OCI Hold Your Own Key mit Thales CipherTrust Manager mit OCI API Gateway einrichten
Einführung
Dieses Tutorial enthält Schritt-für-Schritt-Anweisungen zum Einrichten von "Hold Your Own Key" (HYOK) mit Thales CipherTrust Manager (CTM) mit der Option "Oracle Cloud Infrastructure (OCI) API Gateway".
Mit HYOK behalten Sie die vollständige Eigentümerschaft und Kontrolle über Ihre Verschlüsselungsschlüssel, indem Sie sie extern hosten – außerhalb der Infrastruktur von Oracle, und Oracle-Services können sie gleichzeitig sicher verwenden. Bei diesem Setup spielt das OCI-API-Gateway eine entscheidende Rolle als sichere, verwaltbare und skalierbare Brücke zwischen dem Oracle Cloud Infrastructure External Key Management Service (OCI External KMS) und Ihrer Thales CipherTrust Manager-Instanz.
Warum OCI API Gateway verwenden?
Indem Sie ein OCI-API-Gateway zwischen dem externen OCI-KMS und Ihrem Thales-CipherTrust-Manager einfügen, erhalten Sie:
- Sichere Zugriffskontrolle: Das Gateway erzwingt die Authentifizierung über OAuth2 mit vertraulichen Clientzugangsdaten und stellt sicher, dass nur vertrauenswürdige Anforderungen Ihren Key Manager erreichen.
- TLS-Beendigung und Zertifikatsverwaltung: Verwalten Sie SSL/TLS-Zertifikate einfach, und ermöglichen Sie eine sichere verschlüsselte Kommunikation zwischen OCI und Thales CipherTrust Manager.
- Netzwerkisolation: Das OCI-API-Gateway abstrahiert den direkten Zugriff auf Ihren Thales CipherTrust-Manager, sodass private Endpunkte und strenge Sicherheits-Policys kontrolliert zugänglich sind.
- Auditierbarkeit und Beobachtbarkeit: Erhalten Sie Einblick in wichtige Nutzungs- und Zugriffsversuche durch integriertes Logging und Monitoring von API-Aufrufen.
- Skalierbarkeit und Flexibilität: Machen Sie Ihre Architektur zukunftssicher, indem Sie die OCI External KMS-Integrationslogik vom Thales CipherTrust Manager-Backend entkoppeln, sodass Sie Komponenten einfacher austauschen, Updates anwenden oder bei Bedarf Middleware hinzufügen können.
Im rest dieses Tutorials konfigurieren Sie alle erforderlichen Infrastrukturkomponenten, einschließlich Networking, DNS, Zertifikatsmanagement, Identity Federation und schließlich Integration mit OCI Vault und OCI Object Storage mit externen Schlüsseln.
Dieses Tutorial baut auf der im Tutorial eingerichteten technical foundation auf: Zwei Thales CipherTrust Cloud Key Manager Appliances in OCI einrichten, ein Cluster zwischen ihnen erstellen und als Certificate Authority konfigurieren.
Wenn Sie Hold Your Own Key (HYOK) mit Thales CipherTrust Manager ohne OCI API Gateway-Option implementieren möchten, befolgen Sie dieses Tutorial: OCI Hold Your Own Key (HYOK) mit CipherTrust Manager ohne API Gateway einrichten.
Hinweis: In diesem Tutorial werden die Begriffe Thales CipherTrust Cloud Key Manager (CCKM) und Thales CipherTrust Manager (CTM) synonym verwendet. Beide beziehen sich auf das gleiche Produkt.
Ziele
- Aufgabe 1: Überprüfen der Cloud-Netzwerkarchitektur.
- Aufgabe 2: OCI-Domain Name Service (DNS) für alle Standorte konfigurieren.
- Aufgabe 3: Erstellen Sie ein Zertifikat für das OCI API Gateway.
- Aufgabe 4: Laden Sie das signierte OCI-API-Gatewayzertifikat mit dem CA-Bundle hoch.
- Aufgabe 5: Stellen Sie sicher, dass der private Endpunkt aus der Perspektive der Firewall/Sicherheitsliste/Netzwerksicherheitsgruppe mit dem OCI-API-Gateway kommunizieren darf.
- Aufgabe 6: OCI-API-Gateway erstellen
- Aufgabe 7: API-Deployment mit FQDN-Details erstellen.
- Aufgabe 8: Erstellen Sie eine vertrauliche Ressourcenanwendung und zugehörige vertrauliche Clientanwendungen (Anwendungsintegrationen), und erfassen Sie den Client und die Secrets in OCI.
- Aufgabe 9: Erfassen Sie die Identitätsdomain-URL aus OCI.
- Aufgabe 10: Identitätsprovider in Thales CipherTrust Manager erstellen.
- Aufgabe 11: Oracle-Mandanten in Thales CipherTrust Manager hinzufügen.
- Aufgabe 12: Erstellen Sie einen privaten Endpunkt für den OCI External Key Manager-Service.
- Aufgabe 13: Externe Vaults in Thales CipherTrust Manager hinzufügen.
- Aufgabe 14: OCI External Key Management Service-Vault erstellen
- Aufgabe 15: Externe Schlüssel in Thales CipherTrust Manager hinzufügen.
- Aufgabe 16: Schlüsselreferenzen in OCI erstellen.
- Aufgabe 17: OCI Object Storage-Bucket mit vom Kunden verwalteten Schlüsseln erstellen
- Aufgabe 18: Blockieren und entsperren Sie Oracle-Schlüssel, und testen Sie die Barrierefreiheit des Objektspeicher-Buckets in Thales CipherTrust Manager und OCI.
Die folgende Abbildung veranschaulicht das Setup von Komponenten und Konfigurationen für alle Schritte in diesem Tutorial.
Aufgabe 1: Cloud-Netzwerkarchitektur prüfen
Bevor wir uns mit den technischen Schritten der Konfiguration von Hold Your Own Key (HYOK) mit Thales CipherTrust Manager befassen, ist es wichtig, die Cloud-Netzwerkarchitektur zu verstehen, in der sich dieses Setup befindet.
In diesem Szenario werden drei OCI-Regionen verwendet:
- Zwei OCI-Regionen simulieren On-Premises-Data-Center. Diese Regionen sind über VPN-Tunnel mit OCI verbunden, was hybride Umgebungen darstellt.
- The third OCI region represents the primary OCI environment and follows a hub-and-spoke Virtual Cloud Network (VCN) architecture. In diesem Design:
- Das Hub-VCN hostet gemeinsam genutzte Netzwerkservices wie Firewalls.
- Mehrere Spoke-VCNs stellen eine Verbindung zum Hub her und hosten verschiedene Workloads.
Die Konnektivität zwischen den beiden simulierten On-Premise-Data Centern wird mit Remote-Peering-Verbindungen (RPC) hergestellt. In diesem Tutorial werden jedoch das VPN-Setup, die RPC-Konfiguration und die Details der Hub-and-Spoke-VCN-Architektur als nicht im Geltungsbereich enthalten betrachtet und nicht behandelt.
-
Informationen zum Einrichten von VPN-Verbindungen zu OCI, in denen ein Data Center simuliert wird, finden Sie unter Oracle Cloud Infrastructure Site-to-Site VPN mit statischem Routing zwischen zwei OCI-Regionen einrichten.
