الأسئلة الشائعة عن Key Management
أسئلة عامة
ما المقصود بخدمة Oracle Cloud Infrastructure Key Management Service (KMS)؟
تمثل Oracle Cloud Infrastructure (OCI) Key Management Service (KMS) خدمة قائمة على السحابة توفر إدارة مركزية وتحكمًا في مفاتيح التشفير للبيانات المخزنة في OCI. تُعد OCI KMS تشفير يديره العميل ويقدم الخدمات التالية:
- OCI Vault: تمثل OCI Vault خدمة تشفير يديرها العميل تمكنك من التحكم في المفاتيح المُستضافة في وحدات تأمين أجهزة OCI (HSMs) بينما تدير Oracle وحدات HSM وتديرها. توفر OCI Vault الخيارات التالية:
- "المخزن الافتراضي": تمثل "المخزن الافتراضي" خدمة تشفير متعددة العملاء، إذ يتم تخزين مفاتيحك في أقسام HSM التي تستضيف أيضًا مفاتيح العملاء الآخرين. إنها خدمة التشفير الافتراضية في OCI Vault.
- "المخزن الخاص": يمثل "المخزن الخاص" خدمة تشفير ذات عميل واحد تخزّن المفاتيح في قسم HSM مخصص مع مراكز مخصصة معزولة عن مثيل قاعدة البيانات المؤجر الخاص بك.
- OCI Dedicated KMS: يُعد OCI Dedicated KMS القادم قريبًا قسم من HSM لعميل واحد بصفتها خدمة توفر بيئة معزولة تمامًا لتخزين مفاتيح التشفير وإدارتها. يكمن الفَرق بين "المخزن الخاص" وOCI Dedicated KMS في طريقة التحكم في أقسام HSM. باستخدام OCI Dedicated KMS، يمكنك التحكم في ملكية أقسام HSM والمطالبة بها واستخدام الواجهات القياسية، مثل PKCS#11، لتنفيذ عمليات التشفير. لا تزال Oracle تدير أقسام HSM هذه لتصحيح الأمان والبرامج الثابتة.
- OCI External KMS: يتيح لك نظام KMS الخارجي استخدام نظام إدارة المفاتيح من جهة خارجية لحماية البيانات في خدمات OCI. يمكنك التحكم في المفاتيح وHSM خارج OCI، وتتحمل مسؤولية إدارة وحدات HSM هذه وإشرافها. يتم تخزين المفاتيح الرئيسة دائمًا خارج OCI ولا يتم استيرادها أبدًا إلى OCI External KMS، لذلك تحدث عمليات التشفير وفك التشفير خارج OCI.
لمعرفة المزيد حول عروض تشفير OCI، راجع هذه المدونة.
ما متطلبات الأمان والتوافق التي تلبيها OCI KMS؟
تستخدم OCI KMS HSM التي تتوافق مع معايير معالجة المعلومات الفيدرالية (FIPS) 140-2 شهادة أمان المستوى 3 لحماية مفاتيحك. يمكن العثور على شهادة FIPS على موقع NIST Cryptographic Module Validation Program (CMVP) هنا.
تم التحقق من OCI KMS باستخدام عناصر التحكم في الوظائف والأمان لمساعدتك على تلبية متطلبات التشفير وإدارة المفاتيح الخاصة بـ PCI DSS 3.2.1 (المشار إليها بشكل أساس في القسمين 3.5 و3.6).
ما الإمكانات أو الميزات التي تدعمها OCI KMS؟
تدعم OCI KMS وظائف متنوعة لتمكينك من التحكم في مفاتيحك وضمان حماية الأمان المطلوبة لبياناتك في خدمات OCI. فيما يلي مصفوفة الميزات للوظائف المهمة عبر خدمات مُختلفة داخل OCI KMS.
