Oracle Cloud Infrastructure-Dokumentation

Vom Kunden verwaltete Schlüssel für Oracle Break Glass

Sichern Sie Ihre Anwendungsumgebungen mit Oracle Break Glass und vom Kunden verwalteten Schlüsseln.

Standardmäßig sind Ihre Anwendungsumgebungen durch von Oracle verwaltete Verschlüsselungsschlüssel geschützt. Wenn Sie ein Abonnement erwerben, das den Oracle Break Glass-Service umfasst, erhalten Sie das Feature zu den vom Kunden verwalteten Schlüsseln, mit dem Sie die Verschlüsselungsschlüssel bereitstellen und verwalten können, die Ihre Umgebung schützen. Sie können diese Option auch als Add-on-Abonnement erwerben.

Mit dem OCI Vault-Service können Sie Verschlüsselungsschlüssel erstellen und verwalten, um die im Ruhezustand gespeicherten Daten in Ihren Produktions- und Nicht-Produktionsumgebungen zu sichern. Sie können Schlüssel in Ihrer Umgebung entweder einrichten, während Sie die Umgebung erstellen, oder den Schlüssel zu einer vorhandenen Umgebung hinzufügen.

Best Practices für das Einrichten und Verwalten von Vaults und Schlüsseln

Als Best Practice wird empfohlen, separate Vaults für Produktions- und Nicht-Produktionsumgebungen zu erstellen. Erstellen Sie im Vault der Nicht-Produktionsumgebung separate Schlüssel für Ihre Test- und Entwicklungsumgebungen. Sie können beispielsweise folgende Elemente erstellen:

Umgebung Tresor Master-Schlüssel
Produktion my-production-vault my-production-key
Testen my-nonproduction-vault my-test-environment-key
Entwicklung Meine Entwicklung - Umwelt - Schlüssel

Vorteile separater Vaults für die Produktion und Nichtproduktion:

  • Die Verwaltung separater Vaults ermöglicht die unabhängige Rotation von Schlüsseln für Produktions- und Nicht-Produktionsumgebungen.
  • Die Anzahl der Schlüssel pro Vault ist begrenzt. Durch separate Vaults wird eine separate Anzahl für Produktion und Nichtproduktion bereitgestellt.

Sie können Ihre Schlüssellimits und die Nutzung prüfen, indem Sie die Seite "Limits, Quota und Nutzung" anzeigen, auf der die Ressourcenlimits, -Quotas und -auslastung für die jeweilige Region angezeigt werden, aufgeschlüsselt nach Service:

  1. Rufen Sie in der Konsole das Navigationsmenü auf, und wählen Sie Governance & Administration aus. Wählen Sie unter Mandantenmanagement die Option Limits, Quota und Nutzung aus.
  2. Wählen Sie in der Liste Service die Option Schlüsselverwaltung aus.

    Prüfen Sie die Schlüssellimits für: Schlüsselversionsanzahl für virtuelle Vaults oder Softwareschlüsselversionsanzahl für virtuelle Vaults entsprechend dem ausgewählten Schlüsseltyp.

Setupaufgaben ausführen

Führen Sie diese Aufgaben aus, um Ihre Vaults und Schlüssel einzurichten und Ihren Mandanten auf die Verwendung vom Kunden verwalteter Schlüssel vorzubereiten.

Der Mandantenadministrator verfügt über die erforderlichen Berechtigungen, um alle erforderlichen Setupaufgaben auszuführen. Wenn Sie die Setupaufgaben für eine andere Rolle festlegen, stellen Sie sicher, dass sie über die entsprechenden Berechtigungen für die Arbeit mit Vaults und Schlüsseln verfügen. Siehe Referenz zu Berechtigungen.

In der folgenden Tabelle werden die Setupaufgaben zusammengefasst.