-
Informationen zum Einrichten von RPC-Verbindungen zwischen OCI-Regionen finden Sie unter RPC-Verbindung zwischen zwei Mandanten und ihren dynamischen Routinggateways einrichten.
-
Informationen zum Einrichten einer OCI-Hub- und Spoke-VNC-Netzwerkarchitektur finden Sie unter Route Hub und Spoke-VCN mit pfSense-Firewall im Hub-VCN.
Dieses Tutorial konzentriert sich ausschließlich auf die Einrichtung von HYOK mit Thales CipherTrust Manager, der in der Amsterdamer Region (AMS) bereitgestellt wird, einem der simulierten On-Premises-Rechenzentren. Alle Schlüsselverwaltungsvorgänge werden von dieser Thales CipherTrust Manager-Instanz ausgeführt.
Mit dem externen Key Manager Private kann OCI sicher mit dem externen Thales CipherTrust Manager kommunizieren und wird in einem der Spoke-VCNs in der primären OCI-Region bereitgestellt. Dadurch wird ein sicherer und direkter Kommunikationspfad zwischen OCI-Services und dem externen Key Manager gewährleistet, ohne Traffic für das öffentliche Internet verfügbar zu machen.
Diese Architektur unterstützt starke Sicherheits- und Compliance-Haltungen für sensible Workloads in OCI, indem die Schlüsselverwaltung innerhalb einer klar definierten und sicheren Netzwerkgrenze isoliert wird.
Die folgende Abbildung veranschaulicht die gesamte Architektur.
Aufgabe 2: OCI DNS für alle Standorte konfigurieren
Um eine ordnungsgemäße Kommunikation zwischen OCI, dem API-Gateway und dem Thales CipherTrust Manager sicherzustellen, müssen Sie die DNS-Auflösung für alle relevanten Komponenten mit privaten DNS-Zonen in der OCI-Konsole konfigurieren.
Die folgende Abbildung zeigt die in dieser Aufgabe eingerichteten Komponenten und Konfigurationen.
Die Konfiguration von OCI DNS für AMS und ASH wurde bereits in diesem Tutorial durchgeführt. Informationen hierzu finden Sie unter Zwei Thales CipherTrust Cloud Key Manager Appliances in OCI einrichten, ein Cluster zwischen ihnen erstellen und als Certificate Authority konfigurieren. Verwenden Sie dasselbe Tutorial zum Konfigurieren des DNS im Hub-VCN von FRA.
-
Die private Ansicht des Hub-VCN in FRA sollte wie folgt aussehen:
Sie haben zwei Optionen, um die DNS-Auflösung aus dem Spoke-A-VCN zu aktivieren, eine separate private Ansicht für Spoke A zu konfigurieren oder die private Ansicht des Hub-VCN mit Spoke A zu verknüpfen.
In diesem Setup wird der letztere Ansatz verwendet, indem die private Hubansicht mit dem Spoke-A-VCN verknüpft wird.
-
Melden Sie sich bei der OCI-Konsole an, navigieren Sie zu Virtuelle Cloud-Netzwerke, und wählen Sie VCN per Spoke aus.
-
Klicken Sie auf DNS-Resolver.
-
Bildlauf nach unten.
-
Klicken Sie auf Private Ansichten verwalten.
-
Wählen Sie die private Ansicht des Hub-VCN aus, und klicken Sie auf Änderungen speichern.
-
Beachten Sie, dass die private Ansicht des Hub-VCN jetzt mit dem Spoke-A-VCN verknüpft ist. Wenn die Änderung nicht angezeigt wird, aktualisieren Sie den Browser.
Das korrekte DNS-Setup ist eine wichtige Grundlage für die gegenseitige TLS-, OAuth-Authentifizierung und zuverlässige Konnektivität zwischen OCI und dem Thales CipherTrust Manager.
Überprüfen Sie die DNS-Zonenverknüpfung und Namensauflösung, bevor Sie mit der Zertifikatskonfiguration fortfahren.
Aufgabe 3: Zertifikat für das OCI-API-Gateway erstellen
Um eine sichere TLS-Kommunikation zwischen OCI und dem Thales CipherTrust Manager zu ermöglichen, muss das OCI-API-Gateway ein vertrauenswürdiges SSL-Zertifikat bereitstellen. In diesem Setup wird das Zertifikat erstellt, indem zuerst eine Certificate Signing Request (CSR) auf der CTM1 Certificate Authority (CA) generiert und dann mit derselben CA signiert wird.
Sobald das Zertifikat signiert ist, wird es in OCI hochgeladen und an das OCI API Gateway angehängt, sodass es verschlüsselten Datenverkehr verarbeiten kann, dem Ihre internen Systeme vertrauen. Die folgende Abbildung zeigt die Schritte zum Erstellen des signierten Zertifikats für das OCI-API-Gateway.
Führen Sie diese Schritte nur auf dem AMS CTM aus.
-
Melden Sie sich bei der Thales CipherTrust Manager AMS-Konsole an, navigieren Sie zu CA, und klicken Sie auf CSR-Generator.
-
Geben Sie die folgenden Informationen ein, und klicken Sie auf CSR generieren und Private Key herunterladen.
- Wählen Sie Generischer CSR aus.
- Common Name (CN): Geben Sie den FQDN des Thales-Managers CipherTrust ein. Beispiel:
oci-api-gw.oci-thales.lab
.- Anzeigename: Geben Sie einen Namen ein. Beispiel:
OCI API Gateway
. - Algorithmus: Wählen Sie RSA aus.
- Größe: Wählen Sie 2048 aus.
- Anzeigename: Geben Sie einen Namen ein. Beispiel:
- Subject Alternative Name (SAN): Geben Sie hier auch den FQDN an. Beispiel:
oci-api-gw.oci-thales.lab
.
-
Beachten Sie, dass der Private Key automatisch heruntergeladen wird.
-
Klicken Sie auf CSR herunterladen, um die generierte Datei
.csr
herunterzuladen und zu speichern. -
Stellen Sie sicher, dass der CSR und der Private Key in einem Ordner gespeichert sind.
-
Benennen Sie den CSR und den Private Key um.
-
Navigieren Sie zu CA, klicken Sie auf Lokal, und wählen Sie die CA aus.
-
Klicken Sie auf CSR hochladen.
-
Geben Sie unter Extern generierten CSR hochladen die folgenden Informationen ein.
- Anzeigename: Geben Sie den FQDN des OCI-API-Gateways ein. Beispiel:
oci-api-gw.oci-thales.lab
. - Kopieren Sie den Inhalt des generierten CSR in das Feld CSR.
- Zertifikatszweck: Wählen Sie Server aus.
- Klicken Sie auf Zertifikat ausstellen.
- Anzeigename: Geben Sie den FQDN des OCI-API-Gateways ein. Beispiel:
-
Klicken Sie auf die drei Punkte am Ende des signierten Zertifikateintrags und dann auf Herunterladen, um das signierte Zertifikat für OCI API Gateway herunterzuladen.
-
Stellen Sie sicher, dass das signierte Zertifikat in denselben CSR- und Private-Key-Ordnern gespeichert ist.
-
Benennen Sie das signierte Zertifikat um.
Neben der Signierung der einzelnen Thales CipherTrust Manager-Zertifikate ist das CA-Root-Zertifikat ein wichtiger Bestandteil der Vertrauenskette. Dieses Root-Zertifikat bildet die Grundlage des Vertrauens für alle Zertifikate, die von Ihrem Thales CipherTrust Manager ausgestellt wurden und als Certificate Authority (CA) fungieren.
