OCI Hold Your Own Key mit Thales CipherTrust Manager ohne OCI API Gateway einrichten

Einführung

Dieses Tutorial enthält Schritt-für-Schritt-Anweisungen zum Einrichten von Hold Your Own Key (HYOK) mit Thales CipherTrust Manager (CTM), ohne die Option "Oracle Cloud Infrastructure (OCI) API Gateway" zu verwenden. Mit diesem Ansatz können Sie Ihre Verschlüsselungsschlüssel vollständig steuern und gleichzeitig die Integration mit OCI-Services ermöglichen, die das externe Schlüsselmanagement unterstützen.

image

Wir werden die gesamte Konfiguration durchgehen, beginnend mit der Überprüfung der Netzwerkarchitektur und dem Einrichten von Anwendungsintegrationen in OCI. Anschließend konfigurieren wir den Thales CipherTrust Manager für die direkte Kommunikation mit Oracle Cloud Infrastructure External Key Management Service (OCI External Key Management Service) über einen privaten Endpunkt. Das Tutorial umfasst auch das Erstellen und Registrieren von Identitätsprovidern, OCI-Mandanten, externen Vaults und Schlüsseln sowie das Testen des Zugriffs auf den vom Kunden verwalteten Objektspeicher mit diesen externen Schlüsseln.

Am Ende dieses Tutorials haben Sie ein voll funktionsfähiges HYOK-Setup, das den Zugriff auf OCI-Ressourcen mit extern verwalteten Schlüsseln verschlüsseln und kontrollieren kann, die auf Ihrem Thales CipherTrust Manager gehostet werden, ohne dass ein OCI-API-Gateway zwischengeschaltet werden muss.

image

Hinweis: In diesem Tutorial werden die Begriffe Thales CipherTrust Cloud Key Manager (CCKM) und Thales CipherTrust Manager (CTM) synonym verwendet. Beide beziehen sich auf das gleiche Produkt.

Dieses Tutorial baut auf der im Tutorial eingerichteten technical foundation auf: Zwei Thales CipherTrust Cloud Key Manager Appliances in OCI einrichten, ein Cluster zwischen ihnen erstellen und als Certificate Authority konfigurieren.

Wenn Sie Hold Your Own Key (HYOK) mit der Option Thales CipherTrust Manager with OCI API Gateway implementieren möchten, befolgen Sie dieses Tutorial: OCI Hold Your Own Key mit CipherTrust Manager mit dem OCI API Gateway einrichten.

Ziele

image

Die folgende Abbildung zeigt die Komponenten und die Konfiguration, die alle Schritte in diesem Tutorial eingerichtet haben.

image

Aufgabe 1: Cloud-Netzwerkarchitektur prüfen

Bevor wir uns mit den technischen Schritten der Konfiguration von Hold Your Own Key (HYOK) mit Thales CipherTrust Manager befassen, ist es wichtig, die Cloud-Netzwerkarchitektur zu verstehen, in der sich dieses Setup befindet.

In diesem Szenario werden drei OCI-Regionen verwendet:

Die Konnektivität zwischen den beiden simulierten On-Premise-Data Centern wird mit Remote-Peering-Verbindungen (RPC) hergestellt. In diesem Tutorial werden jedoch das VPN-Setup, die RPC-Konfiguration und die Details der Hub-and-Spoke-VCN-Architektur als nicht im Geltungsbereich enthalten betrachtet und nicht behandelt.

Dieses Tutorial konzentriert sich ausschließlich auf die Einrichtung von HYOK mit Thales CipherTrust Manager, der in der Amsterdamer Region (AMS) bereitgestellt wird, einem der simulierten On-Premises-Rechenzentren. Alle Schlüsselverwaltungsvorgänge werden von dieser Thales CipherTrust Manager-Instanz ausgeführt.

Mit dem externen Key Manager Private kann OCI sicher mit dem externen Thales CipherTrust Manager kommunizieren und wird in einem der Spoke-VCNs in der primären OCI-Region bereitgestellt. Dadurch wird ein sicherer und direkter Kommunikationspfad zwischen OCI-Services und dem externen Key Manager gewährleistet, ohne dass der Traffic dem öffentlichen Internet ausgesetzt wird.

Diese Architektur unterstützt starke Sicherheits- und Compliance-Haltungen für sensible Workloads in OCI, indem die Schlüsselverwaltung innerhalb einer klar definierten und sicheren Netzwerkgrenze isoliert wird.

