Oracle Cloud Infrastructure - Dokumentation

Vaults und Schlüssel replizieren

Replizieren Sie Vaults und Schlüssel für Disaster-Recovery-Szenarios. Die Replikation hilft beim Lesen von Schlüsseln in einem Vault aus einer anderen Region innerhalb derselben Realm.

Sie können Vaults von einer Region in eine zweite Region replizieren, um sie und die darin enthaltenen Schlüssel in der Remoteregion verfügbar zu machen. Die Replikation von Vaults bietet die folgenden Vorteile:

  • Verbesserte Disaster Recovery: Durch die regionsübergreifende Replikation von Schlüsseln wird der Datenzugriff und die schnellere Wiederherstellung bei regionalen Unterbrechungen sichergestellt.
  • Datenschutz: Die Aufrechterhaltung redundanter Schlüsselkopien bietet Schutz vor versehentlichem Verlust oder unbefugtem Zugriff.
  • Compliance und Data Residency: Für regulierte Branchen und Unternehmen mit spezifischen Anforderungen an die Datenresidenz stellt die Replikation die Einhaltung relevanter Gesetze sicher.
Hinweis

Informationen zum regionsübergreifenden Replizieren von Secrets finden Sie unter Secrets replizieren.

Funktionsweise der Replikation

Wenn Sie die regionsübergreifende Replikation für einen Vault konfigurieren, synchronisiert der Service automatisch das Erstellen, Löschen, Aktualisieren oder Verschieben von Schlüsseln oder Schlüsselversionen zwischen einem angegebenen Vault und einem Replikat dieses Vaults in einer anderen Region. Der Vault, aus dem der Service Daten repliziert, wird als Quell-Vault bezeichnet. Der Vault in der Zielregion, in der der Service Daten aus dem Quell-Vault repliziert, wird als Vault-Replikat bezeichnet.

Der Vault verwaltet die FIPS 140-2 Level 3-Sicherheit bei der regionalen Replikation. Schlüssel werden als verschlüsselte Binärobjekte exportiert und nur innerhalb von von Oracle bereitgestellten FIPS 140-2 Level 3-Hardwaresicherheitsmodulen (HSMs) innerhalb Ihres Mandanten wiederhergestellt. Tasten verlassen den HSM nie im Klartext. Die Vorgänge zum Starten und Löschen der Replikation werden in OCI Audit-Logs protokolliert.

Quell- und Replikat-Vault-Management

Der Service unterstützt die Verwendung des Vault-Replikats für kryptografische Vorgänge. Sie können keine Verwaltungsvorgänge direkt auf dem Vault-Replikat und dessen Schlüsseln ausführen. Beispiel: Sie können weder direkt im Vault-Replikat Schlüssel erstellen noch das Vault-Replikat sichern. Sie können den kryptografischen Endpunkt des Vault-Replikats finden, indem Sie die Details des Vault-Replikats anzeigen. Sie können diesen Endpunkt bei Bedarf verwenden.

Um die Replikation eines Quell-Vaults zu stoppen, löschen Sie das Vault-Replikat in der Zielregion. Da immer nur ein Vault-Replikat für einen Quell-Vault vorhanden sein kann, müssen Sie ein vorhandenes Vault-Replikat löschen, um den Quell-Vault in einer anderen Zielregion zu replizieren.

Recovery-Zeit und Recovery-Point während Failover

Das Recovery Time Objective (RTO) ist die maximale Zeit, in der Anwendungen während eines Failovers zur Zielregion nicht verfügbar sein können. RTO ist in einem stabilen Zustand nahezu Null, da jeder in der Quellregion erstellte Schlüssel sofort in der Zielregion repliziert wird. Die Verzögerung ergibt sich hauptsächlich aus der Netzwerklatenz zwischen Regionen und wird in Millisekunden gemessen. Daher können Anwendungen fast sofort auf die Zielregion umstellen und auf Schlüssel zugreifen.

Das Recovery Point Objective (RPO) ist die maximale Datenmenge, die bei einem Failover in der Quellregion verloren gehen kann. RPO für replizierte Vault-Schlüssel ist null, da KMS nicht bestätigt, dass ein Replikationsvorgang erfolgreich ist, bis ein Schlüssel in einem persistenten HSM-Speicher festgeschrieben wird. So wird sichergestellt, dass keine Datenverluste auftreten.

Hinweis

OCI KMS unterstützt zwei Arten von Vault-Angeboten:

  • Virtueller Vault: Ein kostengünstiger Multi-Tenant-Service zur Schlüsselverwaltung.
  • Privater Vault: Ein Single-Tenant-Service, der erweiterte Isolation und Sicherheit bietet.

Beachten Sie die folgenden Einschränkungen und Überlegungen:

  • Virtuelle Vaults, die vor der Einführung des regionsübergreifenden Vault-Replikationsfeatures erstellt wurden, können nicht regionsübergreifend repliziert werden. Alle privaten Vaults unterstützen jedoch die regionsübergreifende Replikation. Mit dem Parameter isVaultReplicable der GetVault-API können Sie ermitteln, ob ein virtueller Vault die regionsübergreifende Replikation unterstützt. Erstellen Sie einen neuen Vault und neue Schlüssel, wenn Sie einen Vault haben, den Sie in einer anderen Region replizieren müssen, und die Replikation für diesen Vault nicht unterstützt wird. Vorhandene Schlüssel können nicht in einen neuen Vault kopiert werden.

    Wenn Sie einen Vault haben, der die regionsübergreifende Replikation nicht unterstützt, ist die Schaltfläche Vault replizieren auf der Vault-Detailseite deaktiviert.

  • Standardmäßig haben private Vaults einen Grenzwert von Null. Daher müssen Sie eine Erhöhung des Servicelimits in der Zielregion anfordern, in der Sie einen privaten Vault replizieren möchten, bevor Sie ein Vault-Replikat erstellen.

Erforderliche IAM-Policy

Um Oracle Cloud Infrastructure verwenden zu können, muss ein Administrator Mitglied einer Gruppe sein, der Sicherheitszugriff in einer Policy von einem Mandantenadministrator erteilt wurde. Dieser Zugriff ist unabhängig davon erforderlich, ob Sie die Konsole oder die REST-API mit einem SDK, einer CLI oder einem anderen Tool verwenden. Wenn Sie eine Meldung erhalten, dass Sie keine Berechtigung haben oder nicht autorisiert sind, fragen sie den Mandantenadministrator, welcher Zugriffstyp Ihnen zugewiesen wurde und In welchem Compartment Ihr Zugriff funktioniert.

Für Administratoren: Informationen zu einer typischen Policy, die Zugriff auf Vaults, Schlüssel und Geheimnisse gewährt, finden Sie unter Verwalten von Vaults, Schlüsseln und Secrets durch Sicherheitsadministratoren zulassen. Neben Policys für Benutzer und Gruppen müssen Sie auch eine Policy schreiben, die dem Vault-Service die Möglichkeit gibt, alles mit Vaults zu tun, damit er Vaults während der Replikation in Ihrem Namen erstellen und verwalten kann. Beispiel: Die folgende Policy erteilt Berechtigungen für den Service in allen Regionen für die gesamte Realm:

Allow service keymanagementservice to manage vaults in tenancy

Um Berechtigungen auf bestimmte Compartments einzuschränken, geben Sie stattdessen das Compartment an. Weitere Informationen zu Berechtigungen oder zum Schreiben von restriktiveren Policys finden Sie unter Details zum Vault-Service.

Wenn Sie mit Policys nicht vertraut sind, finden Sie weitere Informationen unter Identitätsdomains verwalten und Allgemeine Policys.