Oracle Cloud Infrastructure-Dokumentation

Sicherheit Ihrer Logs in Log Analytics

Oracle Log Analytics bietet sichere Datenübertragung und -speicherung für Ihre Logs. Der Service nutzt die verschiedenen Sicherheitsfeatures, die inhärent in Oracle Cloud Infrastructure (OCI) verfügbar sind, und erweitert sie, um Ihre Logs zu sichern.

Sicherheit von unterwegs gemeldeten Logs

Wenn Ihre Daten übertragen werden, erfolgt die gesamte Kommunikation von außerhalb der OCI zu innerhalb von OCI über das https-Protokoll, für das die Verschlüsselungsschicht aktiviert ist. Dadurch wird der Schutz sensibler Daten vor Phishing-Angriffen von MitM sichergestellt.

Sicherheit von Logs bei Rest

Die folgenden Features stellen sicher, dass Ihre Logs sicher bleiben, während sie in OCI im Ruhezustand sind, sei es aktive oder archivierte Daten:

  • AES-256 serverseitige Verschlüsselung: OCI verschlüsselt und entschlüsselt immer alle Block-Volumes, Boot-Volumes, Volume-Backups und Objektspeicher auf Serverseite, indem der Advanced Encryption Standard-(AES-)Algorithmus mit 256-Bit-Verschlüsselung verwendet wird. Siehe Object Storage-Verschlüsselung und Block-Volume-Verschlüsselung in der Oracle Cloud Infrastructure-Dokumentation.

    Die Verschlüsselung ist standardmäßig aktiviert und kann nicht deaktiviert werden. Standardmäßig verwaltet Oracle den Masterverschlüsselungsschlüssel.

  • Client-seitige AES/GCM-256-Bit-Verschlüsselung: Die OCI-Verschlüsselung SDK für Python und SDK für Java unterstützen die clientseitige Verschlüsselung, die Ihre Daten auf der Clientseite verschlüsselt, bevor sie lokal gespeichert oder mit anderen OCI-Services verwendet werden. Siehe Oracle Cloud Infrastructure-Dokumentation: Clientseitige Verschlüsselung.

  • Verschlüsselungsschlüssel, die vom Kunden bereitgestellt werden: Mit Oracle Log Analytics können Sie Ihren eigenen Verschlüsselungsschlüssel verwenden, den Sie in OCI Vault gespeichert haben, um Ihre Logs zu verschlüsseln. Nachdem Sie Ihre Anforderung zur Verschlüsselung mit Ihren eigenen Schlüsseln gestellt haben, indem Sie sich je nach Größe Ihrer Logdaten an Oracle Support wenden, erstellt Oracle ein dediziertes Block-Volume oder einen Objektspeicher-Bucket. Dadurch wird sichergestellt, dass Ihre Daten getrennt sind und selektiv verschlüsselt werden können.

    Wenn Sie das Feature aktivieren, können Sie den Verschlüsselungsschlüssel auf Block-Volumes für aktive Daten oder den Objektspeicher für Archivierungsdaten verwenden.

    Weitere Informationen finden Sie unter Eigenen Verschlüsselungsschlüssel verwenden.

Eigenen Verschlüsselungsschlüssel verwenden

Die folgenden Schritte stellen den Workflow bereit, um Ihren eigenen Verschlüsselungsschlüssel einzurichten und in Oracle Log Analytics zu verwenden.

Themen:

Hinweis

WARNUNG: Vermeiden von Datenverlust

In einem der folgenden Szenarios verläuft die Datenerfassung nicht erfolgreich, und Ihre Daten in Oracle Log Analytics gehen verloren:

  • Wenn Sie einen alten oder neuen Schlüssel löschen, wenn die Schlüsselrotation ausgeführt wird
  • Wenn Sie den Schlüssel löschen, der derzeit für die Verschlüsselung verwendet wird
  • Wenn Sie die IAM-Policys für die vom Kunden bereitgestellte Verschlüsselung ändern, können Oracle Cloud-Services nicht auf den Datenspeicher zugreifen

Schritte zur Verwendung Ihres eigenen Verschlüsselungsschlüssels mit Oracle Log Analytics

Durch die folgenden Schritte können Sie erfolgreich Ihren eigenen Verschlüsselungsschlüssel in Oracle Log Analytics verwenden, vorhandene Schlüssel bestätigen und deren Zuweisung mit oci cli-Befehlen überwachen:

  1. Featureaktivierung anfordern:

    Wenden Sie sich an Oracle Support, um das Feature Verschlüsselungsschlüssel vom Kunden bereitgestellt für Ihren Mandanten zu aktivieren. Erstellen Sie eine Serviceanfrage (SR) im Oracle Cloud Support Portal.