-
Navigieren Sie zu CA, und klicken Sie auf Lokal. Klicken Sie auf die drei Punkte am Ende der CTM AMS-CA und dann auf Herunterladen, um das Root-CA-Zertifikat der CTM AMS-CA herunterzuladen.
-
Speichern Sie das heruntergeladene Stammzertifikat im selben Ordner.
-
Benennen Sie das Root-Zertifikat um.
Dieses Zertifikat wird später an das OCI API Gateway-Deployment angehängt, sodass OCI mit dem Thales CipherTrust Manager über HTTPS sicher mit einem Zertifikat kommunizieren kann, das in Ihrer Umgebung ausgestellt und vertrauenswürdig ist.
Aufgabe 4: Signiertes OCI-API-Gatewayzertifikat mit dem CA-Bundle hochladen
Nachdem Sie das OCI-API-Gatewayzertifikat mit der CTM1 Certificate Authority (CA) generiert und signiert haben, müssen Sie dieses Zertifikat in OCI hochladen, um es mit dem OCI-API-Gateway-Deployment zu verknüpfen.
Dadurch wird sichergestellt, dass jede Kommunikation mit dem OCI API Gateway, wie Anforderungen von OCI External KMS, über eine vertrauenswürdige und verschlüsselte TLS-Verbindung mit Ihrer internen Certificate Authority erfolgt.
Beginnen wir zunächst mit dem Hochladen des Root-CA-Zertifikats.
-
Navigieren Sie zur OCI-Konsole, navigieren Sie zu Identität und Sicherheit, und klicken Sie auf CA-Bundles.
-
Klicken Sie auf CA-Bundle erstellen.
-
Geben Sie unter CA-Bundle erstellen die folgenden Informationen ein.
- Geben Sie einen Namen ein. Beispiel:
thales-ca
. - PEM-Datei auswählen.
- Geben Sie einen Namen ein. Beispiel:
-
Wählen Sie Root-CA-Zertifikat der AMS-CA CTM1 aus, und klicken Sie auf Öffnen.
-
Beachten Sie den Inhalt des Root-CA-Zertifikats der AMS-CA CTM1, und klicken Sie auf Erstellen.
-
Beachten Sie, dass das CA-Bundle erstellt wurde.
Laden wir nun das signierte Zertifikat des OCI-API-Gateways hoch.
-
Navigieren Sie zur OCI-Konsole, navigieren Sie zu Identität und Sicherheit, und klicken Sie auf Zertifikate.
-
Klicken Sie auf Zertifikat erstellen.
-
Geben Sie unter Basisinformationen die folgenden Informationen ein.
- Wählen Sie Zertifikatstyp als Importiert aus.
- Geben Sie den Namen des Zertifikats ein. Beispiel:
8-oci-api-gw.oci-thales.lab
. - Klicken Sie anschließend auf Weiter.
-
Klicken Sie anschließend auf Weiter.
-
Klicken Sie auf Datei hochladen, und laden Sie die signierte Zertifikatsdatei des OCI-API-Gateways hoch.
-
Klicken Sie auf Datei hochladen, und laden Sie die Root-Zertifikatsdatei von CTM1 in AMS hoch.
-
Klicken Sie auf Datei hochladen, und laden Sie die entsprechende Private-Key-Datei des signierten OCI-API-Gateways hoch.
-
Klicken Sie anschließend auf Weiter.
-
Klicken Sie anschließend auf Weiter.
-
Prüfen Sie den Abschnitt Übersicht, und klicken Sie auf Zertifikat erstellen.
-
Prüfen Sie die Übersicht, und klicken Sie auf Zertifikatsdetails anzeigen.
-
Das Zertifikat ist Aktiv.
Hinweis: Wenn der Zertifikatsupload nicht erfolgreich verläuft, kann dies auf den Algorithmus zurückzuführen sein, der beim Generieren des CSR verwendet wird. Die Zertifikate, die den ECDSA-Algorithmus verwenden, wurden von OCI nicht akzeptiert. Um dies zu beheben, haben wir den CSR mit dem RSA-Algorithmus neu generiert, der erfolgreich funktioniert hat.
Nach dem Hochladen kann dieses Zertifikat an Ihr API-Gateway-Deployment angehängt werden, sodass es OCI-Services wie dem externen OCI-KMS eine vertrauenswürdige Identität präsentieren kann. Diese Aufgabe ist entscheidend, um ein sicheres, zertifikatbasiertes Vertrauen zwischen Oracle und Ihrem externen Schlüsselmanager zu ermöglichen.
Aufgabe 5: Stellen Sie sicher, dass der private Endpunkt mit dem OCI-API-Gateway aus der Firewall/Sicherheitsliste/Netzwerksicherheitsgruppe kommunizieren darf
Bevor Sie das OCI-API-Gateway bereitstellen oder die Integration zwischen OCI und dem Thales CipherTrust Manager testen, müssen Sie unbedingt sicherstellen, dass die Netzwerkkonnektivität zwischen dem privaten Endpunkt, der vom externen OCI-KMS und dem OCI-API-Gateway verwendet wird, vorhanden ist.
Hinweis:
Traffic innerhalb desselben Subnetzes ist in OCI nicht automatisch zulässig. Selbst wenn sich der private Endpunkt und das OCI-API-Gateway im selben Subnetz befinden, müssen Sie den Datenverkehr zwischen ihnen in der Sicherheitsliste oder Netzwerksicherheitsgruppe explizit zulassen.
Beispiel: Um HTTPS-Traffic zwischen Ressourcen im selben Subnetz zuzulassen, müssen Sie eine Ingress-Regel erstellen, die Traffic auf TCP-Port 443 aus dem CIDR-Block des Subnetzes zulässt.
-
Navigieren Sie zur OCI-Konsole, navigieren Sie zu Networking, und klicken Sie auf Virtuelle Cloud-Netzwerke.
-
Klicken Sie auf VCN per Spoke ausgeben.
-
Bildlauf nach unten.
-
Klicken Sie auf das private Subnetz des Spoke-A-VCN. Das VCN, in dem sich der private Endpunkt des externen OCI-KMS befindet, und die IP-Adresse des OCI-API-Gateways.
-
Bildlauf nach unten.
-
Klicken Sie auf die Standardsicherheitsliste, die dem Subnetz zugeordnet ist.
-
Klicken Sie auf Ingress-Regeln hinzufügen.
-
Um Ingress-Regel 1 zu konfigurieren, geben Sie die folgenden Informationen ein, und klicken Sie auf Ingress-Regeln hinzufügen.
- Quelltyp: Wählen Sie CIDR aus.
- Quell-CIDR: Geben Sie
172.16.1.0/24
ein. - IP-Protokoll: Wählen Sie Alle Protokolle aus.
-
Beachten Sie, dass die Ingress-Sicherheitslistenregel der Sicherheitsliste hinzugefügt wurde.
Hinweis: Wenn ein OCI-API-Gateway den Thales-Manager CipherTrust während des Deployments nicht über seinen FQDN erreichen kann, kann es möglicherweise nicht aktiv werden. Daher ist die Sicherstellung eines klaren und sicheren Netzwerkpfads zwischen dem privaten Endpunkt und dem OCI API Gateway eine wichtige Voraussetzung für eine erfolgreiche HYOK-Integration.