| الإمكانيات | المخزن الافتراضي | المخزن الخاص | نظام KMS المُخصص | نظام إدارة المحتوى الخارجي |
|---|---|---|---|---|
| FIPS 140-2 المستوى 3 HSMs | نعم | نعم | نعم | خارجي |
| تشفير (AES) المتماثل | نعم | نعم | نعم | نعم |
| تشفير (RSA وECDSA) غير المتماثل | نعم | نعم | نعم | لا |
| مفاتيح البرامج | نعم | نعم | لا | خارجي |
| نسخ احتياطي/استعادة | لا | نعم | نعم | لا |
| نسخ عبر المناطق | سيتوفر قريبًا | نعم | لا | لا |
| نظام Bring Your Own Key | نعم | نعم | نعم | خارجي |
| تكامل خدمات OCI (التخزين، قاعدة البيانات، SaaS) | نعم | نعم | لا | نعم |
| تدوير المفتاح التلقائي | سيتوفر قريبًا | سيتوفر قريبًا | لا | لا |
| سجل المراجعة | نعم | نعم | نعم | نعم |
| الحذف المجدول | نعم | نعم | نعم | نعم |
كيف توفر Oracle توافرًا عاليًا للمفاتيح في منطقة؟ ما المناطق الجغرافية التي تم تخزين مفاتيحي فيها؟
تستخدم Oracle مجموعة من نقاط التوصيل وأجهزة HSM لتخزين النسخ المتماثلة لمفاتيحك في نفس المنطقة التي تم إنشاؤها بها، مما يمكننا من توفير اتفاقية مستوى خدمة (SLA) بنسبة 99.9% وهدف مستوى خدمة (SLO) بنسبة 99.99% لإدارة المفاتيح. يرجى الاطلاع على مستند Oracle PaaS وIaaS Public Cloud Services Pillar.
لا يتم تخزين المفتاح واستخدامه سوى في المنطقة التي تم تكوينه فيها. إذا كنت تريد نسخ المفاتيح احتياطيًا/نسخها إلى منطقة أخرى في المجال لتلبية متطلبات التوافق أو إجراءات مواجهة الكوارث، يمكنك استخدام النسخ الاحتياطي والاستعادة عبر المناطق أو النسخ المتماثل عبر المناطق.
ما الفَرق بين OCI KMS وOracle Key Vault (OKV)؟
تمثل OCI KMS خدمة إدارة مفاتيح أصلية سحابية توصي بها Oracle لجميع تطبيقاتك السحابية. يتم دمج OCI KMS محليًا في العديد من خدمات OCI المتعلقة بخدمات التخزين وقاعدة البيانات وSaaS مثل FA. إذا كنت تبحث عن إدارة مفاتيح مركزية في Oracle Cloud وخدمة مُدارة لجميع تطبيقاتك السحابية مع بنية تسعير الدفع أولاً بأول، فإن OCI KMS هي التي توصي به Oracle.
Oracle Key Vault هو منتج إدارة رئيس آخر من Oracle. توفر Oracle Key Vault إدارة مفاتيح لقواعد بيانات Oracle الممكّنة من TDE التي تعمل في كل من الملفات المحلية (بما في ذلك Oracle Exadata Cloud@Customer وOracle Autonomous Database المخصصة) وOCI بالإضافة إلى إدارة المفاتيح لملفات مسار Oracle GoldenGate المشفرة وأنظمة Oracle Automatic Storage Management Cluster File المشفرة.
في أي مناطق OCI يوجد OCI KMS، وأين يمكنني العثور على موارد OCI KMS؟
تتوفر OCI KMS في جميع مناطق ونطاقات OCI بما في ذلك الحكومة والسحابة السيادية للاتحاد الأوروبي ومناطق Oracle National Security ومنطقة OCI المُخصصة Cloud@Customer. يمكنك معرفة المزيد حول توافر المنطقة وعروض OCI KMS في وثائقنا والمدونات.
Vault
ما المقصود بـ OCI Vault؟
OCI Vault تمثل خدمة مُدارة بالكامل آمنة ومرنة تتيح لك التركيز على احتياجات تشفير البيانات دون القلق بشأن المهام الإدارية المستهلكة للوقت المطلوبة لتحقيق التوافر العالي، مثل توفير الأجهزة وتصحيح البرامج. Vault تستخدم وحدات تأمين الأجهزة التي تتوافق مع معايير معالجة المعلومات الفيدرالية (FIPS) 140-2 شهادة تأمين المستوى 3 لحماية مفاتيحك. تمثل OCI Vault خدمة تشفير سحابية من الجيل 2 الأصلية من Oracle.
يدعم المخزن أنواعًا مختلفة من مفاتيح التشفير—المتماثلة (مفاتيح AES) وغير المتماثلة (مفاتيح RSA وECDSA)—ومجموعة عامة من أحمال العمل، بما في ذلك Oracle Exadata Cloud Service وOracle Autonomous Database وتشفير البيانات الشفاف في Oracle Database وأحمال العمل غير المرتبطة بقاعدة البيانات.