    Fahren Sie erst mit den nächsten Schritten fort, nachdem Oracle bestätigt hat, dass das Feature aktiviert ist.

  2. Verschlüsselungsschlüssel in OCI Vault erstellen oder auswählen:

    Navigieren Sie zu OCI Sicherheit, und wählen Sie Vault aus. Wählen Sie einen Vault aus, oder erstellen Sie ihn, und erstellen oder wählen Sie den zu verwendenden Schlüssel. Mit OCI Vault können Sie Vaults, Schlüssel und Secrets verwalten. Siehe Oracle Cloud Infrastructure-Dokumentation: Schlüssel verwalten.

    Hinweis

    Verwenden Sie nur den 256-Bit Advanced Encryption Standard (AES-256)-Verschlüsselungsschlüssel für Block Volumes (Aktive Speicherdaten). Siehe Block-Volume-Verschlüsselungsschlüssel.

  3. Beachten Sie Ihre Verschlüsselungsschlüsselinformationen:

    Suchen und kopieren Sie die OCID des ausgewählten Schlüssels im Vault, die Vault-Compartment-OCID und die Compartment-OCID, in der sich der Schlüssel zur Verwendung in den nächsten Schritten befindet.

  4. Konfigurieren Sie erforderliche IAM-Policys:

    Stellen Sie sicher, dass die erforderlichen IAM-Policy-Anweisungen für die Schlüsselverwaltung erstellt werden, auf Daten aus Ihren dedizierten Ressourcen zugegriffen wird und Oracle Log Analytics den Verschlüsselungsschlüssel in Ihren Logs verwenden kann. Siehe Verwendung von vom Kunden bereitgestellten Schlüsseln zum Verschlüsseln von Logs zulassen.

  5. Weisen Sie Ihren Schlüssel dem Oracle Log Analytics-Speicher zu:

    Weisen Sie den Schlüssel einer oci cli-Anforderung zu. 

    oci log-analytics storage assign-encryption-key --key-id <key-id> --key-type <key_type> --namespace-name <namespace_name>
    • Ersetzen Sie <key-id> durch die OCID des Verschlüsselungsschlüssels.
    • Setzen Sie <key_type> als "ACTIVE_DATA" für den aktiven Speicher oder "ARCHIVAL_DATA" für den Archivierungsspeicher.
    • Ersetzen Sie <namespace_name> durch den Namen Ihres Mandanten-Namespace.

    Notieren Sie sich die Arbeitsanforderungs-ID aus der Antwort auf den obigen Befehl.

    Weitere Einzelheiten zu dem CLI-Befehl, Parametern und Beispielen finden Sie unter assign-encryption-key.

  6. Status der Verschlüsselungsschlüsselzuweisung überwachen:

    Um den Fortschritt zu verfolgen, verwenden Sie die Arbeitsanforderungs-ID aus der obigen Antwort:

    oci log-analytics storage get-storage-work-request --namespace-name <namespace_name> --work-request-id <work_request_id>
    • Ersetzen Sie <work_request_id> durch die ID, die vom assign-encryption-key-Aufruf oci cli zurückgegeben wird.
    • Ersetzen Sie <namespace_name> durch den Namen Ihres Mandanten-Namespace.
    • Prüfen Sie den Status und die Details der Antwort. Die Schlüsselzuweisung ist abgeschlossen, wenn der Antwortstatus SUCCEEDED lautet.

    Weitere Einzelheiten zu dem CLI-Befehl, Parametern und Beispielen finden Sie unter get-storage-work-request.