Aufgabe 6: OCI-API-Gateway erstellen
Wenn das signierte TLS-Zertifikat hochgeladen wird, besteht die nächste Aufgabe darin, ein OCI-API-Gateway zu erstellen, das als sicherer Einstiegspunkt für die Kommunikation von OCI mit Ihrem Thales CipherTrust-Manager dient.
Dieses OCI-API-Gateway wird später so konfiguriert, dass Anforderungen mit seinem vollqualifizierten Domainnamen (FQDN) an die CTM weitergeleitet werden und eine sichere Kommunikation mit dem hochgeladenen TLS-Zertifikat erzwungen wird.
Die folgende Abbildung zeigt die in dieser Aufgabe eingerichteten Komponenten und Konfigurationen.
-
Navigieren Sie zur OCI-Konsole, navigieren Sie zu Entwicklerservices, und klicken Sie auf Gateways.
-
Klicken Sie auf Gateway erstellen.
-
Geben Sie unter Gateway erstellen die folgenden Informationen ein.
- Geben Sie einen Namen ein. Beispiel:
API-GW
. - Typ: Wählen Sie Privat aus.
- VCN: Wählen Sie das VCN aus, von dem aus der Thales CipherTrust-Manager erreichbar ist.
- Subnetz: Wählen Sie privates Subnetz mit Zugriff auf Thales CipherTrust Manager aus.
- Geben Sie einen Namen ein. Beispiel:
-
Wählen Sie das zuvor hochgeladene Zertifikat (
8-oci-api-gw.oci-thales.lab
) aus, und klicken Sie auf Gateway erstellen. -
Beachten Sie, dass das OCI API Gateway erstellt wird.
Hinweis: Das OCI-API-Gateway-Deployment ist möglicherweise nicht erfolgreich, wenn es den Thales-Manager CipherTrust über die konfigurierte Backend-URL nicht erreichen kann. Um dies zu vermeiden, stellen Sie Folgendes sicher:
- Das Routing ist zwischen dem privaten Subnetz des OCI API-Gateways und dem Thales CipherTrust Manager korrekt konfiguriert.
- Sicherheitslisten oder Netzwerksicherheitsgruppen (NSGs) ermöglichen HTTPS-(TCP-Port 443-)Traffic vom API-Gatewaysubnetz zum CTM.
- Der FQDN des Thales CipherTrust-Managers wird korrekt über das konfigurierte private DNS aufgelöst.
Nicht zugängliche Backends während des Deployments führen zu Fehlern bei Health Checks, was zu Deployment-Fehlern oder einem inaktiven Status führt.
Dieses OCI-API-Gateway wird später in einem Deployment verwendet, um einen Endpunkt anzugeben, den das externe OCI-KMS aufrufen kann. Das Gateway fungiert als sicherer, authentifizierter Proxy zwischen OCI und Ihrem Thales CipherTrust Manager, der TLS und die Identitätsvalidierung durchsetzt.
Aufgabe 7: API-Deployment mit FQDN-Details erstellen
Nachdem das OCI-API-Gateway erstellt wurde und das Zertifikat vorhanden ist, müssen Sie als nächste Aufgabe ein API-Deployment erstellen. Dadurch wird das Routingverhalten des Gateways speziell definiert, wie eingehende Anforderungen von OCI External KMS mithilfe des internen FQDN an Ihren Thales CipherTrust Manager weitergeleitet werden.
Das Deployment überbrückt OCI und Thales CipherTrust Manager und verarbeitet pathbasiertes Routing und TLS-Beendigung für eingehende Anforderungen.
Die folgende Abbildung zeigt die in dieser Aufgabe eingerichteten Komponenten und Konfigurationen.
-
Navigieren Sie zur OCI-Konsole, navigieren Sie zu Entwicklerservices, und klicken Sie auf Gateways.
-
Klicken Sie auf das API-Gateway.
-
Klicken Sie auf Deployment erstellen.
-
Geben Sie unter Deployment erstellen die folgenden Informationen ein.
- Wählen Sie Von Grund auf.
- Geben Sie einen Namen ein. Beispiel:
API-GW-DEPLOYMENT
. - Pfadpräfix: Geben Sie
/api/v1/cckm/oci/ekm/v1
ein. - Klicken Sie anschließend auf Weiter.
-
Authentifizierung: Wählen Sie Keine Authentifizierung aus.
-
Klicken Sie anschließend auf Weiter.
-
Geben Sie im Abschnitt Route 1 die folgenden Informationen ein, und klicken Sie auf Weiter.
- Pfad: Geben Sie
/{path*}
ein. - Methoden: Wählen Sie
GET
,POST
aus. - Backend-Typ: Wählen Sie den Backend-Typ als HTTP aus, und geben Sie die URL als
https://**<your-ctm-fqdn>**/api/v1/cckm/oci/ekm/v1/${request.path[path]}
an.
- Pfad: Geben Sie
-
Klicken Sie auf Erstellen.
-
Beachten Sie, dass das API-Deployment erstellt wird. Klicken Sie auf das Symbol.
-
Beachten Sie, dass das API-Deployment ACTIVE ist.
Sobald das Deployment aktiv ist, kann das OCI-API-Gateway authentifizierte Anforderungen von OCI sicher an Ihren Thales CipherTrust Manager weiterleiten. Die FQDN-Konfiguration ist hier wichtig. Stellen Sie sicher, dass sie mit dem Common Name (CN) oder SAN im Thales CipherTrust Manager-Zertifikat übereinstimmt und ordnungsgemäß über DNS aufgelöst wird.
Dieses Deployment fungiert als wichtiger Endpunkt, den das externe OCI-KMS aufruft, um mit Ihren externen Schlüsseln zu interagieren, die in Thales CipherTrust Manager gehostet werden.
Aufgabe 8: Vertrauliche Ressourcenanwendung erstellen, vertrauliche Clientanwendungen (Anwendungsintegrationen) zuordnen und den Client und die Secrets in OCI erfassen
Um die HYOK-Integration mit Thales CipherTrust Manager zu aktivieren, müssen Sie Vertrauen zwischen OCI und dem externen Key Manager aufbauen.
Dazu registrieren Sie zwei Schlüsselkomponenten in OCI Identity and Access Management (OCI IAM): eine vertrauliche Ressourcenanwendung und eine vertrauliche Clientanwendung. Diese sind für die Authentifizierung und Autorisierung der Kommunikation zwischen OCI und Thales CipherTrust Manager unerlässlich.
Mit diesem Setup kann sich der Thales CipherTrust Manager über OAuth 2.0 bei OCI IAM authentifizieren. Der vertrauliche Client agiert im Namen des externen Schlüsselmanagers, während die vertrauliche Ressource den Umfang der Zugriffs- und Vertrauenskonfiguration definiert. OCI kann ohne diese Komponenten weder validieren noch sicher mit der externen Schlüsselquelle kommunizieren.
Die folgende Abbildung veranschaulicht die in diesem Schritt eingerichteten Komponenten und Konfigurationen.
-
Melden Sie sich bei der OCI-Konsole an, navigieren Sie zu Identität & Sicherheit, und klicken Sie auf Domains.
-
Klicken Sie auf die Domain, die Sie für die Authentifizierung verwenden möchten.
-
Klicken Sie auf Integrierte Anwendungen und Anwendung hinzufügen.
-
Wählen Sie Vertrauliche Anwendung aus, und klicken Sie auf Workflow starten.