يوجد نوعان من OCI Vault: "مخزن خاص" و"مخزن افتراضي". يحدد نوع المخازن التي تنشئها درجة العزل والأداء لمفاتيحك. يمكن أن يكون لكل مستأجر قيمة من الصفر إلى العديد من المخازن.
يوفر المخزن الخاص قسمًا مُخصصًا على HSM (عميل فردي). القسم هو حد مادي على HSM الذي يتم عزله عن الأقسام الأخرى. يوفر المخزن الخاص معاملات أفضل ومتسقة في الثانية لعمليات التشفير. هذه هي وحدات HSM ذات العميل المفرد. تحتوي المخازن الخاصة أيضًا على ميزات إضافية مثل النسخ المتماثل عبر المناطق والنسخ الاحتياطي عبر المناطق واستعادة المفاتيح.
يستخدم المخزن الافتراضي قسمًا متعدد العملاء، مما يوفر مستوى معتدلاً من العزل.
يتيح لك كلا خياري المخزن تكوين مفاتيح تشفير رئيسة مخزنة بإحدى الطرق التالية:
- مفاتيح HSM: مفتاح تشفير رئيس محمي بواسطة HSM مخزَّن على HSM ولا يمكن تصديره من HSM. تتم جميع عمليات التشفير التي تتضمن المفتاح أيضًا على HSM. هذه المفاتيح متوافقة مع FIPS المستوى 3.
- مفاتيح البرامج:يتم تخزين مفتاح تشفير رئيس محمي بالبرنامج على الخادم ويمكن تصديره من الخادم لإجراء عمليات تشفير على العميل بدلاً من الخادم. أثناء وجوده على القرص، يتم تشفير المفتاح المحمي بالبرامج بواسطة مفتاح رئيسي على HSM. هذه المفاتيح متوافقة مع FIPS المستوى 1.
ما الإمكانات التي توفرها OCI Vault؟
تتوفر إمكانات الإدارة الرئيسية التالية عند استخدامك OCI Vault.
- إنشاء مفاتيح التشفير الخاصة بك التي تحمي بياناتك
- نظام Bring your own keys
- أدر مفاتيحك
- إنشاء التوقيعات الرقمية والتحقق منها باستخدام التوقيع والتحقق من العمليات باستخدام المفاتيح غير المتماثلة
- دعم النسخ الاحتياطي والاستعادة عبر المناطق للمخازن والمفاتيح الخاصة (المخازن الخاصة فحسب)
- دعم النسخ المتماثل عبر المناطق للمخازن والمفاتيح (المخازن الخاصة فحسب)
- تعطيل المفاتيح لحماية البيانات مؤقتًا
- جدولة حذف المفاتيح والمخازن التي لم تعد تستخدمها
- تقييد الأذونات الدقيقة بشأن إدارة المفاتيح والمخازن واستخدامها باستخدام سياسات OCI IAM.
- مراقبة حالة دورة حياة المفتاح والمخزن باستخدام Oracle Audit وDatabase Firewall
- التكامل السلس مع خدمات OCI الداخلية: Oracle Exadata Cloud Service وOracle Autonomous Database—مُخصص وOracle Cloud Infrastructure (OCI) تخزين الكتل وتخزين الملفات وتخزين الكائنات والتدفق ومحرك الحاويات لـ Kubernetes.
في OCI Vault يمكنك إنشاء مفاتيح معيار التشفير المتقدم (AES-GCM) وRivest-Shamir-Adleman (RSA) وخوارزمية التوقيع الرقمي منحنى إهليلجي (ECDSA). بالنسبة لمفاتيح AES، يمكنك الاختيار من بين ثلاثة أطوال مفاتيح: AES-128 وAES-192 وAES-256. AES-256 موصى به. يدعم OCI Vault أنواع المفاتيح غير المتماثلة التالية: RSA 2048 وRSA 3072 وRSA 4096 وNIST P-256 وNIST P384 وECC_NIST521.
يمكنك إنشاء واستخدام مفاتيح AES المتماثلة ومفاتيح RSA غير المتماثلة للتشفير وفك التشفير. يمكنك أيضًا استخدام مفاتيح RSA أو ECDSA غير المتماثلة لتوقيع الرسائل الرقمية.