    Beispielantwort: 

    {
  "compartmentId": "ocid1.tenancy.oc1..xxxxx",
  "id": "ocid1.loganalyticsstorageworkrequest.oc1.xxxxx",
  "operationDetails": "Encryption Completed",
  "operationType": "ENCRYPT_ACTIVE_DATA",
  "percentComplete": 100,
  "status": "SUCCEEDED",
  "statusDetails": "ENCRYPTED",
  "timeAccepted": "2025-05-30T18:29:05.153+00:00",
  "timeExpires": null,
  "timeFinished": "2025-05-30T18:30:27.980+00:00",
  "timeStarted": "2025-05-30T18:30:23.054+00:00"
}

Nachdem das Feature aktiviert wurde, werden Ihre älteren Logdaten, die sich an einem anderen Speicherort befinden, weiterhin mit von OCI verwalteten Verschlüsselungsschlüsseln verschlüsselt. Alle neuen Daten, die nach der Aktivierung kommen, werden mit Ihrem eigenen Verschlüsselungsschlüssel verschlüsselt.

Speicherverschlüsselungsschlüssel auflisten

Sie können jederzeit prüfen, welche Verschlüsselungsschlüssel mit Ihrem Oracle Log Analytics-Mandanten verknüpft sind: 

oci log-analytics storage list-encryption-key-info --namespace-name <namespace_name>

Ersetzen Sie <namespace_name> durch den Namen Ihres Mandanten-Namespace.

JSON-Beispielantwort: 

[
  {
    "keyId": "ocid1.key.oc1..xxxxx",
    "keySource": "CUSTOMER_MANAGED",
    "keyType": "ACTIVE_DATA"
  },
  {
    "keyId": "ocid1.key.oc1..xxxxx",
    "keySource": "CUSTOMER_MANAGED",
    "keyType": "ARCHIVAL_DATA"
  }
]

Weitere Einzelheiten zu dem CLI-Befehl, Parametern und Beispielen finden Sie unter list-encryption-key-info.

Speicherverschlüsselungsschlüssel rotieren

Das regelmäßige Rotieren Ihrer Verschlüsselungsschlüssel ist eine Best Practice zur Stärkung der Datensicherheit. In Oracle Log Analytics können Sie den Schlüssel rotieren, indem Sie einen neuen Schlüssel mit dem Befehl assign-encryption-key oci cli zuweisen. Die folgenden Schritte zeigen, wie Sie Ihren Schlüssel drehen, den Fortschritt überwachen und den alten Schlüssel bereinigen, wenn der Prozess abgeschlossen ist.

  1. Neuen Verschlüsselungsschlüssel vorbereiten:

    Generieren oder wählen Sie einen neuen Verschlüsselungsschlüssel in OCI Vault aus.

    Hinweis

    Verwenden Sie nur den 256-Bit Advanced Encryption Standard (AES-256)-Verschlüsselungsschlüssel für Block Volumes (Aktive Speicherdaten). Siehe Block-Volume-Verschlüsselungsschlüssel.

    Stellen Sie sicher, dass Oracle Log Analytics über die erforderlichen IAM-Policys verfügt, um den neuen Schlüssel zu verwenden. Siehe Verwendung von vom Kunden bereitgestellten Schlüsseln zum Verschlüsseln von Logs zulassen.

  2. Weisen Sie Ihren Schlüssel dem Oracle Log Analytics-Speicher zu:

    Weisen Sie den Schlüssel einer oci cli-Anforderung zu. 

    oci log-analytics storage assign-encryption-key --key-id <key-id> --key-type <key_type> --namespace-name <namespace_name>
    • Ersetzen Sie <key-id> durch die OCID des Verschlüsselungsschlüssels.
    • Setzen Sie <key_type> als "ACTIVE_DATA" für den aktiven Speicher oder "ARCHIVAL_DATA" für den Archivierungsspeicher.
    • Ersetzen Sie <namespace_name> durch den Namen Ihres Mandanten-Namespace.

    Weitere Einzelheiten zu dem CLI-Befehl, Parametern und Beispielen finden Sie unter assign-encryption-key.

