Einführung in vom Kunden verwaltete Verschlüsselungscodes

Erfahren Sie mehr über vom Kunden verwaltete Verschlüsselungsschlüssel für dedizierte Umgebungen.

Verwandte Themen

Vom Kunden verwalteter Verschlüsselungsschlüssel - Überblick

Oracle NoSQL Database Cloud Service (NDCS) schützt Daten vor Sicherheitsverletzungen, indem ruhende Daten mit Datenverschlüsselungsschlüsseln verschlüsselt werden. Die Datenencytionsschlüssel werden dann mit einem Masterverschlüsselungsschlüssel verschlüsselt. Standardmäßig verwendet NDCS einen von Oracle verwalteten Masterverschlüsselungsschlüssel.

Mit NDCS können Sie auch Datenverschlüsselungsschlüssel mit Ihrem eigenen Masterverschlüsselungsschlüssel verschlüsseln, der als Customer-Managed Encryption Key (CMEK) bezeichnet wird. CMEKs müssen in einer dedizierten Umgebung aktiviert sein, bevor diese Funktionalität verwendet werden kann. Wenn Sie eine dedizierte Umgebung erstellen, die für CMEKs konfiguriert ist, verwendet Oracle NoSQL Database OCI-Block-Volumes, um Datenbankdaten mit einem von Ihnen kontrollierten Masterverschlüsselungsschlüssel zu speichern und zu verschlüsseln. Darüber hinaus befinden sich Backups der Daten Ihrer Umgebung im OCI-Objektspeicher und werden auch mit Ihrem Masterschlüssel verschlüsselt. Informationen zum Auslösen eines Servicetickets finden Sie unter Anfordern einer dedizierten gehosteten Umgebung.

Sie erstellen und verwalten Ihre eigenen Masterverschlüsselungsschlüssel. NDCS verwendet den OCI Key Management Service (KMS), um Ihren Masterverschlüsselungsschlüssel in Vaults zu speichern und deren Betriebszustände zu verwalten.

Terminologien

  • Vom Kunden verwalteter Verschlüsselungsschlüssel (Customer Managed Encryption Key, CMEK): Ein Masterverschlüsselungsschlüssel, mit dem Block-Volume- und Object Storage-Schlüssel verschlüsselt und entschlüsselt werden.
  • Daten im Ruhezustand: Bezieht sich auf Daten, die in Oracle NoSQL Database gespeichert sind.
  • Dedizierte Umgebung für CMEKs: Eine Oracle NoSQL-Umgebung, die für Ihren Mandanten dediziert und zur Verwendung von vom Kunden verwalteten Verschlüsselungsschlüsseln konfiguriert ist.
  • Key Management Service (KMS): Ein OCI-Service, der Schlüssel in Vaults speichert und verwaltet. KMS bietet eine zentrale Verwaltung und Kontrolle von Verschlüsselungsschlüsseln.
  • Schlüsselrotation: Der Prozess, bei dem ein alter Verschlüsselungsschlüssel durch einen neuen Schlüssel ersetzt wird, um die Risiken zu mindern, wenn der Schlüssel jemals gefährdet wird.
  • Block-Volume-Service: Ein OCI-Service, mit dem Sie Blockspeicher dynamisch bereitstellen und verwalten können, um die erforderlichen Anwendungsanforderungen zu erfüllen.
  • Object Storage-Service: Ein OCI-Service, der einen vollständig programmierbaren, skalierbaren und dauerhaften Cloud-Speicher für Daten bereitstellt.
  • OCI Vault-Service: Ein OCI-Service, der einen sicheren, zentralisierten Speicherort für die Verwaltung von Verschlüsselungsschlüsseln und Secrets bereitstellt.

Wie funktioniert CMEK?

Mit dem OCI Vault-Service können Sie Vaults im Mandanten als Container für Verschlüsselungsschlüssel erstellen. Wenn Sie CMEK in einem Vault erstellen, wird ihm eine eindeutige Oracle Cloud-ID (OCID) zugewiesen.

Sie weisen Ihrer dedizierten Umgebung über die OCI-Konsole eine CMEK zu. Der Block Volume-Service und Object Storage-Service verwenden CMEK, um Block-Volume- und Object Storage-Schlüssel zu verschlüsseln.