لمزيد من التفاصيل والبدء، يرجى الاطلاع على نظرة عامة على OCI Vault.
أين يتم تشفير بياناتي إذا استخدمت OCI Vault؟
يمكنك إرسال البيانات مباشرة إلى واجهات برمجة تطبيقات إدارة المفاتيح لتشفيرها وفك تشفيرها باستخدام مفاتيح التشفير الرئيسة المخزنة في Vault. يمكنك أيضًا تشفير بياناتك محليًا داخل تطبيقاتك وخدمات OCI باستخدام أسلوب يُعرف باسم تشفير المغلف.
باستخدام تشفير المغلف، يمكنك إنشاء مفاتيح تشفير البيانات (DEK) واسترجاعها من واجهات برمجة تطبيقات إدارة المفاتيح. لا يتم تخزين DEK أو إدارتها في خدمة إدارة المفاتيح، لكن يتم تشفيرها بواسطة مفتاح التشفير الرئيس. يمكن لتطبيقاتك استخدام DEK لتشفير بياناتك وتخزين DEK المشفر مع البيانات. عندما تريد تطبيقاتك فك تشفير البيانات، يجب الاتصال بفك التشفير بواجهة برمجة تطبيقات إدارة المفاتيح على DEK المشفر لاسترجاع DEK. يمكنك فك تشفير بياناتك محليًا باستخدام DEK.
لماذا تستخدم تشفير المظروف؟ لماذا لا ترسل البيانات فحسب إلى خدمة OCI Key Management وOCI Vault للتشفير مباشرةً؟
تدعم إدارة المفاتيح إرسال ما يصل إلى 4 كيلوبايت من البيانات ليتم تشفيرها مباشرة. بالإضافة إلى ذلك، يمكن أن يوفر تشفير المظروف فوائد أداء كبيرة. عند تشفير البيانات مباشرةً باستخدام واجهات برمجة تطبيقات إدارة المفاتيح، يجب نقلها عبر الشبكة. يعمل تشفير المظروف على تقليل تحميل الشبكة حيث إن طلب DEK الأصغر حجمًا بكثير وتسليمه ينتقل عبر الشبكة فحسب. يتم استخدام DEK محليًا في التطبيق أو خدمة OCI المشفرة، مع تجنب الحاجة إلى إرسال كتلة البيانات بأكملها.
هل يمكنني جلب مفاتيحي الخاصة بي (BYOK) إلى مخزن OCI؟
نعم. يمكنك استيراد نسخة من المفتاح من البنية الأساسية لإدارة المفاتيح الخاصة بك إلى OCI Vault واستخدامها مع أي خدمات OCI متكاملة أو من داخل التطبيقات الخاصة بك. يمكنك استيراد جميع خوارزميات المفاتيح: مفاتيح AES وRSA وECDSA. يتم دعم استيراد كلا النوعين من المفاتيح—HSM وكذلك مفاتيح البرامج. ملاحظة: لا يمكنك تصدير مفاتيح HSM من HSM.
هل يمكنني تدوير مفاتيحي؟
نعم. يمكنك تدوير المفاتيح بانتظام بما يتماشى مع إدارة الأمان واحتياجات الامتثال التنظيمي أو القيام بذلك لغرض معين في حالة وقوع حادث أمني. يؤدي تدوير المفاتيح بانتظام (على سبيل المثال، كل 90 يومًا) باستخدام وحدة التحكم أو واجهة برمجة التطبيقات أو واجهة سطر الأوامر إلى تقييد كمية البيانات المحمية بواسطة مفتاح واحد.
ملاحظة: لا يؤدي تدوير مفتاح إلى إعادة تشفير البيانات التي تم تشفيرها مسبقًا باستخدام إصدار المفتاح القديم تلقائيًا؛ حيث تتم إعادة تشفير هذه البيانات في المرة التالية التي يقوم العميل بتعديلها فيها. إذا كنت تشك في أنه قد تم اختراق مفتاح ما، يجب عليك إعادة تشفير كل البيانات المحمية بواسطة هذا المفتاح وتعطيل إصدار المفتاح السابق.