Aufgabe Erforderlich/Optional Weitere Informationen
1. Erstellen Sie Compartments für Ihre Vaults und Schlüssel. Optional Es ist eine Best Practice für die Sicherheit, separate Compartments für Sie Vaults und Schlüssel zu erstellen, um den Zugriff zu verfeinern.
2. Fügen Sie die System-Policy hinzu, damit vom Kunden verwaltete Schlüssel von der Anwendung verwendet werden können. Erforderlich Diese Policy muss hinzugefügt werden, bevor Sie den Vault und Schlüssel zu Ihrer Umgebung hinzufügen. Wenn diese Policy nicht hinzugefügt wird, schließt Ihre Umgebung das Provisioning nicht ab (wenn sie bei der Umgebungserstellung hinzugefügt wird), oder schließt die Arbeitsanforderung nicht ab (wenn sie einer vorhandenen Umgebung hinzugefügt wird).
3. Erstellen Sie die Vaults für Produktions- und Nicht-Produktionsumgebungen. Erforderlich Befolgen Sie die Vault-Serviceprozedur.
4. Erstellen Sie die Schlüssel für Produktions- und Nicht-Produktionsumgebungen. Erforderlich Befolgen Sie die Vault-Serviceprozedur.

1. Compartment für Vaults und Schlüssel erstellen (optional)

Auch wenn dies nicht erforderlich ist, können Sie durch das Einrichten eines dedizierten Compartments für Ihre Vaults und Schlüssel mehr Kontrolle darüber haben, wer Zugriff auf diese Ressourcen hat. Um vom Kunden verwaltete Schlüssel für Ihren Mandanten zu aktivieren, müssen Sie eine System-Policy (Aufgabe 2) erstellen, um den Zugriff auf die Vaults und Schlüssel durch von Oracle verwaltete Systeme zuzulassen. Indem Sie diese Ressourcen in Compartments platzieren, anstatt sie im Mandanten zu erstellen, können Sie Ihre Policy auf die wesentlichen Compartments beschränken. Weitere Informationen zu den Vorteilen von Compartments finden Sie unter Compartments.

Im Folgenden finden Sie abgekürzte Anweisungen zum Erstellen eines Compartments. Die vollständigen Details zur Verwaltung von Compartments finden Sie unter Compartments verwalten.

So erstellen Sie ein Compartment für Ihre Vaults und Schlüssel:

  1. Öffnen Sie das Navigationsmenü , und wählen Sie Identität und Sicherheit aus. Wählen Sie unter Identität die Option Compartments aus. Eine Liste der Compartments, auf die Sie zugreifen können, wird angezeigt.

  2. Wählen Sie Compartment erstellen aus.

  3. Geben Sie folgende Informationen ein:
    • Name: Ein eindeutiger Name für das Compartment (max. 100 Zeichen, einschließlich Buchstaben, Zahlen, Punkten, Bindestrichen und Unterstrichen). Der Name muss in allen Compartments in Ihrem Mandanten eindeutig sein. Geben Sie dabei keine vertraulichen Informationen ein. Zum Beispiel my-managed-keys.
    • Beschreibung: Eine benutzerfreundliche Beschreibung. Änderungen sind später bei Bedarf möglich.
    • Übergeordnetes Compartment: Das von Ihnen verwendete Compartment wird angezeigt. Wenn Sie andere Compartments erstellt haben, können Sie ein anderes Compartment auswählen, in dem dieses Compartment erstellt werden soll.
    • Tags: Wenn Sie über Berechtigungen zum Erstellen von Ressourcen verfügen, sind Sie auch berechtigt: Freiformtags auf diese Ressource anzuwenden. Um ein definiertes Tag anzuwenden, müssen Sie über die Berechtigungen zum Verwenden des Tag-Namespace verfügen. Weitere Informationen zum Tagging finden Sie unter Ressourcentags. Wenn Sie nicht sicher sind, ob Tags angewendet werden sollen, überspringen Sie diese Option, oder fragen Sie einen Administrator. Sie können Tags später anwenden.
  4. Wählen Sie Compartment erstellen aus.