  3. Status der Verschlüsselungsschlüsselzuweisung überwachen:

    Um den Fortschritt zu verfolgen, verwenden Sie die Arbeitsanforderungs-ID aus der obigen Antwort:

    oci log-analytics storage get-storage-work-request --namespace-name <namespace_name> --work-request-id <work_request_id>
    • Ersetzen Sie <work_request_id> durch die ID, die vom assign-encryption-key-Aufruf oci cli zurückgegeben wird.
    • Ersetzen Sie <namespace_name> durch den Namen Ihres Mandanten-Namespace.
    • Prüfen Sie den Status und die Details der Antwort. Die Schlüsselzuweisung ist abgeschlossen, wenn der Antwortstatus SUCCEEDED lautet.

    Weitere Einzelheiten zu dem CLI-Befehl, Parametern und Beispielen finden Sie unter get-storage-work-request.

    Beispielantwort: 

    {
  "compartmentId": "ocid1.tenancy.oc1..xxxxx",
  "id": "ocid1.loganalyticsstorageworkrequest.oc1.xxxxx",
  "operationDetails": "Encryption Completed",
  "operationType": "ENCRYPT_ACTIVE_DATA",
  "percentComplete": 100,
  "status": "SUCCEEDED",
  "statusDetails": "ENCRYPTED",
  "timeAccepted": "2025-05-30T18:29:05.153+00:00",
  "timeExpires": null,
  "timeFinished": "2025-05-30T18:30:27.980+00:00",
  "timeStarted": "2025-05-30T18:30:23.054+00:00"
}

  4. Alten Schlüssel entfernen:

    Stellen Sie sicher, dass die Rotation abgeschlossen ist, indem Sie prüfen, ob die Antwort auf den get-storage-work-request-Aufruf SUCCEEDED lautet. Nachdem Sie geprüft haben, ob der list-encryption-key-info-Aufruf jetzt nur den neuen Schlüssel anzeigt, können Sie den alten Schlüssel sicher aus OCI Vault entfernen. Siehe Speicherverschlüsselungsschlüssel auflisten.

Nützliche Tipps zum Rotieren Ihrer Verschlüsselungsschlüssel in Oracle Log Analytics

  • Beide Tasten werden während der Rotation benötigt

    Wenn Sie die Schlüsselrotation starten, müssen die Schlüssel alt und neu aktiv und zugänglich bleiben. Der alte Schlüssel stellt sicher, dass vorhandene verschlüsselte Daten mit dem neuen Schlüssel gelesen und erneut verschlüsselt werden können.

  • Neuen Schlüssel hinzufügen, um Rotation zu starten

    Beginnen Sie die Rotation, indem Sie den neuen Verschlüsselungsschlüssel mit dem Befehl assign-encryption-key oci cli hinzufügen. Siehe Speicherverschlüsselungsschlüssel rotieren.

  • Keine erforderliche Wartezeit nach Abschluss der Rotation

    Sie müssen nicht auf eine bestimmte Anzahl von Tagen warten. Sobald die Schlüsselrotation abgeschlossen ist, ist der alte Schlüssel nicht mehr erforderlich und kann sicher aus OCI Vault entfernt werden.

  • Rotationsdauer

    • Wenn die Archivierung nicht aktiviert ist:

      ACTIVE_DATA-Schlüsseltyp: Sowohl aktive Daten als auch aktives Datenbackup werden mit dem angegebenen Schlüssel verschlüsselt und beide rotiert. Die Rotation des Backups aktiver Daten kann in der Regel 1 TB = Stunden, 10 TB = Tage, 100 TB = Wochen dauern. Je mehr Daten Sie haben, desto länger kann die Rotation dauern.

    • Wenn Archivierung aktiviert ist:

      ACTIVE_DATA-Schlüsseltyp: Nur der Schlüssel aktive Daten wird rotiert. Die Auswirkung der aktiven Datengröße (10 TB, 20 TB, 100 TB) ist nicht sehr signifikant. Die Rotation erfolgt in der Regel schnell (in Minuten bis zu einer Stunde), unabhängig von der Datengröße.

      ARCHIVAL_DATA-Schlüsseltyp: Nur der Schlüssel Archivierungsdaten wird rotiert. Die Rotation von Archivierungsdaten kann in der Regel 1 TB = Stunden, 10 TB = Tage, 100 TB = Wochen dauern. Je mehr Daten Sie haben, desto länger kann die Rotation dauern.