هل يمكنني حذف مخزن أو مفتاح؟
نعم، لكن ليس على الفور. يمكنك جدولة حذف مخزن أو مفتاح أو إصدار مفتاح بتكوين فترة انتظار من 7 إلى 30 يومًا.
يتم حذف المخزن والمخزن وكل المفاتيح التي تم إنشاؤها داخل المخزن في نهاية فترة الانتظار، ولم يعد من الممكن الوصول إلى جميع البيانات التي تمت حمايتها بواسطة هذه المفاتيح. بعد حذف المخزن، لا يمكن استعادته.
كما يمكنك تعطيل مفتاح لمنع أية عمليات تشفير/فك تشفير باستخدام هذا المفتاح.
هل يمكنني نقل مفاتيحي واستخدامها في منطقة تختلف عن مكان إنشائها؟
نعم. يدعم المخزن استنساخ المفاتيح والمخازن عبر المناطق. يمكنك نسخ المخازن الخاصة من منطقة إلى أخرى لجعها والمفاتيح التي تحتوي عليها متوفرة لتلبية متطلبات الامتثال أو لتحسين زمن الوصول.
عند تكوين النسخ المتماثل عبر المناطق "لمخزن خاص"، تزامن خدمة Vault تلقائيًا تكوين أي مفاتيح أو إصدارات مفاتيح أو حذفها أو تحديثها أو نقلها بين المخزن البادئ والمخزن في منطقة وجهة واحدة. يعرف المخزن الذي تنسخ الخدمة البيانات منه باسم المخزن المصدر. يُعرف المخزن في منطقة الوجهة الذي تنسخ منه الخدمة البيانات من المخزن المصدر إليه بالنسخة المتماثلة للمخزن. تدعم الخدمة عمليات التشفير مقابل المخزن والمفاتيح في منطقة الوجهة.
يدعم OCI Vault أيضًا النسخ الاحتياطي والاستعادة عبر المناطق لأجل المخزن الخاص حتى يمكن استخدام المفاتيح في منطقة مُختلفة عن المنطقة التي تم تكوينها بها. يلبي النسخ الاحتياطي والاستعادة متطلبات FIPS حيث لا يتم تصدير المواد الرئيسية الحقيقية، بل يتم تصدير كائن ثنائي يمثل المواد الرئيسية. لا يمكن أن تتم عمليات الاستعادة سوى لمهام HSM المُدارة بواسطة OCI.
كيف تتم محاسبتي استخدام خدمة OCI Key Management وOCI Vault؟
يتم فرض رسوم عليك استنادًا إلى نوع المخزن الذي تم إنشاؤه.
بشكل افتراضي، يتم فرض رسوم على المخزن استنادًا إلى عدد الإصدارات الرئيسية. إن المفاتيح المحمية بالبرامج مجانية، لكن المفاتيح المحمية HSM يتم تحصيل 53 سنتًا لكل إصدار مفتاح. (الإصدارات الـ 20 الأولى مجانية). مع ذلك، إذا أنشئت "مخزن خاص" (HSM للعميل الفردي)، يتم التسعير بالساعة. يبدأ التسعير من وقت إنشاء المخزن ويستمر حتى تتم جدولة المخزن ليتم حذفه. لم يتم فرض رسوم عليك مقابل الإصدارات الأساسية داخل مخزن خاص.
لا تتم محاسبتك بناءً على عدد طلبات واجهة برمجة التطبيقات للمخازن والمفاتيح التي تم إجراؤها على الخدمة لأي من عمليات الإدارة أو التشفير.
لمزيد من التفاصيل، يرجى الرجوع إلى تسعير أمان Oracle Cloud.
المفاتيح المجدولة للحذف: لم تتم فوترة المفاتيح المجدولة للحذف. إذا قمت بإلغاء حذف المفاتيح الخاصة بك، فستستأنف الفوترة.
ما الحدود الافتراضية لـ OCI Vault؟
حد المخزن الخاص هو 0 افتراضيًا. يجب على المستخدمين طلب زيادة الحد لاستخدامه. بمجرد تمكين المخزن الخاص، يحصل المستخدم على حد مرن يبلغ 1000 وحد ثابت يبلغ 3000 إصدار مفتاح متماثل.
عند استخدام المخزن الافتراضي لتخزين المفاتيح، لا يوجد حد ثابت. القيمة الافتراضية هي 10 مخازن بها 100 مفتاح لكل مخزن.