NDCS unterstützt die Schlüsselrotation, indem Sie eine neue CMEK zuweisen können. Sie müssen zuerst einen neuen Schlüssel in Ihrem Vault erstellen. Um eine Rotation auszulösen, aktualisieren Sie den neuen Schlüssel in Ihrer dedizierten Umgebung über die OCI-Konsole. Beim Rotieren in ein neues CMEK werden keine in Block Volumes oder in Object Storage gespeicherten Daten erneut verschlüsselt. Es werden nur die Block-Volume- und Object Storage-Schlüssel erneut verschlüsselt.

Der Block Volume-Service und der Object Storage-Service verwalten alle Datenvorgänge.

CMEK erstellen

Oracle NoSQL Database Cloud Service unterstützt die Integration ausschließlich mit dem OCI Vault-Service zum Erstellen von Vaults. KMS wird verwendet, um CMEKs in Vaults zu erstellen, zu speichern und zu verwalten. Weitere Details zum Vault finden Sie im Thema OCI Vault in der Oracle Cloud Infrastructure-Dokumentation.

Sie müssen zunächst einen Vault über die OCI-Konsole erstellen und dann CMEK im Vault erstellen.

Weitere Informationen finden Sie im Thema Vault erstellen in der Oracle Cloud Infrastructure-Dokumentation.

Abbildung – OCI Vault


Beschreibung von Abbildung - folgt
Beschreibung von "Figure - OCI Vault"

CMEK erstellen:

Beim Erstellen eines CMEK geben Sie den Schutzmodus, den Algorithmus und die Länge an.

Führen Sie die folgenden Schritte aus, um ein CMEK zu erstellen. Weitere Informationen finden Sie im Thema Masterverschlüsselungsschlüssel erstellen in der Oracle Cloud Infrastructure-Dokumentation.

Voraussetzungen
  • Vault erstellen.
Vorgehensweise
  1. Melden Sie sich bei der OCI-Konsole an.
  2. Öffnen Sie das Navigationsmenü in der oberen linken Ecke, wählen Sie Identität und Sicherheit aus, und wählen Sie Vault aus.
  3. Wählen Sie das Compartment aus, das den Vault enthält.
  4. Wählen Sie den Namen des Vaults aus, in dem Sie einen CMEK erstellen möchten.
  5. Wählen Sie unter Ressourcen die Option Masterverschlüsselungsschlüssel und dann Schlüssel erstellen aus. Beachten Sie, dass Schlüssel in einem anderen Compartment als dem des Vaults erstellt werden können.
  6. Wählen Sie unter Schutzmodus eine der folgenden Optionen aus: HSM oder Software.
  7. Geben Sie einen Namen ein, um CMEK zu identifizieren.
  8. Wählen Sie unter Schlüsselausprägung: Algorithmus den AES-(Advanced Encryption Standard-)Algorithmus aus. KMS unterstützt die Algorithmen AES, RSA und ECDSA. NDCS ermöglicht jedoch nur eine symmetrische Schlüsselform für CMEK. Daher müssen Sie die Option AES auswählen, die einen symmetrischen Schlüssel generiert.
  9. Wählen Sie unter Schlüsselform: Länge die Schlüssellänge als 256 Bit aus.
  10. Wenn Sie einen externen Schlüssel importieren möchten, aktivieren Sie das Kontrollkästchen Externen Schlüssel importieren, und geben Sie folgende Details an:
    • Wrapping-Algorithmus: Wählen Sie RSA_OAEP_AES_SHA256 aus. OCI unterstützt diesen Algorithmus zum Importieren eines öffentlich gewrappten Schlüssels.
    • Datenquelle für externen Schlüssel: Laden Sie die Datei hoch, die das gewrappte RSA-Schlüsselmaterial enthält.
  11. Wählen Sie Schlüssel erstellen aus.

    Abbildung - CMEK-Erstellung in Vault


    Beschreibung von Abbildung - folgt
    Beschreibung von "Figure - CMEK Creation in Vault"

    Hinweis:

    Oracle NoSQL Database Cloud Service unterstützt nur Schlüssel mit einer Version.
CMEK-Zugriff:

Nachdem Sie ein CMEK erstellt haben, weisen Sie es Ihrer dedizierten Umgebung zu. Der Block Volume-Service und der Object Storage-Service in der dedizierten Umgebung greifen intern mit der OCID des CMEK auf das CMEK zu.

