O KMS (Key Management Service) da OCI (Oracle Cloud Infrastructure) é um serviço baseado na nuvem que fornece gerenciamento e controle centralizados de chaves de criptografia para dados armazenados na OCI. O OCI KMS é uma criptografia gerenciada pelo cliente e oferece os seguintes serviços:
Para saber mais sobre as ofertas de criptografia da OCI, consulte este blog.
O OCI MKS usa HSMs (Hardware Security Modules, Módulos de segurança de hardware) que atendem aos FIPS (Federal Information Processing Standards, Padrões de processamento da informação federais) 140-2, com certificação de segurança nível 3, para proteger as chaves. O certificado FIPS podeser encontrado no site do Cryptographic Module Validation Program (CMVP) do NIST(National Institute of Standards and Technology), aqui.
O OCI KMS foi validado com a funcionalidade e os controles de segurança para ajudar você a atender aos requisitos de criptografia e gerenciamento de chaves do PCI DSS 3.2.1 (citados nas seções 3.5 e 3.6).
O OCI KMS suporta diversas funcionalidades para permitir que você controle suas chaves e garanta a proteção de segurança necessária para seus dados nos serviços da OCI. Veja a seguir a matriz de recursos para funcionalidades críticas em diferentes serviços no OCI KMS.
Recursos | Vault virtual | Vault privado | Dedicated KMS | KMS externo |
---|---|---|---|---|
HSMs para FIPS 140-2 Nível 3 | Sim | Sim | Sim | Externos |
Criptografia simétrica (AES) | Sim | Sim | Sim | Sim |
Criptografia assimétrica (RSA e ECDSA) | Sim | Sim | Sim | Não |
Chaves de software | Sim | Sim | Não | Externos |
Fazer backup/restaurar | Não | Sim | Sim | Não |
Replicação entre regiões | Em breve | Sim | Não | Não |
Traga as próprias chaves | Sim | Sim | Sim | Externos |
Integração de serviços da OCI (Armazenamento, Database, SaaS) | Sim | Sim | Não | Sim |
Rotação automática de chaves | Em breve | Em breve | Não | Não |
Histórico de auditoria | Sim | Sim | Sim | Sim |
Exclusão programada | Sim | Sim | Sim | Sim |
A Oracle usa um cluster de nós e HSMs para armazenar réplicas de suas chaves na mesma região onde foram criadas, o que nos permite fornecer 99,9% de contrato de nível de serviço (SLA) e 99,99% de objetivo de nível de serviço (SLO) para o gerenciamento de chaves. Consulte o Documento do Pilar do Oracle PaaS and IaaS Public Cloud Services.
Uma chave é armazenada e usada somente na região em que foi criada. Se quiser fazer backup/replicar suas chaves para outra região no realm para atender aos requisitos de conformidade ou de DR, você poderá usar backup e restauração entre regiões ou replicação entre regiões.
O OCI KMS é um serviço de gerenciamento de chaves nativo da nuvem que a Oracle recomenda para todos os seus aplicativos em nuvem. O OCI KMS é integrado nativamente a muitos serviços do OCI relacionados a Armazenamento, Banco de Dados e SaaS, como FA. Se você estiver procurando um gerenciamento de chaves centralizado na Oracle Cloud e um serviço gerenciado para todos os seus aplicativos em nuvem com estrutura de preços de pagamento conforme o uso, a Oracle recomenda o OCI KMS.
O Oracle Key Vault é outro produto de gerenciamento importante da Oracle. O Oracle Key Vault oferece gerenciamento de chaves para Oracle Databases habilitados para TDE e executados on-premises (incluindo o Oracle Exadata Cloud@Customer e o Oracle Autonomous Database—Dedicated) e na OCI, bem como gerenciamento de chaves para arquivos de trilha criptografados do Oracle GoldenGate e sistemas de arquivos criptografados do Oracle Automatic Storage Management Cluster.
O OCI KMS está disponível em todas as regiões e realms da OCI, incluindo Governança, Nuvem Soberana da UE, Regiões do Oracle National Security e OCI Dedicated Region Cloud@Customer. Você pode saber mais sobre a disponibilidade das regiões e as ofertas do OCI KMS em nossos blogs e documentação.
O OCI Vault é um serviço seguro, resiliente e gerenciado que permite que você se concentre nas necessidades de criptografia de dados sem se preocupar com tarefas administrativas demoradas para alcançar alta disponibilidade, como provisionamento de hardware e aplicação de patches de software. O Vaultt usa HSMs (Hardware Security Modules, Módulos de segurança de hardware) que atendem aos FIPS (Federal Information Processing Standards, Padrões de processamento da informação federais) 140-2, com certificação de segurança nível 3, para proteger as chaves. O OCI Vault é o serviço de criptografia da Oracle nativo da Gen 2 Cloud.