جميع الإصدارات الأساسية التي تخزنها في جرد المخزن باتجاه هذا الحد، بغض النظر عن المفتاح المقابل الذي يتم تمكينه أو تعطيله.
تخضع الحدود المفروضة على مخزن OCI لحدود خدمة OCI. يتم تعيين الحدود الافتراضية لكل عقود الإيجار. يمكن للعملاء طلب زيادة حد الخدمة للمفاتيح المخزنة داخل مخزن من خلال اتباع الخطوات الموضحة هنا في وثائق Oracle Cloud Infrastructure. نظرًا إلى أن المفتاحين ممكَّنين ومعطلين يتم احتسابهما مقابل الحد، توصي Oracle بحذف المفاتيح المعطلة التي لم تعد تستخدمها.
من يمكنه استخدام مفاتيحي وإدارتها في OCI Vault، وهل يمكنني معرفة من قام بإجراء التغييرات على حالة دورة حياة المفاتيح والمخازن؟
عند استخدام خدمة OCI Key Management لتشفير البيانات أو فك تشفيرها، يمكن للمستخدمين أو المجموعات أو الخدمات التي تعتمدها عبر سياسة OCI IAM إدارة المفاتيح واستخدامها فحسب. يمكنك فرض سياسات إدارة واستخدام دقيقة لمنح أذونات محددة لمستخدمين محددين.
لتتبع تغييرات حالة دورة الحياة، يمكنك استخدام السجلات في OCI Audit، والتي تعرض كل تفاصيل طلب إدارة OCI Vault، مثل التكوين والتدوير والتعطيل والمزيد، لجميع المخازن أو المفاتيح أو إصدارات المفاتيح في مثيل قاعدة البيانات المؤجر.
خدمة إدارة المفاتيح المُخصصة
ما المقصود بـ OCI Dedicated KMS؟
OCI Dedicated KMS هي خدمة مُدارة بالكامل توفر أقسام وحدة أمان أجهزة (HSM) ذات مستأجر واحد ضمن حساب OCI الخاص بك. ستتمكن من الحصول على تحكم ورؤية حصريين لمفاتيح التشفير الخاصة بك وأقسام HSM التي تُخزّنها، مما يوفر لك قدرًا أكبر من التحكم في إدارة المفاتيح.ما المزايا الرئيسية لـ OCI Dedicated KMS؟
- التحكم الدقيق: إدارة دورات حياة المفاتيح ووصول المستخدم وسياسات الأمان داخل بيئة HSM.
- تفاعل HSM المباشر: تصل التطبيقات مباشرة إلى وحدات HSM من خلال PKCS#11، متجاوزة واجهات برمجة تطبيقات OCI لتحقيق الكفاءة.
- التوافق: يمكنك استخدام وحدات HSM المعتمدة وفقًا لمعايير FIPS 140-2 للعمليات ذات زمن الوصول المنخفض.
من يحتاج إلى OCI Dedicated KMS؟
تستفيد المؤسسات التي تتمتع بمتطلبات توافق صارمة أو عمليات نشر للبنية التحتية للمفتاح العام (PKI) مُخصصة تتطلب تحكمًا دقيقًا ورؤية واضحة لعمليات إدارة المفاتيح الخاصة بهم وتشفيرها على نحوٍ كبير من OCI Dedicated KMS.
ما الفرق بين عرض Dedicated KMS وOCI Vault (المخزن الخاص)؟
على الرغم من أن كليهما يوفران أقسام HSM ذات مستأجر واحد، فإن OCI Dedicated KMS يمنحك التحكم المباشر في أقسام HSM والمستخدمين المسؤولين، مما يعد أمرًا مثاليًا بالنسبة للتخصيص والإدارة المتقدمة. باستخدام OCI Dedicated KMS، يمكنك استخدام الواجهات القياسية مثل PKCS#11 لإجراء عمليات التشفير على مفاتيحك. من الناحية الأخرى، يُعطي المخزن الخاص الأولوية لسهولة الاستخدام مع وحدات HSM المُدارة بواسطة Oracleوهي مناسبة لاحتياجات KMS القياسية. يمكنك استخدام واجهات برمجة تطبيقات KMS لتنفيذ عمليات التشفير في عرض المخزن الخاص.