2. System-Policy hinzufügen, um vom Kunden verwaltete Schlüssel in Ihrem Mandanten zu aktivieren

Wichtig

Diese Policy muss hinzugefügt werden, bevor Sie den vom Kunden verwalteten Schlüssel zu Ihrer Umgebung hinzufügen. Wenn diese Policy noch nicht hinzugefügt wird, kann die Provisioning-Funktion (sofern zu einer vorhandenen Umgebung hinzugefügt) oder das Update (sofern zu einer vorhandenen Umgebung hinzugefügt) für Ihre Umgebung nicht abgeschlossen werden. Die für Ihre Anwendung erforderliche Richtlinie finden Sie in der anwendungsspezifischen Dokumentation.

So erstellen Sie die Systemrichtlinie:

  1. Öffnen Sie das Navigationsmenü , und wählen Sie unter Infrastruktur Identität und Sicherheit aus. Wählen Sie unter Identität die Option Policys aus.
  2. Wählen Sie Policy erstellen aus.
  3. Geben Sie folgende Informationen ein:
    • Name: Ein eindeutiger Name für die Policy. Der Name muss in allen Policys in Ihrem Mandanten eindeutig sein. Sie können diese Angabe später nicht ändern.
    • Beschreibung: Eine benutzerfreundliche Beschreibung. Geben Sie dabei keine vertraulichen Informationen ein. Änderungen sind später bei Bedarf möglich.
    • Compartment: Stellen Sie sicher, dass der Mandant (Root Compartment) ausgewählt ist.
  4. Wählen Sie im Policy Builder-Abschnitt die Option Manuellen Editor anzeigen, um das Textfeld für Freiformtexteingaben anzuzeigen.
  5. Geben Sie die Policy-Anweisungen in der anwendungsspezifischen Dokumentation ein.
  6. Wählen Sie Erstellen.

3. Vaults für die Umgebungen erstellen

Befolgen Sie die Prozedur Erstellen eines Vaults in der Vault-Dokumentation. Wenn Sie Compartments erstellt haben, stellen Sie sicher, dass Sie die Vaults in dem Compartment erstellen, das Sie in der System-Policy angegeben haben.

Es wird vorgeschlagen, 2 Vaults zu erstellen: einen für Ihre Produktionsumgebungsschlüssel und einen für Ihre Nicht-Produktionsumgebungsschlüssel.

4. Schlüssel erstellen

Befolgen Sie die Anweisungen unter Masterschlüsselungsschlüssel erstellen in der Vault-Dokumentation. Stellen Sie sicher, dass Sie die Schlüssel in dem Compartment erstellen, das Sie in der System-Policy angegeben haben.

Beim Erstellen von Schlüsseln für Anwendungen müssen Sie die folgenden Optionen auswählen:

  • Wählen Sie unter Schlüsselform: Algorithmus die OptionAES (symmetrischer Schlüssel für Ver- und Entschlüsselung) aus (Sie müssen diese Option für Vom Kunden verwaltete Applications-Schlüssel auswählen).
  • Wählen Sie unter Schlüsselform: Länge die Option 256 Bit aus.

Es wird empfehlen, einen Schlüssel im Produktions-Vault für Ihre Produktionsumgebung und einen Schlüssel für jede Nicht-Produktionsumgebung im Nicht-Produktions-Vault zu erstellen.

Vom Kunden verwalteten Schlüssel zu Umgebungen hinzufügen

Sie können den vom Kunden verwalteten Schlüssel entweder während der Umgebungserstellung oder nach der bereits erstellten Umgebung hinzufügen.

Vom Kunden verwalteten Schlüssel beim Erstellen der Umgebung hinzufügen

Dieses Verfahren umfasst nur die Schritte zum Aktivieren des vom Kunden verwalteten Schlüssels. Eine vollständige Prozedur zum Erstellen einer Umgebung finden Sie unter So erstellen Sie eine Umgebung.

Gehen Sie auf der Seite zum Erstellen der Umgebung wie folgt vor:

  1. Wählen Sie Erweiterte Optionen aus.
  2. Wählen Sie unter Verschlüsselung die Option Mit dem Kunden verwalteten Schlüssel verschlüsseln aus.

    Wenn diese Option nicht angezeigt wird, prüfen Sie, ob das Abonnement dem Mandanten hinzugefügt wurde.