O Vault suporta diferentes tipos de chaves de criptografia - simétricas (chaves AES) e assimétricas (chaves RSA e ECDSA) - e um conjunto genérico de cargas de trabalho, incluindo Oracle Exadata Cloud Service, Oracle Autonomous Database, Criptografia Transparente de Dados no Oracle Database e cargas de trabalho que não são de banco de dados.
Há dois tipos de OCI Vault : Vault Privado e Vault Virtual padrão. O tipo de Vault que você cria determina o grau de isolamento e desempenho das chaves. Cada inquilino pode ter de zero a muitos Vaults.
Um Vault Privado oferece uma partição dedicada no HSM (locatário único). Partição é um limite físico no HSM isolado de outras partições. As transações por segundo oferecidas pelo Vault Privado são melhores e mais consistentes para operações criptográficas. São HSMs de locatário único. Os Vaults Privados também têm recursos adicionais, como Replicação entre regiões e Backup e restauração de chaves entre regiões.
O Vault Virtual padrão usa uma partição multilocatária, fornecendo um nível moderado de isolamento.
As duas opções do Vault permitem criar chaves de criptografia mestras armazenadas de uma das seguintes maneiras:
As seguintes capacidades de gerenciamento de chaves estão disponíveis quando você usa o OCI Vault:
No OCI Vault, você pode criar chaves Advanced Encryption Standard (AES-GCM), Rivest-Shamir-Adleman (RSA) e Elliptic Curve Digital Signature Algorithm (ECDSA). Você pode escolher entre três tamanhos de chave AES: AES-128, AES-192 e AES-256. AES-256 é recomendado. O OCI Vault suporta os seguintes tipos de chave assimétrica: RSA 2048, RSA 3072, RSA 4096, NIST P-256, NIST P384 e ECC_NIST521.
Você pode criar e usar chaves simétricas AES e chaves assimétricas RSA para criptografia e decriptografia. Você também pode usar chaves assimétricas RSA ou ECDSA para assinar mensagens digitais.
Para obter mais detalhes e começar a usar, consulte Visão geral do OCI Vault.
Você pode enviar dados diretamente para APIs de gerenciamento de chaves para criptografar e descriptografar usando suas chaves mestras de criptografia armazenadas no Vault. Além disso, você pode criptografar os dados localmente nos aplicativos e serviços da OCI usando um método conhecido como criptografia de envelope.
Com a criptografia de envelope, você gera e recupera DEKs (Data Encryption Keys, Chaves de criptografia de dados) das APIs de gerenciamento de chaves. As DEKs não são armazenadas nem gerenciadas no serviço de gerenciamento de chaves, mas são criptografadas pela chave mestra de criptografia. Os aplicativos podem usar DEKs para criptografar os dados e armazenar as DEKs criptografadas junto com os dados. Quando os aplicativos quiserem descriptografar os dados, você deverá chamar a API de gerenciamento de chaves na DEK criptografada para recuperar a DEK. Você pode descriptografar os dados localmente com a DEK.
O Key Management suporta até 4 KB de dados para serem criptografados diretamente. Além disso, a criptografia de envelope pode oferecer benefícios significativos em termos de desempenho. Quando você criptografa dados diretamente com APIs de gerenciamento de chaves, eles devem ser transferidos pela rede. A criptografia de envelope reduz a carga da rede, uma vez que apenas a solicitação e a entrega de DEKs muito menores passam pela rede. A DEK é usada localmente no aplicativo ou no serviço OCI de criptografia, evitando a necessidade de envio de todo o bloco de dados.
Sim. Você pode importar no Vault uma cópia da chave da sua própria infraestrutura de gerenciamento de chaves e usá-la com quaisquer serviços OCI integrados ou em próprios aplicativos. Você pode importar todos os algoritmos de chaves AES, RSA e ECDSA. A importação de ambos os tipos de chaves é suportada - HSM, bem como chaves de software. Observação: não é possível exportar chaves HSM do HSM.
Sim. Você pode rotacionar suas chaves regularmente de acordo com suas necessidades de governança de segurança e conformidade regulamentar, ou de forma ad hoc em caso de incidência de segurança. A rotação regular de suas chaves (por exemplo, a cada 90 dias) usando o console, a API ou CLI, limita a quantidade de dados protegidos por uma única chave.
Observação: alternar uma chave não criptografa automaticamente os dados que foram criptografados anteriormente com a versão antiga da chave; esses dados são criptografados na próxima vez que forem modificados pelo cliente. Se você suspeitar que uma chave foi comprometida, você deve criptografar novamente todos os dados protegidos por essa chave e desativar a versão anterior da chave.