ما خدمات OCI المدعومة باستخدام OCI Dedicated KMS؟
يجب أن تستخدم التطبيقات واجهات قياسية مثل PKCS#11 للتفاعل مباشرة مع OCI Dedicated KMS. يتم دمج خدمات OCI مثل Database وStorage وOracle Fusion Applications بشكل أساسي مع عرض Vault؛ يمكنك استخدام Vault للحصول على هذه الخدمات داخل OCI KMS.
كيف يمكنني بدء استخدام OCI Dedicated KMS؟
يمكنك زيادة حدود موارد OCI Dedicated KMS في OCI لأنه افتراضيًا لا يمكنك إنشاء مجموعة HSM في وحدة التحكم OCI. يُمثل إنشاء مجموعة HSM عملية متعددة الخطوات ويتضمن تدخل المستخدم في مرحلتين: التهيئة مطلوبة والتنشيط مطلوب. الرجاء الرجوع إلى الوثائق الفنية لإنشاء مجموعة HSM بنجاح.
كم تبلغ تكلفة OCI Dedicated KMS؟
يتم تسعير OCI Dedicated KMS بمعدل 1.75 دولار أمريكي لكل قسم HSM في الساعة. بحد أدنى ثلاثة أقسام HSM، تبلغ تكلفة البدء 5.25 دولارات أمريكية في الساعة.
يجب عليك طلب حد بوضوح لأقسام HSM المُخصصة.هل يمكنني إضافة المزيد من الأقسام إلى مجموعة HSM الحالية؟
لا. تحتوي كل مجموعة HSM على ثلاثة أقسام ثابتة. إذا كنت بحاجة إلى المزيد من الأقسام، فقم بإنشاء مجموعات HSM إضافية.
كيف يمكنني إدارة عمليات التشفير وتنفيذها على مفاتيحي؟
يمكن لتطبيقات العملاء الوصول إلى المفاتيح وتنفيذ عمليات التشفير مباشرة من خلال وحدات HSM، دون الاعتماد على واجهات برمجة تطبيقات OCI.
ما ميزات أمان OCI Dedicated KMS؟
توفر OCI Dedicated KMS تحكمًا وأمانًا أكبر لإدارة المفاتيح باستخدام أقسام HSM المعتمدة وفقًا لمعايير FIPS 140-2 المستوى الثالث، والتشفير الشامل لتفاعلات HSM، والتحكم الدقيق في سياسات الوصول والأمان للمستخدم.
أين يمكنني العثور على مزيد من المعلومات حول OCI Dedicated KMS؟
يمكنك العثور في صفحة ويب OCI Key Management Service. للحصول على معلومات مُفصلة حول الإعداد، ارجع إلى وثائق Oracle التقنية.
خدمة إدارة المفاتيح الخارجية
ما هي خدمة إدارة المفاتيح الخارجية لـ OCI (KMS من OCI الخارجي)؟
OCI KMS الخارجي هي خدمة تتيح للعملاء استخدام مفاتيح التشفير التي يتم تخزينها وإدارتها خارج OCI. وقد يكون ذلك مفيدًا للعملاء الذين لديهم متطلبات تنظيمية لتخزين مفاتيح التشفير في مكان العمل أو خارج OCI، أو الذين يرغبون في مزيد من التحكم في مفاتيح التشفير الخاصة بهم. لمزيد من التفاصيل، الرجاء الرجوع إلى المدونة هذه.
ما فوائد OCI الخارجي KMS؟
تساعد الخدمة العملاء على معالجة ما يلي:
- سيادة البيانات، والامتثال، واللوائح: يساعد نظام إدارة المفاتيح الخارجي لـ OCI العملاء على الحفاظ على التحكم في مفاتيح التشفير الخاصة بهم ومكان تخزينها. وهذا مفيد للمؤسسات التي يجب أن تلتزم بمتطلبات صارمة لسيادة البيانات، مثل اللائحة العامة لحماية البيانات (GDPR) الخاصة بالاتحاد الأوروبي.
- الثقة والضمان: يتيح نظام إدارة المفاتيح الخارجي للعملاء امتلاك وحدة التشفير وإدارتها والتحول إلى أمناء مفاتيح التشفير الخاصة بهم. وهذا مفيد للمؤسسات التي يجب أن تثبت سيطرتها على عمليات التشفير للعملاء والشركاء وأصحاب المصلحة.
