden und verwalten, und kann ich sehen, wer Änderungen am Lebenszyklusstatus von Schlüsseln und Vaults vorgenommen hat?

Wenn Sie den OCI Key Management Service zur Ver- oder Entschlüsselung von Daten verwenden, können nur Benutzer, Gruppen oder Dienste, denen Sie über eine OCI IAM-Richtlinie die Berechtigung erteilt haben, die Schlüssel verwalten und verwenden. Sie können genaue Nutzungs- und Verwaltungsrichtlinien durchsetzen, um bestimmten Benutzern bestimmte Berechtigungen zu erteilen.

Um Änderungen des Lebenszyklusstatus zu verfolgen, können Sie Protokolle in OCI Audit verwenden, die alle Details zu OCI Vault-Verwaltungsanfragen, wie z. B. Erstellen, Rotieren, Deaktivieren usw., für alle Vaults, Schlüssel oder Schlüsselversionen in Ihrer Tenancy anzeigen.

Dedicated Key Management Service

Was ist OCI Dedicated KMS?

Bei OCI Dedicated KMS handelt es sich um einen vollständig verwalteten Service, der einzelmandantenfähige Hardwaresicherheitsmodul (HSM)-Partitionen in Ihrem OCI-Account bereitstellt. Sie sichern sich dadurch exklusive Kontrolle und Sichtbarkeit in Bezug auf Ihre Verschlüsselsungsschlüssel sowie die HSM-Partitionen, in denen diese gespeichert sind. Dadurch erhalten Sie eine bessere Kontrolle über die Schlüsselverwaltung.

Was sind die Vorteile von OCI Dedicated KMS?

Granulare Kontrolle: Verwalten Sie Schlüssellebenszyklen, Benutzerzugriffe und Sicherheitsrichtlinien innerhalb der HSM-Umgebung.
Direkte HSM-Interaktion: Anwendungen greifen über PKCS#11 direkt auf HSMs zu und umgehen dabei OCI-APIs, was die Effizienz erhöht.
Compliance: Verwenden Sie FIPS 140-2 Ebene 3-zertifizierte HSMs und direkte HSM-Interaktion für Vorgänge mit geringer Latenz.

Wer benötigt OCI Dedicated KMS?

Unternehmen mit strengen Complianceanforderungen oder benutzerdefinierten Public-Key-Infrastruktur (PKI)-Bereitstellungen, die eine fein granulierte Kontrolle und Transparenz über ihr Schlüsselmanagement und ihre kryptografischen Vorgänge erfordern, können erheblich von OCI Dedicated KMS profitieren.

Wie unterscheidet sich OCI Dedicated KMS vom OCI Vault (Private Vault)-Angebot?

Während beide einzelmandantenfähige HSM-Partitionen bieten, erhalten Sie bei OCI Dedicated KMS direkte Kontrolle über HSM-Partitionen und Admin-Benutzer. Das ist ideal für erweiterte Anpassungen und die Verwaltung. Bei OCI Dedicated KMS verwenden Sie Standardschnittstellen wie PKCS#11, um Kryptovorgänge bei Ihren Schlüsseln auszuführen. Private Vault auf der anderen Seite priorisiert die Benutzerfreundlichkeit mithilfe von von Oracle verwalteten HSMs und eignet sich für standardmäßige KMS-Anforderungen. Sie verwenden dabei KMS-APIs, um Kryptovorgänge im Private Vault-Angebot auszuführen.

Welche OCI-Services werden bei OCI Dedicated KMS unterstützt?

Anwendungen müssen Standardschnittstellen wie PKCS#11 verwenden, um direkt mit OCI Dedicated KMS interagieren zu können. OCI-Services wie Database, Storage und Oracle Fusion Applications sind nativ in das Vault-Angebot integriert. Verwenden Sie für diese Services Vault in OCI KMS.

Was sind die ersten Schritte zur Verwendung von OCI Dedicated KMS?