Abbildung - CMEK-Details


Beschreibung von Abbildung - folgt
Beschreibung von "Figure - CMEK Details"

CMEK-Lebenszyklus in Vault:

Ein Vault unterstützt die folgenden Vorgänge:

  • Erstellung: Sie erstellen ein CMEK in einem Tresor.
  • Deaktivieren/Aktivieren: Sie können ein CMEK deaktivieren/aktivieren, um dessen Verwendung zu steuern.
  • Löschen: Sie können ein CMEK aus dem Vault löschen. Das Löschen ist ein zweistufiger Prozess mit einer Wartezeit, um versehentliches Löschen zu verhindern.

    Hinweis:

    Der CMEK-Status ist während dieser Wartezeit deaktiviert.

Weitere Informationen zum Aktivieren, Deaktivieren und Löschen von CMEK finden Sie unter CMEK-Schlüsselmanagementworkflow.

CMEK-Managementvorgänge

Oracle NoSQL Database Cloud Service verwaltet die Vorgänge von CMEK in dedizierten Umgebungen. Dazu gehören die Zuweisung von CMEK zu einer dedizierten Umgebung, die CMEK-Rotation, das Entfernen, die Deaktivierung im Vault, die erneute Aktivierung und das Löschen.

In der folgenden Tabelle werden die Aufgaben beschrieben, die mit der CMEK-Verwaltung verbunden sind. Einzelheiten zu CMEK-Schlüsselverwaltungsaufgaben finden Sie unter CMEK-Schlüsselverwaltungsworkflow.

Tabelle - CMEK-Verwaltungsaufgaben

Benutzeraufgaben NDCS-Aufgaben

CMEK-Zuweisung: Sie weisen Ihrer dedizierten Umgebung über die OCI-Konsole eine CMEK zu.
  • Löst die Verschlüsselung von Schlüsseln in Block-Volumes und Object Storage der dedizierten Umgebung aus.
  • Hier wird eine Benachrichtigung über den Beginn und Abschluss einer CMEK-Zuweisung angezeigt.
CMEK Rotation: Sie aktualisieren CMEK in Ihrer dedizierten Umgebung.
  • Löst die erneute Verschlüsselung von Schlüsseln in den Block-Volumes und Object Storage der dedizierten Umgebung aus.
  • Zeigt eine Benachrichtigung über den Beginn und Abschluss des Aktualisierungsprozesses an.
CMEK disable: Sie deaktivieren CMEK im Vault.
  • Prüft die Metadaten und den aktuellen Status von CMEK, die mit der dedizierten Umgebung verknüpft sind.
  • Macht die dedizierte Umgebung nicht verfügbar. Alle Daten oder Ressourcen, die CMEK verwenden, werden unbrauchbar gemacht.
  • Deaktiviert alle Alarme in der dedizierten Umgebung.
  • Zeigt die entsprechende Benachrichtigung an, dass CMEK im Vault deaktiviert wurde.
CMEK erneut aktivieren: Sie aktivieren das deaktivierte CMEK erneut aus dem Vault.
  • Automatische Servicewiederherstellung ist nicht möglich. Sie müssen ein CAM-Ticket erstellen, das die Wiederherstellung des Dienstes anfordert.
  • Service-Wiederherstellung ist nur möglich, wenn Sie sie explizit über ein CAM-Ticket anfordern.
CMEK-Löschung: Sie löschen CMEK aus dem Vault.
  • Unterstützt einen aus zwei Schritten bestehenden Löschprozess. CMEK wird der Status "Ausstehendes Löschen" zugewiesen, der dem Status "Deaktiviert" entspricht. Nach Erreichen des Löschdatums wird CMEK endgültig gelöscht.
  • Macht die dedizierte Umgebung nicht verfügbar. Alle mit gelöschtem CMEK verschlüsselten Daten werden nach dem Löschdatum dauerhaft unzugänglich.
  • Zeigt die entsprechende Benachrichtigung an, um CMEK über das Löschen im Vault zu informieren.
Entfernen von CMEK: Sie heben die Zuweisung von CMEK zu Ihrer dedizierten Umgebung auf.
  • Stellt die dedizierte Umgebung auf von Oracle verwaltete Schlüssel zurück und löst eine erneute Verschlüsselung von Schlüsseln in den Block-Volumes und Object Storage der dedizierten Umgebung aus.
  • Zeigt eine Benachrichtigung über den Beginn und Abschluss der CMEK-Entfernung an.

