Externer Schlüsselverwaltungsservice
Überblick über externe KMS-Funktionen mit Anwendungsfall und Vorteilen.
OCI Key Management Service (KMS) verwendet ein im Oracle-Data Center gehostetes Hardwaresicherheitsmodul zum Speichern und Verwalten von Masterschlüsseln zur Verschlüsselung ruhender Daten. Für eine verbesserte Datensicherheit und für Kunden, die regulatorische Compliance zum Speichern von Schlüsseln außerhalb der Oracle Cloud oder Drittanbieter-Cloud-Standorte haben, bietet OCI KMS jetzt eine Funktion namens External Key Management Service (External KMS).
In externen KMS können Sie Masterverschlüsselungsschlüssel (als externe Schlüssel) in einem externen Schlüsselverwaltungssystem eines anderen Herstellers speichern und kontrollieren, das außerhalb von OCI gehostet wird. Anschließend können Sie diese Schlüssel zur Verschlüsselung Ihrer Daten in Oracle verwenden. Sie können Ihre Schlüssel auch jederzeit deaktivieren. Wenn sich die eigentlichen Schlüssel im Schlüsselverwaltungssystem eines Drittanbieters befinden, erstellen Sie nur Schlüsselreferenzen (zu dem Schlüsselmaterial gehören) in OCI.
Hinweis
In OCI External KMS ist Thales unser erster externer Key Management-Anbieter von Drittanbietern. In der gesamten Dokumentation wird Thales CipherTrust Manager (CM) als externer Key Manager bezeichnet.
In OCI External KMS ist Thales unser erster externer Key Management-Anbieter von Drittanbietern. In der gesamten Dokumentation wird Thales CipherTrust Manager (CM) als externer Key Manager bezeichnet.
Vorteile
Im Folgenden werden die Vorteile des externen KMS-Angebots im OCI KMS-Service beschrieben.
- Schlüsselherkunft: Sie können die Verwendung von extern erstellten Schlüsseln verwalten. Die externen Schlüssel werden niemals in Oracle gecacht oder gespeichert, und KMS hat keine Kontrolle über diese Schlüssel. Stattdessen interagiert OCI KMS direkt mit dem Schlüsselverwaltungssystem eines Drittanbieters für kryptografische (Verschlüsselungs-/Entschlüsselungs-)Vorgänge.
- Verbesserte Sicherheit - Schützt Daten im Ruhezustand mit maximaler Sicherheit über ein Key Management System von Drittanbietern. Bietet ein hohes Maß an Sicherheit beim Speichern von Schlüsseln außerhalb der Oracle Cloud.
- Zentralisierte Schlüsselverwaltung - Sie können Ihre Schlüssel in einem Schlüsselverwaltungssystem eines Drittanbieters verwalten. Dadurch erhalten Sie mehr Kontrolle über Verschlüsselungsschlüssel, die Ihre Daten in Oracle Cloud schützen.
Anwendungsfall
In den folgenden Anwendungsfällen können Sie externe KMS-Funktionen implementieren.
- Banken und öffentliche Sektoren mit behördlicher Compliance bevorzugen die Speicherung von Verschlüsselungsschlüsseln On Premise, die physisch von ihren Daten in Oracle Cloud getrennt sind.
- Bankkunde mit Sicherheitscompliance für kryptografische Vorgänge außerhalb von Oracle und im On-Premise-HSM. für exklusive Sicherheit beim Cloud-Anbieter beim Zugriff auf die Schlüssel.
- Kunden, die sich für ein Multi-Cloud-Deployment entscheiden, benötigen Datenbanken in OCI, um sich mit Verschlüsselungsservices bei einem anderen Cloud-Anbieter zu verbinden. Die externe KMS-Funktionalität ist ein wichtiger Erfolgsfaktor für die Multi-Cloud-Strategie von OCI.
Terminologie
Machen Sie sich mit den folgenden Begriffen vertraut, um die Funktionalität des externen KMS zu verstehen:
| Terminologie | Beschreibung |
|---|---|
| External Key Manager | HSM, das dem Kunden gehört und gehostet wird. |
| Externer Vault | Vault, der im Schlüsselverwaltungssystem des Drittanbieters zum Speichern der externen Schlüssel erstellt wird. |
| externen Schlüssel | Im Schlüsselverwaltungssystem eines Drittanbieters erstellte Schlüssel, die mindestens eine externe Schlüsselversion enthalten. |
| Externe Schlüsselversionen | Jedem externen Schlüssel wird automatisch eine Schlüsselversion zugewiesen. Wenn Sie einen externen Schlüssel rotieren, generiert der externe Key Manager eine neue Schlüsselversion. |
| Schlüsselmanagementsystem von Drittanbietern | HSM, das dem Kunden gehört und gehostet wird. |
| Schnelle Verbindung | Mit FastConnect können Sie eine private Verbindung zwischen Kunden On Premise und Oracle Cloud Infrastructure erstellen. |
| Private Endpunkte (PE) | Ein privater Endpunkt ist eine private IP-Adresse im VCN des Kunden, mit der Sie auf einen bestimmten Service innerhalb von Oracle Cloud Infrastructure zugreifen können. |
| Datenverschlüsselungsschlüssel (DEK) | Verschlüsselungsschlüssel, dessen Funktion es ist, die Daten zu verschlüsseln und zu entschlüsseln. |
| Thales CipherTrust Manager (CM) | Verwaltet Verschlüsselungsschlüssel zentral, stellt granulare Zugriffskontrolle bereit und konfiguriert Sicherheits-Policys, die in FIPS 140-2-konforme Thales Luna oder Hardware Security Modules (HSMs) von Drittanbietern integriert werden können, um Schlüssel mit der höchsten Vertrauensbasis sicher zu speichern. |