-
Geben Sie den Namen der Anwendung (
Resource_App
) ein, und klicken Sie auf Weiter. -
Geben Sie im Abschnitt Ressourcenserverkonfiguration die folgenden Informationen ein.
- Wählen Sie Diese Anwendung jetzt als Ressourcenserver konfigurieren aus.
- Geben Sie unter Primäre Zielgruppe
https://172.16.1.103/
(die IP-Adresse des API-Gateways) ein.
-
Geben Sie unter Geltungsbereich hinzufügen die folgenden Informationen ein.
- Wählen Sie Geltungsbereiche hinzufügen.
- Klicken Sie auf Hinzufügen.
- Geben Sie unter Geltungsbereich
oci_ekms
ein. - Klicken Sie auf Hinzufügen.
-
Beachten Sie den hinzugefügten Geltungsbereich
oci_ekms
, und scrollen Sie nach unten. -
Geben Sie im Abschnitt Clientkonfiguration die folgenden Informationen ein.
- Wählen Sie Diese Anwendung jetzt als Client konfigurieren aus.
- Wählen Sie Clientzugangsdaten aus.
- Klicken Sie anschließend auf Weiter.
-
Klicken Sie auf Überspringen und später ausführen, um die Erstellung der Web Tier Policy zu überspringen, und klicken Sie auf Fertigstellen.
-
Gehen Sie zur Seite Integrierte Anwendungen.
- Beachten Sie, dass die Integrationsanwendung
Resource_App
erstellt wird. - Wählen Sie die Integrationsanwendung
Resource_App
aus. - Klicken Sie auf das Dropdown-Menü Aktionen.
- Klicken Sie auf Aktivieren.
- Beachten Sie, dass die Integrationsanwendung
-
Klicken Sie auf Anwendung aktivieren.
-
Klicken Sie auf die Integrationsanwendung
Resource_App
. -
Bildlauf nach unten.
-
Kopieren Sie die Client-ID, und speichern Sie diese auf einem Notizblock. Klicken Sie auf Secret anzeigen, um das Client Secret anzuzeigen.
-
Klicken Sie auf Kopieren, um das Client Secret zu kopieren und in einem Notizblock zu speichern. Klicken Sie auf Schließen.
-
Klicken Sie auf Anwendung hinzufügen.
-
Wählen Sie Vertrauliche Anwendung aus, und klicken Sie auf Workflow starten.
-
Geben Sie den Namen (
Client_App
) der Anwendung ein, und klicken Sie auf Weiter. -
Wählen Sie unter Ressourcenserverkonfiguration die Option Für später überspringen aus.
-
Geben Sie unter Clientkonfiguration die folgenden Informationen ein.
- Wählen Sie Diese Anwendung jetzt als Client konfigurieren aus.
- Wählen Sie Clientzugangsdaten aus.
- Bildlauf nach unten.
-
Geben Sie unter Geltungsbereich hinzufügen die folgenden Informationen ein.
- Wählen Sie Ressourcen hinzufügen aus.
- Wählen Sie Geltungsbereiche hinzufügen.
- Geben Sie unter Geltungsbereich
Resource_App
ein. - Klicken Sie auf Hinzufügen.
-
Notieren Sie sich die hinzugefügte Ressource
Resource_App
, und klicken Sie auf Weiter. -
Klicken Sie auf Überspringen und später ausführen, um die Erstellung der Web Tier Policy zu überspringen, und klicken Sie auf Fertigstellen.
-
Gehen Sie zur Seite Integrierte Anwendungen.
- Beachten Sie, dass die Integrationsanwendung
Client_App
erstellt wird. - Wählen Sie die Integrationsanwendung
Client_App
aus. - Klicken Sie auf das Dropdown-Menü Aktionen.
- Klicken Sie auf Aktivieren.
- Beachten Sie, dass die Integrationsanwendung
-
Klicken Sie auf Anwendung aktivieren.
-
Klicken Sie auf die Integrationsanwendung
Client_App
. -
Bildlauf nach unten.
-
Kopieren Sie die Client-ID, und speichern Sie diese auf einem Notizblock. Klicken Sie auf Secret anzeigen, um das Client Secret anzuzeigen.
-
Klicken Sie auf Kopieren, um das Client Secret zu kopieren und in einem Notizblock zu speichern. Klicken Sie auf Schließen.
Hinweis:
- Sie haben die Client-IDs
Resource_App
undClient_App
und Client Secrets erfasst.- Mischen Sie diese beiden nicht und konfigurieren Sie sie an den entsprechenden Stellen.
Aufgabe 9: Identitätsdomain-URL aus OCI erfassen
Um die OAuth-basierte Kommunikation zwischen OCI und Thales CipherTrust Manager zu aktivieren, müssen Sie die Identitätsdomain-URL während der Konfiguration des Identitätsproviders in Thales CipherTrust Manager angeben.
-
Gehen Sie zur OCI-Konsole, navigieren Sie zu Identität & Sicherheit, und klicken Sie auf Domains.
-
Wählen Sie die Identitätsdomain aus, in der Ihre vertraulichen Anwendungen erstellt wurden.
-
Klicken Sie auf der Seite mit den Domaindetails auf Kopieren, um die Domain-URL zu kopieren und in einem Notizblock zu speichern.
Aufgabe 10: Identitätsprovider in Thales CipherTrust Manager erstellen
In dieser Aufgabe konfigurieren Sie den Identitätsprovider im Thales CipherTrust-Manager. Mit diesem Setup kann sich Thales CipherTrust Manager mit den in Aufgabe 3 erstellten Zugangsdaten OAuth 2.0 bei OCI authentifizieren.
Die folgende Abbildung zeigt die in dieser Aufgabe eingerichteten Komponenten und Konfigurationen.
-
Gehen Sie in Thales CipherTrust Manager zu CTM1 in AMS, und klicken Sie auf Produkte und Cloud Key Manager.
-
Klicken Sie auf KMS-Container, Oracle Vaults, wählen Sie Externe Vaults aus, und klicken Sie auf Identitätsprovider hinzufügen.
-
Geben Sie unter Identitätsprovider hinzufügen die folgenden Informationen ein, und klicken Sie auf Hinzufügen.
- Geben Sie Name (
OCI
) ein. - Wählen Sie OpenID Configuration URL als Provider Verifier aus.
- Geben Sie OpenID-Konfigurations-URL ein, die Domain-URL, die in Aufgabe 3 kopiert wurde.
- Fügen Sie der URL das folgende Suffix hinzu:
.well-known/openid-configuration
. Die vollständige OpenID-Konfigurations-URL lautet also:https://idcs-<xxx>.identity.oraclecloud.com:443/.well-known/openid-configuration
.
- Fügen Sie der URL das folgende Suffix hinzu:
- Wählen Sie Geschützte jwks-URL aus.
- Geben Sie Client-ID und Client Secret der integrierten Anwendung
Resource_App
ein.
- Geben Sie Name (
-
Beachten Sie, dass der Identitätsprovider erstellt wird.
Aufgabe 11: OCI-Mandanten in Thales CipherTrust Manager hinzufügen
Nachdem Sie den Identitätsprovider in Thales CipherTrust Manager konfiguriert haben, registrieren Sie als nächste Aufgabe Ihren OCI-Mandanten. Dadurch kann Thales CipherTrust Manager externe Vaults und Schlüssel im Namen Ihrer OCI-Umgebung mit den zuvor konfigurierten OAuth-Zugangsdaten verwalten.