CMEK-Zugriffskontrolle

Oracle NoSQL Database Cloud Service verwendet Oracle Cloud Infrastructure Identity and Access Management (IAM), um sicheren Zugriff auf die Oracle-Cloud bereitzustellen. Mit OCI IAM können Sie die Zugriffskontrolle implementieren, um KMS-Funktionen zu verwenden.

Sie müssen Policys erstellen, um für alle erforderlichen Vorgänge auf CMEK im Vault, in Block Volumes und in Object Storage zuzugreifen. Weitere Details zu Policys finden Sie unter Funktionsweise von Policys in der Oracle Cloud Infrastructure-Dokumentation.

Im Folgenden werden die grundlegenden IAM-Policy-Anforderungen in Ihrem Mandanten für die CMEK-Nutzung aufgeführt:

  1. So erteilen Sie Block-Volumes Zugriff auf die Verwendung von CMEK im erforderlichen Compartment:
    allow service blockstorage to use keys in compartment <name_of_compartment> where target.key.id = <key-ocid>

    wobei:

    name_of_compartment: Compartment-Name in Ihrer dedizierten Umgebung.

    key-ocid:-OCID des CMEK.

  2. So erteilen Sie Object Storage in einer Region und einem Compartment Zugriff auf die Verwendung von CMEK:
    allow service objectstorage-<region> to use keys in compartment <name_of_compartment> where target.key.id = <key-ocid>

    wobei:

    region: Region, in der sich Ihr Object Storage befindet.

    name_of_compartment: Compartment-Name in Ihrer dedizierten Umgebung.

    key-ocid:-OCID des CMEK.

  3. So erteilen Sie Oracle NoSQL Database Cloud Service Zugriff auf Key-Delegate-CMEK:

    Sie fügen eine Key-Delegate-Berechtigung hinzu, wenn Sie zulassen möchten, dass ein integrierter Service wie NDCS einen Schlüssel in einem bestimmten Compartment verwendet.
    allow service nosql-database-cloud to use key-delegate in compartment <name_of_compartment> where target.key.id = <key-ocid>

    wobei:

    name_of_compartment: Compartment-Name in Ihrer dedizierten Umgebung.

    key-ocid:-OCID des CMEK.

  4. So erteilen Sie Oracle NoSQL Database Cloud Service Zugriff zum Lesen von CMEK:
    allow service nosql-database-cloud to read keys in compartment <name_of_compartment> where target.key.id = <keyocid>

    wobei:

    name_of_compartment: Compartment-Name in Ihrer dedizierten Umgebung.

    key-ocid:-OCID des CMEK.

Abbildung - CMEK-Policys


Beschreibung von Abbildung - folgt
Beschreibung von "Figure - CMEK Policies"

Überwachung und Protokollierung von CMEK

Oracle NoSQL Database Cloud Service unterstützt das Logging aller CMEK-bezogenen Ereignisse in Ihrer dedizierten Umgebung und Alerts mit entsprechenden Benachrichtigungen.

OCI Audit Logs

Oracle NoSQL Database Cloud Service verwendet OCI Audit-Services, um alle wichtigen Statusänderungen zu protokollieren. Die Auditloginformationen umfassen:

  • Zeitstempel, wann die Statusänderung erkannt wurde.
  • Vorherige und neue Staaten von CMEK. Einzelheiten zum CMEK-Lebenszyklusmanagement finden Sie unter CMEK-Schlüsselmanagementworkflow.
  • Betroffener Endpunkt.
  • Besondere Maßnahmen ergriffen.