  3. Wählen Sie den Vault. Wenn sich der Vault nicht in demselben Compartment befindet, in dem Sie die Umgebung erstellen, wählen Sie das entsprechende Compartment aus.
  4. Wählen Sie den Schlüssel. Wenn sich der Schlüssel nicht in demselben Compartment befindet, in dem Sie die Umgebung erstellen, wählen Sie das entsprechende Compartment aus. Nur AES-256-Bit-Schlüssel werden angezeigt.

Nachdem Sie alle Schritte zum Einrichten der Umgebung ausgeführt haben, beginnt der Provisioning-Prozess. Durch Hinzufügen des vom Kunden verwalteten Schlüssels wird dem Provisioning-Prozess Zeit hinzugefügt.

Vom Kunden verwalteten Schlüssel für eine vorhandene Umgebung hinzufügen

So aktivieren Sie einen vom Kunden verwalteten Schlüssel für eine vorhandene Umgebung:

  1. Wählen Sie auf der Listenseite Umgebungen die Umgebung aus, mit der Sie arbeiten möchten. Wenn Sie Hilfe beim Suchen der Listenseite benötigen, finden Sie weitere Informationen unter So listen Sie Umgebungen auf.

  2. Wählen Sie auf der Seite mit den Umgebungsdetails das Menü Aktionen, und wählen Sie Verschlüsselungsschlüssel verwalten aus.

    Wenn die Option Verschlüsselungsschlüssel verwalten nicht verfügbar ist, haben Sie die Option entweder nicht erworben, oder das Abonnement für vom Kunden verwaltete Schlüssel wurde dem Mandanten nicht hinzugefügt.

  3. Wählen Sie die Option Mit vom Kunden verwaltetem Schlüssel verschlüsseln aus.

  4. Wählen Sie den Vault. Wenn sich der Vault nicht in demselben Compartment befindet, in dem Sie die Umgebung erstellen, wählen Sie das entsprechende Compartment aus.
  5. Wählen Sie den Schlüssel. Wenn sich der Schlüssel nicht in demselben Compartment befindet, in dem Sie die Umgebung erstellen, wählen Sie das entsprechende Compartment aus. Nur AES-256-Bit-Schlüssel werden angezeigt.
  6. Wählen Sie Änderungen speichern aus.

Die Planung der Verschlüsselung Ihrer Umgebung hängt von der Anwendung ab. Bei einigen Anwendungen wird eine Arbeitsanforderung sofort weitergeleitet. Sie können die Arbeitsanforderung überwachen, um den Fortschritt der Verschlüsselung zu verfolgen. Ihre Umgebung ist während des Updates nicht verfügbar. Bei anderen Anwendungen wird die Verschlüsselung im nächsten Wartungszyklus oder im nächsten Patchupdate durchgeführt. Bis zur Wartung bleibt die Umgebung mit dem von Oracle verwalteten Schlüssel verschlüsselt.

Schlüsselstatus und -details anzeigen

So zeigen Sie Schlüsselstatus und -details an:

  1. Navigieren Sie zur Umgebung: Wählen Sie im Anwendungs-Home der Konsole Ihren Anwendungsnamen aus.
  2. Wählen Sie Umgebungen aus, und wählen Sie den Umgebungsnamen aus.
  3. Auf der Seite mit den Umgebungsdetails werden die Details des Schlüssels im Abschnitt Verschlüsselung angezeigt.

Sie können die Vault- und Schlüsselnamen auswählen, um zu diesen Ressourcen im Vault-Service zu navigieren.

Schlüssel rotieren

Sie rotieren Schlüssel basierend auf den Sicherheitspraktiken Ihres Unternehmens. Sie können einen CLI-Job so einrichten, dass die Schlüssel automatisch rotiert werden, oder der angegebene Sicherheitsadministrator kann sie manuell über die Konsolen-UI des Vault-Service rotieren. Weitere Informationen zu Schlüsselversionen finden Sie unter Konzepte der Schlüssel- und Secret-Verwaltung.

So drehen Sie einen Schlüssel

Befolgen Sie die Prozedur Rotieren eines Vault-Schlüssels in der Vault-Dokumentation.