Die folgende Abbildung zeigt die in dieser Aufgabe eingerichteten Komponenten und Konfigurationen.
-
Zunächst müssen der Name und die OCID des Mandanten von OCI abgerufen werden. Klicken Sie in der oberen rechten Ecke auf Ihr Profil und dann auf Mandant.
-
Kopieren Sie den Mandantennamen und die Mandanten-OCID, und speichern Sie beide auf einem Notizblock.
-
Gehen Sie zur Thales Cloud Key Manager-Konsole.
- Klicken Sie auf KMS-Container.
- Klicken Sie auf Oracle Vaults.
- Klicken Sie auf Mandant.
- Klicken Sie auf Mandanten hinzufügen.
-
Geben Sie unter Mandanten hinzufügen die folgenden Informationen ein.
- Wählen Sie Oracle-Mandant (keine Verbindung) als Methode.
- Geben Sie den Namen des Mandanten ein, der von OCI erfasst wurde.
- Geben Sie die von OCI erfasste Mandanten-OCID ein.
- Klicken Sie auf Hinzufügen.
-
Beachten Sie, dass der OCI-Mandant dem Thales CipherTrust Manager hinzugefügt wird.
Aufgabe 12: Privaten Endpunkt für den externen Key Manager-Service in OCI erstellen
Um OCI sicher mit dem Thales CipherTrust Manager zu verbinden, ohne Traffic im öffentlichen Internet verfügbar zu machen, müssen Sie einen privaten Endpunkt für den OCI External Key Management Service erstellen.
Dadurch wird sichergestellt, dass die gesamte Kommunikation zwischen OCI und Thales CipherTrust Manager über einen privaten, kontrollierten Netzwerkpfad erfolgt.
Stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind:
- Der Thales CipherTrust Manager muss über Ihr privates Netzwerksetup von OCI aus erreichbar sein. Zum Beispiel über VPN.
- Stellen Sie sicher, dass das Subnetz Routing- und Sicherheitsregeln enthält, die Traffic zur Thales CipherTrust Manager-Instanz zulassen.
Die folgende Abbildung zeigt die in dieser Aufgabe eingerichteten Komponenten und Konfigurationen.
-
Navigieren Sie in der OCI-Konsole zu Identität und Sicherheit, und klicken Sie auf Private Endpunkte.
-
Gehen Sie zu Private Endpunkte, und klicken Sie auf Privaten Endpunkt erstellen.
-
Geben Sie unter Privaten Endpunkt erstellen die folgenden Informationen ein.
- Geben Sie den Namen des privaten Endpunkts (
Private-Endpoint-For-Vault
) ein. - Wählen Sie ein VCN und ein Subnetz aus, in dem sich dieser private Endpunkt befinden muss.
- Geben Sie Private IP-Adresse des externen Key Managers als
172.16.1.103
die IP-Adresse des API-Gateways ein. - Geben Sie Port als
443
ein. - Laden Sie das External Key Management-CA-Bundle hoch, und klicken Sie auf Durchsuchen.
- Geben Sie den Namen des privaten Endpunkts (
-
Wir haben das vollständige Kettenzertifikat ausgewählt, das in diesem Tutorial erstellt wurde: Richten Sie zwei Thales CipherTrust Cloud Key Manager Appliances in OCI ein, erstellen Sie ein Cluster zwischen ihnen und konfigurieren Sie eines als Certificate Authority. Sie können aber auch nur das CA-Stammzertifikat auswählen. Klicken Sie auf Öffnen.
-
Stellen Sie sicher, dass das Zertifikat, die Root-CA oder die vollständigen Kettenzertifikate des Thales CipherTrust-Managers ausgewählt sind. Klicken Sie auf Erstellen.
-
Beachten Sie, dass der private Endpunkt erstellt wird. Klicken Sie jetzt auf den privaten Endpunkt.
-
Beachten Sie, dass die IP-Adresse des privaten Endpunkts konfiguriert ist.
Aufgabe 13: Externe Vaults in Thales CipherTrust Manager hinzufügen
Wenn der OCI-Mandant und der private Endpunkt vorhanden sind, müssen Sie als nächste Aufgabe einen externen Vault in Thales CipherTrust Manager hinzufügen. Ein externer Vault in Thales CipherTrust Manager ist ein logischer Container, der dem externen Key Management Vault in OCI zugeordnet ist, sodass der Thales CipherTrust Manager Schlüssel verwalten kann, die für die HYOK-Verschlüsselung verwendet werden.
Die folgende Abbildung zeigt die in dieser Aufgabe eingerichteten Komponenten und Konfigurationen.
-
Gehen Sie zur Thales Cloud Key Manager Console.
- Klicken Sie auf KMS-Container.
- Klicken Sie auf Oracle Vaults.
- Wählen Sie Externe Vaults aus.
- Klicken Sie auf Externen Vault hinzufügen.
-
Geben Sie unter Externen Vault hinzufügen die folgenden Informationen ein.
- Geben Sie Name (
OCI
) ein. - Wählen Sie Oracle-Mandant (keine Verbindung) als Methoden aus.
- Wählen Sie den in Aufgabe 5 erstellten Mandanten aus.
- Wählen Sie den Aussteller aus, den in Aufgabe 4 erstellten Identitätsprovider.
- Bildlauf nach unten.
- Geben Sie die Client-ID der integrierten Anwendung
Client_App
ein. - Geben Sie den Hostnamen der Endpunkt-URL als
172.16.1.103
ein, die IP-Adresse des API-Gateways. - Geben Sie Port als
443
ein. - Klicken Sie auf Hinzufügen.
- Geben Sie Name (
-
Beachten Sie, dass der externe Vault konfiguriert ist. Kopieren Sie die externe Vault-URL, und speichern Sie sie auf einem Notizblock.
Nach der Konfiguration wird dieser Vault zum Zielspeicherort für die Speicherung externer Schlüssel, die OCI-Services referenzieren. Sie überbrückt Ihre OCI-Umgebung und die von CipherTrust verwalteten Schlüssel, sodass Sie die vollständige Kontrolle über Verschlüsselungsvorgänge in einem HYOK-Modell erhalten.
Aufgabe 14: OCI External Key Management Service Vault erstellen
Nachdem der externe Vault in Thales CipherTrust Manager definiert wurde, müssen Sie als nächste Aufgabe einen entsprechenden External Key Management Vault in der OCI-Konsole erstellen.
Dieser OCI-Vault wird mit Ihrem Thales CipherTrust-Manager verknüpft und von OCI-Services verwendet, um Verschlüsselungs- und Entschlüsselungsvorgänge mit externen Schlüsseln auszuführen.
Die folgende Abbildung zeigt die in dieser Aufgabe eingerichteten Komponenten und Konfigurationen.
-
Rufen Sie die Domain-URL aus Aufgabe 9 ab. Damit konfigurieren Sie den externen Key Vault in OCI.
-
Gehen Sie in der OCI-Konsole zu Identität und Sicherheit, und klicken Sie auf Externe Schlüsselverwaltung.
-
Klicken Sie auf Vault erstellen.
-
Geben Sie unter Vault erstellen die folgenden Informationen ein.