OCI-Alarme

Oracle NoSQL Database Cloud Service verwendet den OCI Monitoring-Service, um Ihre Cloud-Ressourcen mit den Features für Metriken und Alarme aktiv und passiv zu überwachen. Sie können OCI-Alarme basierend auf folgenden Metriken einrichten:

Tabelle - CMEK-Metriken und -Alarme

Metrik Anzeigename Einheit Beschreibung
EncryptionKeyStatus Verschlüsselungsschlüsselstatus Ganzzahl

Der Status des Verschlüsselungsschlüssels gemäß Oracle NoSQL Database Cloud Service.

Wenn der Wert 0 lautet, wird der Verschlüsselungsschlüssel deaktiviert.

Wenn der Wert 1 ist, ist der Verschlüsselungsschlüssel aktiviert und kann Verschlüsselung/Entschlüsselung ausführen.

Von Oracle verwaltete Schlüssel geben immer 1 zurück.
EncryptionKeyType Verschlüsselungsschlüssel-Typ Ganzzahl

Der aktuelle Typ des Verschlüsselungsschlüssels, der Oracle NoSQL Database Cloud Service zugewiesen ist.

Wenn der Wert 0 ist, wird ein von Oracle verwalteter Schlüssel verwendet.

Wenn der Wert 1 ist, wird stattdessen ein CMEK verwendet.

OCI-Konsole

Oracle NoSQL Database Cloud Service verwendet den OCI Notification-Service, um kritische Alerts in der OCI-Konsole für die betroffene dedizierte Umgebung anzuzeigen.

Sie werden über folgende CMEK-Veranstaltungen benachrichtigt:

  • Die neue CMEK wird einer dedizierten Umgebung zugewiesen.
  • CMEK wird in einer dedizierten Umgebung geändert.
  • CMEK wird aus einer dedizierten Umgebung entfernt.
  • CMEK wird aus dem Vault gelöscht und befindet sich in einer Wartezeit.
  • CMEK wird aus dem Vault gelöscht.
  • CMEK wird im Vault wieder aktiviert.
  • Der Verschlüsselungsprozess wird in einer dedizierten Umgebung gestartet.
  • Der Verschlüsselungsprozess ist in einer dedizierten Umgebung abgeschlossen.

Die Alerts umfassen:

  • Aktueller Status von CMEK.
  • Wenn eine dedizierte Umgebung nicht verfügbar ist, Grund für die Nichtverfügbarkeit.

CMEK-Serviceverfügbarkeit

Oracle NoSQL Database Cloud Service überwacht die Verfügbarkeit des CMEK-Service im Vault und setzt entsprechende Aktionen durch, wenn CMEK deaktiviert oder gelöscht wird. NDCS liefert klare Fehlermeldungen und Protokolle, wenn Ihre dedizierte Umgebung aufgrund von CMEK-Problemen nicht verfügbar oder nicht wiederherstellbar ist.

Wenn ein CMEK deaktiviert ist, löst Oracle NoSQL Database Cloud Service die folgenden Aktionen aus:

  • Deaktiviert sofort den gesamten Zugriff auf die dedizierte Umgebung.
  • Fährt Instanzen in der dedizierten Umgebung herunter.
  • Deaktiviert das gesamte Monitoring in der dedizierten Umgebung.
  • Stellt sicher, dass auf Daten in Block Volumes und Object Storage der dedizierten Umgebung nicht zugegriffen werden kann.

Einzelheiten zum Deaktivieren von CMEK finden Sie unter CMEK-Deaktivierung.

Wenn ein CMEK gelöscht wird, löst Oracle NoSQL Database Cloud Service die folgenden Aktionen aus:

  • Markiert die dedizierte Umgebung sofort als nicht wiederherstellbar.
  • Fährt Instanzen in der dedizierten Umgebung herunter.
  • Deaktiviert das gesamte Monitoring in der dedizierten Umgebung.
  • Plant die dedizierte Umgebung für eine dauerhafte Beendigung.

Weitere Informationen zum Löschen von CMEK finden Sie unter CMEK löschen.

Wenn ein CMEK erneut aktiviert wird, schlägt Oracle NoSQL Database Cloud Service die folgenden Aktionen vor:

  • Sie müssen ein CAM-Ticket erstellen, um die Umgebung wieder online zu setzen, nachdem das CMEK im Vault wieder aktiviert wurde.

Einzelheiten zum erneuten Aktivieren von CMEK finden Sie unter CMEK-Wiederherstellung.