Erhöhen Sie Ihre OCI Dedicated KMS-Ressourcenlimits innerhalb von OCI, da Sie das HSM-Cluster standardmäßig nicht in der OCI-Konsole erstellen können. Die Erstellung eines HSM-Clusters ist ein mehrstufiger Prozess, bei dem der Benutzer in zwei Phasen eingreifen muss: Es ist eine Initialisierung und eine Aktivierung erforderlich. Informationen zum erfolgreichen Erstellen eines HSM-Clusters finden Sie in der technischen Dokumentation.

Wie hoch sind die Kosten für OCI Dedicated KMS?

Der Preis für OCI Dedicated KMS beträgt 1,75 US-Dollar pro HSM-Partition pro Stunde. Bei mindestens drei HSM-Partitionen belaufen sich die Anfangskosten auf 5,25 US-Dollar pro Stunde.

Sie müssen für dedizierte HSM-Partitionen explizit einen Grenzwert anfordern.

Kann ich einem vorhandenen HSM-Cluster weitere Partitionen hinzufügen?

Nein. Jedes HSM-Cluster enthält drei feste Partitionen. Wenn Sie weitere Partitionen benötigen, müssen Sie zusätzliche HSM-Cluster erstellen.

Wie verwalte ich meine Schlüssel und wie führe ich kryptografische Vorgänge bei ihnen aus?
Kundenanwendungen greifen auf Schlüssel direkt über HSMs mit der PKCS#11-Standardschnittstelle zu bzw. führen kryptografische Vorgänge auf diese Weise aus. Dabei sind keine OCI-APIs erforderlich.

Welche Sicherheitsfunktionen bietet OCI Dedicated KMS?

OCI Dedicated KMS bietet eine bessere Kontrolle und Sicherheit für die Schlüsselverwaltung mit FIPS 140-2 Ebene 3-zertifizierten HSM-Partitionen, einer End-to-End-Verschlüsselung für HSM-Interaktionen und einer granularen Kontrolle über Benutzerzugriffe und Sicherheitsrichtlinien.

Wo finde ich weitere Informationen zu OCI Dedicated KMS?

Hilfreiche Informationen finden Sie auf der OCI Key Management Service-Webseite. Ausführliche Informationen zur Einrichtung erhalten Sie in der technischen Dokumentation von Oracle.

Externer Schlüsselverwaltungsservice

Was ist der OCI External Key Management Service (OCI External KMS)?

OCI External KMS ist ein Service, mit dem Kunden Verschlüsselungsschlüssel verwenden können, die außerhalb von OCI gespeichert und verwaltet werden. Dies kann insbesondere für Kunden nützlich sein, die gesetzlich verpflichtet sind, Verschlüsselungsschlüssel On-Premises oder außerhalb von OCI zu speichern. Oder auch für diejenigen, die mehr Kontrolle über ihre Verschlüsselungsschlüssel beibehalten möchten. Weitere Informationen finden Sie im folgenden Blog.

Welche Vorteile bietet OCI External KMS?

Der Service bietet Kunden eine Lösung für folgende Problembereiche:

Datensouveränität, Compliance und gesetzliche Vorschriften: Mit OCI External KMS behalten Kunden die Kontrolle über ihre Verschlüsselungsschlüssel und deren Speicherort. Dies ist vor allem für Unternehmen von Vorteil, die strenge Anforderungen in Bezug auf die Datensouveränität einhalten müssen, wie sie etwa in der Datenschutz-Grundverordnung (DSGVO) der EU festgelegt sind.
Vertrauen und Sicherheit: OCI External KMS ermöglicht es den Kunden, das kryptografische Modul zu übernehmen und zu verwalten und damit zum Verwalter ihrer Verschlüsselungsschlüssel zu werden. Dies ist von Vorteil für Unternehmen, die Endkunden, Partnern und Stakeholdern ihre Kontrolle über ihre Verschlüsselungsprozesse nachweisen müssen.

Welche betrieblichen Argumente sprechen für die Verwendung von OCI External KMS?