- Geben Sie Name (
OCI_EKMS_Vault
) ein. - Geben Sie IDCS-Accountnamen-URL ein, die Domain-URL, die aus Aufgabe 7 kopiert wurde. Die vollständige URL lautet:
https://idcs-<xxx>.identity.oraclecloud.com:443/
. - Geben Sie Client-ID und Clientanwendungs-Secret der integrierten Anwendung
Client_App
ein. - Bildlauf nach unten.
- Wählen Sie den in Aufgabe 6 erstellten privaten Endpunkt aus.
- Geben Sie die externe Vault-URL ein, die aus Aufgabe 7 kopiert wurde, als der externe Vault auf CTM1 erstellt wurde.
- Klicken Sie auf Vault erstellen.
- Geben Sie Name (
-
Beachten Sie, dass der Vault erstellt wurde. Klicken Sie auf den Tresor.
-
Prüfen Sie die Vaultdetails.
OCI stellt nun über den angegebenen privaten Endpunkt eine Verbindung zu Ihrem Thales CipherTrust-Manager her. Sobald dieser Vault aktiv ist, wird er zur Schnittstelle, über die OCI mit externen Schlüsseln interagiert, die von CCKM verwaltet werden. Dadurch wird die HYOK-Unterstützung für OCI-Services wie OCI Object Storage, OCI Block Volumes und mehr ermöglicht. Später führen wir einige Tests mit OCI Object Storage durch.
Aufgabe 15: Externe Schlüssel in Thales CipherTrust Manager hinzufügen
Wenn der externe Vault in Thales CipherTrust Manager eingerichtet und mit OCI verknüpft ist, besteht die nächste Aufgabe darin, die externen Verschlüsselungsschlüssel zu erstellen oder zu importieren, die OCI für HYOK-fähige Services verwendet.
Diese Schlüssel befinden sich sicher im Thales CipherTrust Manager und werden von OCI über die externe Schlüsselverwaltungsschnittstelle referenziert. Je nach Ihren organisatorischen Anforderungen können Sie einen neuen Schlüssel direkt in Thales CipherTrust Manager generieren oder einen vorhandenen importieren.
Die folgende Abbildung zeigt die in dieser Aufgabe eingerichteten Komponenten und Konfigurationen.
-
Gehen Sie zur Thales Cloud Key Manager-Konsole.
- Klicken Sie auf Cloud-Schlüssel.
- Klicken Sie auf Oracle.
- Klicken Sie auf Schlüssel hinzufügen.
-
Geben Sie unter Oracle Key hinzufügen die folgenden Informationen ein.
- Wählen Sie Oracle External (HYOK) aus.
- Wählen Sie den in Aufgabe 8 erstellten Thales CipherTrust Manager-Vault aus.
- Wählen Sie die Quelle als CipherTrust (lokal).
- Klicken Sie anschließend auf Weiter.
-
Geben Sie unter Quellschlüssel die folgenden Informationen ein.
- Wählen Sie unter Quellschlüsselmaterial die Option Neuen Schlüssel erstellen aus.
- Geben Sie den Namen (
CM_Key
) des Schlüssels ein. - Klicken Sie anschließend auf Weiter.
-
Geben Sie unter Oracle Key konfigurieren die folgenden Informationen ein.
- Geben Sie Oracle Key Name (
CM_Key
) ein. - Klicken Sie anschließend auf Weiter.
- Geben Sie Oracle Key Name (
-
Klicken Sie auf Schlüssel hinzufügen.
-
Klicken Sie auf Schließen.
-
Beachten Sie den erstellten Schlüssel.
Nach dem Hinzufügen wird der Schlüssel über den externen Schlüsselverwaltungs-Vault für OCI verfügbar. Damit OCI-Services den Schlüssel verwenden können, müssen Sie jedoch eine Schlüsselreferenz in der OCI-Konsole erstellen, die in der nächsten Aufgabe behandelt wird.
Hinweis:
- Diese Schlüssel verlassen nie den Thales CipherTrust Manager.
- OCI sendet nur Verschlüsselungs-/Entschlüsselungsanforderungen an den externen Schlüsselmanager, um sicherzustellen, dass Sie stets die vollständige Kontrolle über das Schlüsselmaterial behalten.
Aufgabe 16: Schlüsselreferenzen in OCI erstellen
Nachdem der externe Schlüssel erstellt oder in den Thales CipherTrust Manager importiert wurde, erstellen Sie als nächste Aufgabe eine Schlüsselreferenz in der OCI-Konsole. Eine Schlüsselreferenz fungiert als Zeiger, mit dem OCI-Services über den externen Schlüsselverwaltungs-Vault auf den in Ihrem Thales CipherTrust Manager gespeicherten externen Schlüssel zugreifen und diesen verwenden können.
Die folgende Abbildung zeigt die in dieser Aufgabe eingerichteten Komponenten und Konfigurationen.
-
Gehen Sie zur Thales Cloud Key Manager-Konsole.
- Klicken Sie auf Cloud-Schlüssel.
- Klicken Sie auf Oracle.
- Klicken Sie auf Schlüssel, der in Aufgabe 15 erstellt wird.
-
Beachten Sie, dass der Schlüssel eine Externe Schlüssel-ID enthält. Kopieren Sie diese ID.
-
Kehren Sie zum Vault in OCI zurück, der in Aufgabe 9 erstellt wurde, und klicken Sie auf den Vault.
-
Bildlauf nach unten.
-
Klicken Sie auf Schlüsselreferenz erstellen.
-
Geben Sie unter Schlüsselreferenz erstellen die folgenden Informationen ein.
- Geben Sie Name (
OCI_Key_Reference
) ein. - Geben Sie den kopierten Schlüssel External Key ID (Thales CipherTrust Manager) ein.
- Klicken Sie auf Schlüsselreferenz erstellen.
- Geben Sie Name (
-
Beachten Sie, dass die Schlüsselreferenz erstellt wurde.
OCI verknüpft diese Schlüsselreferenz jetzt mit dem externen Schlüssel, der in Thales CipherTrust Manager verwaltet wird. Auf diese Weise können OCI-Services wie OCI Object Storage, OCI Block Volumes und andere kryptografische Anforderungen über den privaten Endpunkt an den externen Schlüssel senden. Im Gegensatz dazu bleibt das Schlüsselmaterial selbst völlig unter Ihrer Kontrolle.
Wir testen die Schlüsselreferenz sofort, indem wir sie an einen OCI Object Storage-Bucket anhängen, um zu prüfen, ob die Integration wie erwartet funktioniert.
Aufgabe 17: OCI Object Storage-Bucket mit vom Kunden verwalteten Schlüsseln erstellen
Sie können Ressourcen mit dem in OCI referenzierten externen Schlüssel verschlüsseln. In dieser Aufgabe erstellen wir einen OCI Object Storage-Bucket, der den externen, vom Kunden verwalteten Schlüssel verwendet, der im Thales CipherTrust Manager über den externen Key Management Vault gehostet wird.
Dieses Setup stellt sicher, dass alle im Bucket gespeicherten Objekte mit einem Schlüssel verschlüsselt werden, den Sie vollständig kontrollieren und die strengen Compliance-, Souveränitäts- oder internen Policy-Anforderungen erfüllen.
Die folgende Abbildung zeigt die in dieser Aufgabe eingerichteten Komponenten und Konfigurationen.
-
Navigieren Sie zur OCI-Konsole, navigieren Sie zu Speicher, und klicken Sie auf Buckets.