Sim, mas não imediatamente. Você pode agendar a exclusão de um Vault, de uma chave ou versão de chave configurando um período de espera de 7 a 30 dias.
Para excluir o Vault, tanto o Vault quanto todas as chaves criadas dentro do Vault serão excluídos no final do período de espera, e todos os dados que foram protegidos por essas chaves não estarão mais acessíveis. Depois que um vault é excluído, ele não pode ser recuperado.
Você também pode desativar uma chave, o que impedirá qualquer operação de criptografia/descriptografia usando essa chave.
Sim. O Vault suporta replicação de chaves e vaults entre regiões. Você pode replicar Vaults Privados de uma região para outra para que eles e as chaves contidas neles fiquem disponíveis para atender aos requisitos de conformidade ou melhorar a latência.
Quando você configura a replicação entre regiões para um Vault Privado, o serviço Vault sincroniza automaticamente a criação, a exclusão, a atualização ou a movimentação de quaisquer chaves ou versões de chaves entre o vault inicial e um vault em uma região de destino. O vault do serviço no qual os dados são replicados é conhecido como vault de origem. O vault na região de destino para a qual o serviço replica os dados do vault de origem é conhecido como réplica do vault. O serviço suporta operações criptográficas no vault e nas chaves da região de destino.
O OCI Vault também suporta backup e restauração entre regiões para Vault Privado para que as chaves possam ser usadas em uma região diferente daquela onde foram criadas. O backup e a restauração atendem aos requisitos FIPS porque os materiais da chave real não são exportados, em vez de um objeto binário que representa o material da chave. Operações de restauração só podem acontecer para HSMs gerenciados pela OCI.
A cobrança se baseia no tipo de vault criado.
Por padrão, o vault é cobrado com base no número de versões da chave. As chaves protegidas por software são gratuitas, mas as protegidas por HSM custam 50 centavos por versão. (As primeiras 20 versões da chave são gratuitas.) No entanto, se você criar um vault privado virtual (HSM de locatário único), o preço será cobrado por hora. O preço começa a ser cobrado no momento da criação do vault e continua até que o vault esteja programado para ser excluído. Você não é cobrado pelas versões da chave em um vault privado virtual.
Você não é cobrado com base no número de solicitações de API para Vaults e chaves que foram feitas ao serviço, em nenhuma das operações de gerenciamento ou criptografia.
Para obter mais detalhes, consulte Preços do Oracle Cloud Security.
Não há cobrança de chaves programadas para exclusão. Você não é cobrado pelas chaves que estão programadas para exclusão. Se você cancelar a exclusão das chaves, a cobrança recomeçará.
O limite do Vault Privado é 0 por padrão. O usuário deve solicitar um aumento do limite para usá-lo. Quando o Vault Privado é habilitado, o usuário recebe um limite flexível de 1.000 e um limite fixo de 3.000 versões de chave simétrica.
Não há limite fixo quando você usa o vault virtual padrão para armazenar as chaves. O padrão tem 10 vaults virtuais com 100 chaves por vault.
Todas as versões de chave armazenadas em um vault contam para esse limite, independentemente de a chave correspondente estar ativada ou desativada.
Os limites impostos ao OCI Vault são regidos pelos limites do serviço da OCI. Os limites padrão são definidos para todas as locações. Os clientes podem solicitar um aumento no limite do serviço para chaves armazenadas em um vault seguindo as etapas descritas aqui, na documentação da Oracle Cloud Infrastructure. Como as chaves ativadas e desativadas contam para o limite, a Oracle recomenda excluir as chaves desativadas que não estão mais sendo usadas.
Quando você usa o OCI Key Management Service para criptografar ou decriptografar dados, somente os usuários, grupos ou serviços que você autorizar por meio de uma política do OCI IAM poderão gerenciar e usar as chaves. Você pode aplicar políticas refinadas de uso e gerenciamento para conceder permissões específicas a usuários específicos.
Para rastrear alterações no estado do ciclo de vida, você pode usar logs no OCI Audit, que mostrará todos os detalhes da solicitação de gerenciamento do OCI Vault – como criar, rotacionar, desativar e muito mais – para todos os Vaults, chaves ou versões de chave em sua tenancy.
Organizações com requisitos rigorosos de conformidade ou implementações de infraestrutura de chave pública (PKI) personalizadas que demandam controle e visibilidade refinados sobre o gerenciamento de chaves e operações criptográficas se beneficiam significativamente do OCI Dedicated KMS.