ما الاعتبارات التشغيلية لاستخدام نظام OCI External KMS؟
تمنح OCI External KMS العملاء المزيد من التحكم في مفاتيح التشفير الخاصة بهم، ولكنه مسؤول أيضًا عن التشغيل: يجب على العملاء إدارة مفاتيح التشفير ووحدات أمان الأجهزة (HSM) وإدارتها وصيانتها محليًا. هذا نموذج ملكية مختلف عن خدمة OCI Vault الحالية، حيث تدير Oracle البنية الأساسية لـ HSM وتديرها نيابة عن العملاء.
كيف يمكنني تدوير المفاتيح في نظام OCI External KMS؟
لتدوير مفتاح (يعرف أيضًا بمرجع مفتاح) في نظام OCI External KMS، تحتاج أولاً إلى تدوير المفاتيح في مدير Thales CipherTrust باستخدام الخطوة أدناه حيث يتم تخزين مادة المفتاح خارج OCI.
- أضف نسخة مفتاح خارجي جديد في Thales CipherTrust Manager.
في OCI، يمكنك النقر على مرجع مفتاح التدوير وكتابة معرف إصدار المفتاح الخارجي من الخطوة السابقة.
ما خدمات OCI المدعومة بواسطة OCI External KMS؟
تدعم OCI External KMS مفاتيح التشفير المتماثلة وهو متوافق مع التطبيقات المتكاملة بالفعل مع OCI Vault. ونتيجة لذلك، لا يتعين على العملاء تعديل التطبيقات للاستفادة من نظام OCI External KMS—حيث يمكنهم استخدام المفاتيح وربطها بنفس الطريقة التي يستخدمونها مع مخزن OCI وبنفس اتفاقية مستوى الخدمة التي تبلغ 99.9%.
يتم دمج الخدمات التالية مع OCI Vault ويمكن أن تستفيد من OCI External KMS دون أي تغييرات:
- Oracle Cloud Infrastructure Object Storage وBlock Volume وFile Storage
- Oracle Cloud Infrastructure Container Engine for Kubernetes
- Oracle Database، بما في ذلك Oracle Autonomous Database on Dedicated Exadata Infrastructure وOracle Autonomous Database on Shared Exadata Infrastructure وOracle Database Cloud Service وقاعدة البيانات كخدمة
- تطبيقات Oracle Fusion Cloud
ماذا يحدث إذا قمت بإلغاء تنشيط المفاتيح أو حظرها أو إزالتها من مدير Thales CipherTrust في OCI External KMS؟ هل ستظل بياناتي في OCI متاحة للوصول؟
تم تصميم OCI External KMS لا تمتلك OCI أي وصول إلى مادة مفتاح التشفير الفعلية. بمجرد أن يحجب العميل المفتاح في Thales CipherTrust Manager، لا توجد لدى OCI طريقة لاستخدام المرجع الرئيسي في فك تشفير البيانات أو إجراء أي عملية باستخدام المرجع الرئيس هذا.
يمكنك أيضًا تعطيل/حذف مراجع المفاتيح من وحدة تحكم OCI.
هل يدعم نظام OCI External KMS النسخ المتماثل عبر المناطق للمفاتيح/المخازن؟
لا يدعم نظام OCI External KMS حاليًا النسخ المتماثل عبر المناطق للمفاتيح/المخازن.
ما هو تسعير OCI External KMS؟
تكاليف نظام OCI External KMS 3 دولارات أمريكية لكل إصدار مفتاح شهريًا، ولا توجد تكلفة إضافية لاستخدام هذه الإصدارات الأساسية. يتمتع العملاء بحد سلس يبلغ 10 خزانات و100 إصدار أساسي لكل خزانة. يرجى الاتصال بـ Thales لمعرفة المزيد حول أسعار CipherTrust Manager والحدود.
كيف يمكنني معرفة المزيد حول نظام OCI External KMS؟
يمكنك معرفة المزيد حول نظام إدارة المحتوى الخارجي من خلال قراءة الوثائق الفنية أو من خلال تجربته في وحدة تحكم OCI. يمكنك الوصول إلى External KMS في وحدة تحكم OCI عن طريق تحديد الهوية والأمان في قائمة استكشاف OCI، وإدارة المفاتيح والإدارة السرية، وإدارة المفاتيح الخارجية.