-
Klicken Sie auf Bucket erstellen.
-
Geben Sie unter Bucket erstellen die folgenden Informationen ein.
- Geben Sie Name (
OCI_EKMS_Test_Bucket
) ein. - Bildlauf nach unten.
- Wählen Sie in Verschlüsselung die Option Mit Vom Kunden verwalteten Schlüsseln verschlüsseln aus.
- Wählen Sie unter Vault den in Aufgabe 8 erstellten External Key Management Vault aus.
- Wählen Sie unter Schlüssel die Schlüsselreferenz aus, die in Aufgabe 16 erstellt wurde.
- Klicken Sie auf Erstellen.
- Geben Sie Name (
-
Beachten Sie, dass der Bucket erstellt wird. Klicken Sie auf den Bucket.
-
Sie können nach unten scrollen, um Dateien hochzuladen, oder sie leer lassen.
-
Navigieren Sie zum Home-Bildschirm der OCI-Konsole oder einer anderen Seite.
Nachdem der Bucket erstellt wurde, werden alle darin gespeicherten Daten mit dem externen Schlüssel verschlüsselt, der von Thales CipherTrust Manager verwaltet wird. Dadurch wird sichergestellt, dass OCI sich für den Zugriff und die Kontrolle auf Ihre Schlüsselinfrastruktur verlässt und vollständige Hold Your Own Key-(HYOK-)Funktionen ermöglicht.
Angenommen, der externe Schlüssel ist nicht verfügbar (z.B. in Thales CipherTrust Manager deaktiviert oder blockiert). In diesem Fall wird der Zugriff auf den Bucket und dessen Inhalt verweigert, was einen leistungsstarken Kontrollpunkt für Ihre Datensicherheit bietet. Das werden wir in der nächsten Aufgabe testen.
Aufgabe 18: Blockieren und Entsperren von Oracle-Schlüsseln und Testen der OCI Object Storage-Bucket-Barrierefreiheit in Thales CipherTrust Manager und OCI
Einer der Hauptvorteile des Hold Your Own Key-(HYOK-)Modells ist die Möglichkeit, vollständige Betriebskontrolle über Ihre Verschlüsselungsschlüssel zu erhalten, einschließlich der Möglichkeit, diese jederzeit zu blockieren oder zu entsperren. In diesem Abschnitt wird erläutert, wie Sie mit Thales CipherTrust Manager den Zugriff auf einen von Oracle verwalteten Objektspeicher-Bucket kontrollieren, indem Sie den externen Schlüssel blockieren oder entsperren.
Durch das Blockieren eines Schlüssels wird der Zugriff auf alle OCI-Ressourcen eingeschränkt, die mit diesem Schlüssel verschlüsselt sind, ohne den Schlüssel oder die Daten zu löschen. Wird die Sperre aufgehoben, wird der Zugriff wiederhergestellt.
-
Gehen Sie zur Thales Cloud Key Manager-Konsole.
- Klicken Sie auf Cloud-Schlüssel.
- Klicken Sie auf Oracle.
- Klicken Sie auf die drei Punkte am Ende der Taste.
- Wählen Sie Blockieren aus.
-
Wählen Sie Blockieren aus.
-
Beachten Sie, dass der Schlüssel jetzt im Thales-Manager CipherTrust blockiert ist.
-
Navigieren Sie zur OCI-Konsole, navigieren Sie zu Speicher, und klicken Sie auf Buckets.
-
Klicken Sie auf den Bucket, der in Aufgabe 17 erstellt wurde.
-
Beachten Sie, dass jetzt ein Fehler auftritt und Sie nicht auf den Bucket oder eine im Bucket hochgeladene Datei zugreifen können.
Jetzt lassen Sie uns den Schlüssel in Thales CipherTrust Manager wieder entsperren.
Das folgende Diagramm veranschaulicht die in dieser Aufgabe eingerichteten Komponenten und Konfigurationen.
-
Gehen Sie zur Thales Cloud Key Manager-Konsole.
- Klicken Sie auf Cloud-Schlüssel.
- Klicken Sie auf Oracle.
- Klicken Sie auf die drei Punkte am Ende des Tasten.
- Wählen Sie Entsperren.
-
Wählen Sie Entsperren.
-
Beachten Sie, dass der Schlüssel jetzt im Thales-Manager CipherTrust unblocked ist.
-
Navigieren Sie zurück zur Seite Bucket-Details, oder aktualisieren Sie den Browser, wenn Sie sich noch auf dieser Seite befinden.
-
Beachten Sie, dass Sie beim Aufheben der Blockierung nicht erneut auf den OCI Object Storage-Bucket zugreifen können.
Diese Funktion bietet einen leistungsstarken Mechanismus für die Notfallreaktion, die Einhaltung gesetzlicher Vorschriften und die Durchsetzung der Datensouveränität, um sicherzustellen, dass Sie die vollständige Kontrolle darüber behalten, wann und wie Ihre Daten in OCI zugänglich sind.
Nächste Schritte
Durch Ausfüllen dieses Tutorials haben Sie die OCI Hold Your Own Key-Lösung erfolgreich mit Thales CipherTrust Manager mit der OCI API Gateway-Integrationsoption eingerichtet.
You have:
- Entworfen und validiert die unterstützende Netzwerkarchitektur.
- OCI API Gateway mit sicheren DNS- und TLS-Einstellungen bereitgestellt und konfiguriert.
- Aufbau von gegenseitigem Vertrauen zwischen OCI und Thales CipherTrust Manager unter Verwendung vertraulicher Anwendungen und Identitätsprovider.
- Integrierte externe Thales CipherTrust Manager-verwaltete Schlüssel mit OCI Vault und getestete Zugriffskontrolle durch Blockieren und Entsperren von Schlüsseln.
Die Verwendung eines OCI-API-Gateways in diesem Setup bietet einen sicheren und skalierbaren Integrationspunkt, der die Authentifizierung durchsetzt, die Beobachtbarkeit verbessert und Ihren Key Manager hinter einer kontrollierten Schnittstelle abstrahiert, die Compliance, Kontrolle und Flexibilität gewährleistet.
Diese Architektur versetzt Ihr Unternehmen in die Lage, strenge Anforderungen an Datensouveränität, Compliance und gesetzliche Vorschriften zu erfüllen, indem sichergestellt wird, dass Verschlüsselungsschlüssel niemals in OCI gespeichert oder verwaltet werden und bei Bedarf noch für sichere Vorgänge verfügbar sind.
Sie sind jetzt mit einem produktionsfertigen Blueprint ausgestattet, um das externe Schlüsselmanagement in OCI mit vollständiger Eigentümerschaft, Transparenz und Kontrolle über Ihre kryptografischen Assets zu ermöglichen.
Verwandte Links
Bestätigungen
- Autor - Iwan Hoogendoorn (Black Belt für Cloud-Netzwerke)
Weitere Lernressourcen
Sehen Sie sich weitere Übungen zu docs.oracle.com/learn an, oder greifen Sie auf weitere kostenlose Lerninhalte im Oracle Learning YouTube-Kanal zu. Besuchen Sie außerdem education.oracle.com/learning-explorer, um ein Oracle Learning Explorer zu werden.
Die Produktdokumentation finden Sie im Oracle Help Center.
Set up an OCI Hold Your Own Key using Thales CipherTrust Manager with OCI API Gateway
G38190-03
Copyright ©2025, Oracle and/or its affiliates.