Hinweis

Je nach Anwendung sind möglicherweise weitere Schritte erforderlich. Prüfen Sie die nächsten Schritte für das Rotationsverfahren in der anwendungsspezifischen Dokumentation.

Schlüssel deaktivieren und aktivieren

Wenn Sie den Anwendungsservice herunterfahren und auf die Anwendungsdatenbank zugreifen möchten, können Sie den Schlüssel deaktivieren, um sofort alle Benutzer aus dem System zu erzwingen.

Warnung

Wenn Sie einen Schlüssel deaktivieren, gehen möglicherweise Daten verloren. Wenn der Schlüssel deaktiviert ist, versucht Oracle proaktiv, die Umgebung herunterzufahren, um zu verhindern, dass bei der Nutzung der Umgebung Fehler auftreten. Sobald der Schlüssel deaktiviert ist, kann die Umgebung jedoch erst erneut gestartet werden, nachdem er wieder aktiviert ist. Solange der Schlüssel deaktiviert ist, kann kein Anwendungs-Cloud-Service auf zuvor gespeicherte Kundendaten zugreifen.
Hinweis

Wenn Sie die Deaktivierung eines Schlüssels initiieren, werden mehrere Prozesse ausgeführt, um die Komponenten der Umgebung herunterzufahren (z.B. Datenbankservices, Middle Tier, Load Balancer). Der Vorgang kann bis zu einer Stunde dauern. Versuche nicht, einen Schlüssel erneut zu aktivieren, bevor diese Prozesse abgeschlossen ist.

Wenn Sie die Aktivierung eines Schlüssels initiieren, kann der Abschluss der Prozesse, die das System sichern, bis zu eine Stunde dauern.

Schlüssel löschen

Das Löschen von Schlüsseln und Vaults ist ein äußerst zerstörerischer Vorgang. Er sollte nur vom Mandantenadministrator in seltenen Fällen ausgeführt werden.

Wenn ein Mandantenadministrator einen Schlüssel löscht, können alle Daten oder OCI-Ressourcen (einschließlich der Anwendungsdatenbank), die mit diesem Schlüssel verschlüsselt sind, sofort nicht mehr verwendet oder abgerufen werden.

Wir empfehlen dringend, einen Schlüssel zu sichern, bevor Sie ihn zum Löschen einplanen. Mit einem Backup können Sie den Schlüssel und Vault wiederherstellen, wenn Sie den Schlüssel später wieder verwenden möchten.

Weitere Informationen finden Sie unter Vault-Schlüssel löschen.

Berechtigungsreferenz

Der Anwendungsadministrator benötigt read-Berechtigungen für Vaults und Schlüssel. Mit der Berechtigung read kann der Administrator:
  • Vault und Schlüssel während der Konfiguration wählen.
  • Zeigen Sie den Vault und die Schlüssel im OCI Vault-Service zur Fehlerbehebung an.

So fügen Sie die Berechtigungen für den Anwendungsadministrator hinzu:

  1. Weitere Informationen zum Erstellen der Anwendungsadministratorrolle finden Sie in der Policy-Referenz zu Anwendungsservices.
  2. Fügen Sie der Rolle die folgenden Anweisungen hinzu, falls noch nicht vorhanden: 
    
Allow group <your-group-name> to read vaults in tenancy
Allow group <your-group-name> to read keys in tenancy

Wenn der Anwendungsadministrator auch die Vaults und Schlüssel erstellen kann oder wenn Sie eine andere Person wie einen Sicherheitsadministrator zum Verwalten von Vaults und Schlüsseln angeben, müssen diese Mitglieder einer Gruppe mit den folgenden Berechtigungen sein:

allow group <group-name> to manage keys in <location> where request.permission not in ('KEY_DELETE')
allow group <group-name> to manage vaults in <location> where request.permission not in ('VAULT_DELETE')

Beachten Sie, dass die Löschberechtigungen aus den Policy-Anweisungen entfernt werden, um sicherzustellen, dass nur der Mandantenadministrator Löschvorgänge ausführen kann. Unter Benutzer mit eingeschränktem Zugriff hinzufügen werden die Verfahren zum Erstellen von Gruppen und Policys zum Definieren von Rollen beschrieben.