OCI External KMS bietet Kunden mehr Kontrolle über ihre Verschlüsselungsschlüssel. Dabei müssen sie jedoch auch mehr Verantwortung übernehmen: Kunden müssen Verschlüsselungsschlüssel und die Hardwaresicherheitsmodule (HSMs) On-Premises pflegen, verwalten und warten. Dies ist ein anderes Verantwortlichkeitsmodell als beim vorhandenen OCI Vault-Service, bei dem Oracle die HSM-Infrastruktur für die Kunden pflegt und verwaltet.

Wie rotiere ich Schlüssel in OCI External KMS?

Um einen Schlüssel (auch als Schlüsselreferenz bezeichnet) in OCI External KMS zu rotieren, müssen Sie die Schlüssel erst mit dem folgenden Schritt im Thales CipherTrust Manager rotieren, da das Schlüsselmaterial außerhalb von OCI gespeichert ist.

Fügen Sie eine neue externe Schlüsselversion im Thales CipherTrust Manager hinzu.

In OCI können Sie dann auf Schlüsselreferenz rotieren klicken und die External Key-Versionskennung aus dem vorherigen Schritt eingeben.

Welche OCI-Services werden von OCI External KMS unterstützt?

OCI External KMS unterstützt symmetrische Verschlüsselungsschlüssel und ist mit Anwendungen kompatibel, die bereits in OCI Vault integriert sind. Dadurch müssen Kunden ihre Anwendungen nicht ändern, um OCI External KMS zu nutzen. Sie können Schlüssel auf die gleiche Weise verwenden und verknüpfen, wie sie es mit dem OCI Vault tun würden – und dabei vom selben SLA von 99,9 % profitieren.

Die folgenden Services sind in OCI Vault integriert und können ohne Änderungen von OCI External KMS profitieren:

Oracle Cloud Infrastructure Object Storage, Block Volume und File Storage
Oracle Cloud Infrastructure Container Engine for Kubernetes
Oracle Database, einschließlich Oracle Autonomous Database on Dedicated Exadata Infrastructure, Oracle Autonomous Database on Shared Exadata Infrastructure, Oracle Database Cloud Service sowie Database as a Service
Oracle Fusion Cloud Applications

Was geschieht, wenn ich Schlüssel im Thales CipherTrust Manager in OCI External KMS deaktiviere, blockiere oder entferne? Bleiben meine Daten in OCI zugänglich?

OCI External KMS ist so konzipiert, dass OCI keinen Zugriff auf das tatsächliche kryptografische Schlüsselmaterial hat. Nachdem ein Kunde den Schlüssel im Thales CipherTrust Manager blockiert hat, kann OCI die Schlüsselreferenz nicht mehr verwenden, um Daten zu entschlüsseln oder einen Vorgang mit dieser Schlüsselreferenz auszuführen.

Sie können die Schlüsselreferenzen dann auch über die OCI-Konsole deaktivieren/löschen.

Unterstützt OCI External KMS die regionsübergreifende Replikation von Schlüsseln/Vaults?

OCI External KMS unterstützt derzeit keine regionsübergreifende Replikation von Schlüsseln/Vaults.

Welche Preise gelten für OCI External KMS?

OCI External KMS kostet 3 USD pro Schlüsselversion pro Monat. Für die Verwendung dieser Schlüsselversionen fallen keine zusätzlichen Kosten an. Kunden steht ein flexibles Limit von 10 Vaults mit 100 Schlüsselversionen pro Vault zur Verfügung. Wenden Sie sich bitte an Thales, um mehr über die Preise und Limits beim CipherTrust Manager zu erfahren.

Wo kann ich mehr über OCI External KMS erfahren?

Sie können mehr über OCI External KMS erfahren, indem Sie die technische Dokumentation lesen oder es einfach in der OCI-Konsole selbst ausprobieren. Rufen Sie dafür External KMS in der OCI-Konsole auf, indem Sie im OCI-Navigationsmenü die Option Identity and Security, dann Key Management and Secret Management und dann External Key Management wählen.