Embora ambos ofereçam partições do HSM de locatário único, o OCI Dedicated KMS oferece controle direto sobre partições do HSM e usuários administradores, o que é ideal para personalização e gerenciamento avançados. Com o OCI Dedicated KMS, você usa interfaces padrão, como PKCS#11, para executar operações de criptografia em suas chaves. Por outro lado, o Private Vault prioriza a facilidade de uso com HSMs gerenciados pela Oracle e é adequado para necessidades padrão de KMS. As APIs KMS são usadas para executar operações de criptografia na oferta Private Vault.
As aplicações devem usar interfaces padrão, como PKCS#11, para interagir diretamente com o OCI Dedicated KMS. Os serviços da OCI, como Database, Storage e Oracle Fusion Applications, são integrados de forma nativa com a oferta Vault; use o Vault para esses serviços no OCI KMS.
Aumente seus limites de recursos do OCI Dedicated KMS na OCI, pois, por padrão, você não pode criar o cluster do HSM no console da OCI. A criação de cluster do HSM é um processo de várias etapas e envolve a intervenção do usuário em dois estágios: inicialização necessária e ativação necessária. Consulte a documentação técnica para criar um cluster do HSM.
O preço do OCI Dedicated KMS é de US$ 1,75 por partição do HSM por hora. Com um mínimo de três partições do HSM, o custo inicial é de US$ 5,25 por hora.
É necessário solicitar um limite para partições do HSM dedicadas explicitamente.Não. Cada cluster do HSM contém três partições fixas. Se precisar de mais partições, crie mais clusters do HSM.
As aplicações do cliente acessam chaves e executam operações criptográficas diretamente por meio dos HSMs usando a interface padrão PKCS#11, sem depender das APIs do OCI.
O OCI Dedicated KMS oferece maior controle e segurança para gerenciamento de chaves com partições do HSM certificadas pelo FIPS 140-2 Nível 3, criptografia de ponta a ponta para interações do HSM e controle granular sobre acesso do usuário e políticas de segurança.
Você pode encontrar informações úteis na página Web do OCI Key Management Service. Consulte a documentação técnica da Oracle para informações detalhadas sobre configuração.
O OCI External KMS é um serviço que permite ao cliente usar chaves de criptografia que são armazenadas e gerenciadas fora da OCI. Isso pode ser útil para clientes que possuem requisitos regulatórios para armazenar chaves de criptografia on-premises ou fora da OCI, ou que desejam ter mais controle sobre suas chaves de criptografia. Consulte este blog para mais detalhes.
O serviço ajuda os clientes a resolver o seguinte:
O OCI External KMS proporciona ao cliente maior controle de suas chaves de criptografia, porém isso requer responsabilidade operacional: o cliente deve administrar, gerenciar e manter chaves de criptografia e módulos de segurança de hardware (HSMs) on-premises. Se trata de um modelo de propriedade diferente do serviço OCI Vault existente, em que a Oracle gerencia e administra a infraestrutura de HSM pelos clientes.
Antes de rotacionar uma chave (também conhecida como referência de chave) no OCI External KMS, você precisará rotacionar chaves no Thales CipherTrust Manager seguindo a etapa abaixo, pois o material da chave é armazenado fora da OCI.
Na OCI, você pode clicar em Rotate Key Reference (rotacionar referência de chave) e digitar o ID da chave externa da etapa anterior.
O OCI External KMS suporta chaves de criptografia simétricas e é compatível com aplicativos que já estão integrados no OCI Vault. Como resultado, o cliente não precisa modificar os aplicativos para utilizar o OCI External KMS: ele pode usar e associar as chaves da mesma forma que faria com o OCI Vault e com o mesmo SLA de 99,9%.
Os seguintes serviços estão integrados ao OCI Vault e podem aproveitar o OCI External KMS sem quaisquer alterações:
O OCI External KMS foi projetado de forma que a OCI não tenha acesso ao material da chave criptográfica. Quando um cliente bloqueia a chave no Thales CipherTrust, a OCI não tem como usar a referência de chave para descriptografar dados nem executar qualquer operação usando essa referência.
Você também pode desativar/excluir as referências de chave no console da OCI.
No momento, o OCI External KMS não suporta replicação de chaves/valults entre regiões.
O OCI External KMS custa US$ 3 por versão de chave por mês e não há custo adicional para o uso dessas versões de chave. Os clientes têm um limite flexível de 10 vaults e 100 versões de chave por vault. Entre em contato com a Thales para saber mais sobre os preços e limites do CipherTrust Manager.
Você pode aprender mais sobre o OCI External KMS lendo a technical documentation ou testando-o no console da OCI. Access the External KMS in the OCI console by selecting Identity and Security in the OCI navigation menu, then Key Management and Secret Management, and then External Key Management.