  • Keine feste Aufbewahrungszeit für alten Schlüssel

    • Der alte Schlüssel muss beibehalten werden, bis alle Daten mit dem neuen Schlüssel erneut verschlüsselt werden, und die Rotation wird bestätigt.

  • So überwachen Sie den Rotationsfortschritt

    Der Vorgang "Verschlüsselungsschlüssel zuweisen" ist asynchron. Nachdem Sie die Schlüsselrotationsanforderung weitergeleitet haben, verfolgen Sie den Fortschritt mit der zurückgegebenen workRequestId.

    Siehe Speicherverschlüsselungsschlüssel rotieren.

    Wenn die Arbeitsanforderung mit dem Statusaufruf SUCCEEDED und list-encryption-key-info erfolgreich abgeschlossen wird und jetzt nur der neue Schlüssel angezeigt wird, können Sie den alten Schlüssel löschen. Wenn die Arbeitsanforderung nicht erfolgreich ist, prüfen Sie die Antwort, um den Grund für den Fehler zu ermitteln, und übernehmen Sie die Korrektur. Wenden Sie sich an Oracle Support, um Hilfe zu erhalten.

  • Prüfen Sie, welcher Schlüssel aktiv ist

    Listet aktuelle Verschlüsselungsschlüssel auf, um zu bestätigen, dass der neue Schlüssel verwendet wird.

    Siehe Speicherverschlüsselungsschlüssel auflisten.

    Stellen Sie vor dem Entfernen sicher, dass der alte Schlüssel nicht mehr aufgeführt ist.

  • Beide Schlüssel zugänglich machen

    Löschen oder deaktivieren Sie den alten Schlüssel nicht, bis die Rotation vollständig abgeschlossen und validiert wurde. Der Verlust des Zugriffs auf den alten Schlüssel während der Rotation kann zu Datenzugriffsproblemen führen.

  • Test mit kleineren Daten zuerst

    Wenn möglich, sollten Sie eine Testrotation für ein kleineres Dataset in Betracht ziehen, um das Timing in Ihrer OCI-Umgebung zu schätzen.

Halten Sie beide Schlüssel während der Rotation verfügbar, überwachen Sie die Rotation durch den Arbeitsanforderungsstatus, entfernen Sie den alten Schlüssel erst nach Abschluss, und erwarten Sie, dass die Archivrotation mit zunehmender Datengröße länger dauert. Überprüfen Sie vor der Bereinigung immer den Schlüsselstatus.

Zurück zur von Oracle verwalteten Verschlüsselung wechseln

Wenn Sie aufgrund der Schlüsselrotation mit Skalierbarkeits-/Performanceproblemen konfrontiert sind oder den Schlüsselverwaltungsprozess nicht verwalten können, können Sie zur von Oracle verwalteten Verschlüsselung zurückkehren. Wenden Sie sich an Oracle Support, um zu einer von Oracle verwalteten Verschlüsselung für Ihren Mandanten zurückzukehren. Erstellen Sie eine Serviceanfrage (SR) im Oracle Cloud Support Portal.

Verwendung von vom Kunden bereitgestellten Schlüsseln zum Verschlüsseln von Logs zulassen

Mit Oracle Log Analytics können Sie Ihren eigenen Verschlüsselungsschlüssel verwenden, den Sie in OCI Vault gespeichert haben, um Ihre Logs zu verschlüsseln. Nachdem Sie Ihre Anforderung zur Verschlüsselung mit Ihren eigenen Schlüsseln gestellt haben, indem Sie sich je nach Größe Ihrer Logdaten an Oracle Support wenden, erstellt Oracle dedizierte Block-Volumes und Objektspeicher-Buckets. Dadurch wird sichergestellt, dass Ihre Daten getrennt sind und selektiv verschlüsselt werden können.

Um die Schlüssel für die Verschlüsselung der Logdaten erfolgreich zu verwenden, müssen Sie zunächst die folgenden Berechtigungen für die verschiedenen Services bereitstellen, damit diese auf die Schlüssel zugreifen und diese verwenden können:

  1. Definieren Sie den Log Analytics-Mandanten, in dem die Daten gespeichert werden. Beispiel: logan_tenancy.

  2. Definieren Sie eine dynamische Gruppe von Ressourcen, die zum Ausführen von Verschlüsselungsvorgängen verwendet werden kann, z.B. encr_app_tier_group_of_logan.

  3. Lassen Sie zu, dass der Service Block Storage Ihre Verschlüsselungsschlüssel und Vaults verwendet, die in einem bestimmten Compartment in Ihrem Mandanten gespeichert sind. Beispiel: Compartment encryptionTier.

  4. Lassen Sie zu, dass Service Object Storage Ihre Verschlüsselungsschlüssel und Vaults verwendet, die in einem bestimmten Compartment in Ihrem Mandanten gespeichert sind. Beispiel: Compartment encryptionTier.

  5. Lassen Sie zu, dass die in Schritt 2 definierte dynamische Gruppe Ihre Verschlüsselungsschlüssel mit Volumes verknüpft.

  6. Lassen Sie zu, dass die in Schritt 2 definierte dynamische Gruppe Ihre Verschlüsselungsschlüssel mit Volume-Backups verknüpft.

  7. Lassen Sie zu, dass die in Schritt 2 definierte dynamische Gruppe die Schlüsseldelegierung verwendet.

  8. Lassen Sie zu, dass die in Schritt 2 definierte dynamische Gruppe Ihre Verschlüsselungsschlüssel mit Object Storage-Buckets verknüpft.

  9. Lassen Sie zu, dass die in Schritt 2 definierte dynamische Gruppe READ-Zugriff auf Ihre Verschlüsselungsschlüssel hat.

  10. Lassen Sie zu, dass die in Schritt 2 definierte dynamische Gruppe READ-Zugriff auf die Vaults hat.

Die folgenden IAM-Beispiel-Policy-Anweisungen sind den oben genannten Definitionen zugeordnet:

Define tenancy logan_tenancy as <LOGAN_TENANCY_OCID>
Define dynamic-group encr_app_tier_group_of_logan as <LOGAN_APP_TIER_DYNAMIC_GROUP_OCID>
allow service blockstorage to use keys in compartment <CUSTOMER_KEY_COMPARTMENT_OCID>
allow service objectstorage-<REGION_IDENTIFIER> to use keys in compartment <CUSTOMER_KEY_COMPARTMENT_OCID>
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to associate keys in compartment <CUSTOMER_KEY_COMPARTMENT_OCID> with volumes in tenancy logan_tenancy
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to associate keys in compartment <CUSTOMER_KEY_COMPARTMENT_OCID> with volume-backups in tenancy logan_tenancy
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to use key-delegate in compartment <CUSTOMER_KEY_COMPARTMENT_OCID>
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to associate keys in compartment <CUSTOMER_KEY_COMPARTMENT_OCID> with buckets in tenancy logan_tenancy
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to read keys in compartment <CUSTOMER_KEY_COMPARTMENT_OCID>
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to read vaults in compartment <CUSTOMER_VAULT_COMPARTMENT_OCID>

Ersetzen Sie <LOGAN_TENANCY_OCID>, <REGION_IDENTIFIER>, <LOGAN_APP_TIER_DYNAMIC_GROUP_OCID>, <CUSTOMER_KEY_COMPARTMENT_OCID> und <CUSTOMER_VAULT_COMPARTMENT_OCID> in den oben genannten IAM-Policy-Anweisungen durch die tatsächlichen Werte.

Um die Region zu integrieren, erfassen Sie <LOGAN_TENANCY_OCID>, <LOGAN_APP_TIER_DYNAMIC_GROUP_OCID> aus Oracle Log Analytics.

Informationen zum Abrufen des Werts von <REGION_IDENTIFIER> finden Sie unter Regionen und Availability-Domains.

Die <CUSTOMER_KEY_COMPARTMENT_OCID> ist die Compartment-OCID, in der sich der Schlüssel befindet. <CUSTOMER_VAULT_COMPARTMENT_OCID> ist die OCID des Compartments, in dem Sie den Vault zum Speichern der Schlüssel erstellt haben. Sie haben die Compartment-OCIDs in step3 in Schritten zur Verwendung Ihres eigenen Verschlüsselungsschlüssels mit Oracle Log Analytics notiert.