Die folgende Abbildung veranschaulicht die gesamte Architektur.

image

Aufgabe 2: Vertrauliche Ressourcenanwendung erstellen und vertrauliche Clientanwendungen (Anwendungsintegrationen) zuordnen und den Client und die Secrets in OCI erfassen

Um die HYOK-Integration mit Thales CipherTrust Manager zu aktivieren, müssen Sie Vertrauen zwischen OCI und dem externen Key Manager aufbauen.

Dazu registrieren Sie zwei Schlüsselkomponenten in OCI Identity and Access Management (OCI IAM): eine vertrauliche Ressourcenanwendung und eine vertrauliche Clientanwendung. Diese sind für die Authentifizierung und Autorisierung der Kommunikation zwischen OCI und Thales CipherTrust Manager unerlässlich.

Mit diesem Setup kann sich der Thales CipherTrust Manager über OAuth 2.0 bei OCI IAM authentifizieren. Der vertrauliche Client agiert im Namen des externen Schlüsselmanagers, während die vertrauliche Ressource den Umfang der Zugriffs- und Vertrauenskonfiguration definiert. OCI kann ohne diese Komponenten weder validieren noch sicher mit der externen Schlüsselquelle kommunizieren.

Die folgende Abbildung veranschaulicht die in diesem Schritt eingerichteten Komponenten und Konfigurationen.

image

Hinweis:

Aufgabe 3: Identitätsdomain-URL aus OCI erfassen

Um die OAuth-basierte Kommunikation zwischen OCI und Thales CipherTrust Manager zu aktivieren, müssen Sie die Identitätsdomain-URL während der Konfiguration des Identitätsproviders in Thales CipherTrust Manager angeben.

Aufgabe 4: Identitätsprovider in Thales CipherTrust Manager erstellen

In dieser Aufgabe konfigurieren Sie den Identitätsprovider im Thales CipherTrust-Manager. Mit diesem Setup kann sich Thales CipherTrust Manager mit den in Aufgabe 3 erstellten Zugangsdaten OAuth 2.0 bei OCI authentifizieren.

Die folgende Abbildung zeigt die in dieser Aufgabe eingerichteten Komponenten und Konfigurationen.

image

Aufgabe 5: OCI-Mandanten in Thales CipherTrust Manager hinzufügen

Nachdem Sie den Identitätsprovider in Thales CipherTrust Manager konfiguriert haben, registrieren Sie als nächste Aufgabe Ihren OCI-Mandanten. Dadurch kann Thales CipherTrust Manager externe Vaults und Schlüssel im Namen Ihrer OCI-Umgebung mit den zuvor konfigurierten OAuth-Zugangsdaten verwalten.

Die folgende Abbildung zeigt die in dieser Aufgabe eingerichteten Komponenten und Konfigurationen.

image

Aufgabe 6: Privaten Endpunkt für den externen Key Manager-Service in OCI erstellen

Um OCI sicher mit dem Thales CipherTrust Manager zu verbinden, ohne Traffic im öffentlichen Internet verfügbar zu machen, müssen Sie einen privaten Endpunkt für den OCI External Key Management Service erstellen.

Dadurch wird sichergestellt, dass die gesamte Kommunikation zwischen OCI und Thales CipherTrust Manager über einen privaten, kontrollierten Netzwerkpfad erfolgt.

Stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind:

Die folgende Abbildung zeigt die in dieser Aufgabe eingerichteten Komponenten und Konfigurationen.

image

Aufgabe 7: Externe Vaults in Thales CipherTrust Manager hinzufügen

Wenn der OCI-Mandant und der private Endpunkt vorhanden sind, müssen Sie als nächste Aufgabe einen externen Vault in Thales CipherTrust Manager hinzufügen. Ein externer Vault in Thales CipherTrust Manager ist ein logischer Container, der dem externen Key Management Vault in OCI zugeordnet ist, sodass der Thales CipherTrust Manager Schlüssel verwalten kann, die für die HYOK-Verschlüsselung verwendet werden.

Die folgende Abbildung zeigt die in dieser Aufgabe eingerichteten Komponenten und Konfigurationen.

image

Nach der Konfiguration wird dieser Vault zum Zielspeicherort für die Speicherung externer Schlüssel, die OCI-Services referenzieren. Sie überbrückt Ihre OCI-Umgebung und die von CipherTrust verwalteten Schlüssel, sodass Sie die vollständige Kontrolle über Verschlüsselungsvorgänge in einem HYOK-Modell erhalten.

Aufgabe 8: OCI External Key Management Service Vault erstellen

Nachdem der externe Vault in Thales CipherTrust Manager definiert wurde, müssen Sie als nächste Aufgabe einen entsprechenden External Key Management Vault in der OCI-Konsole erstellen.

Dieser OCI-Vault wird mit Ihrem Thales CipherTrust-Manager verknüpft und von OCI-Services verwendet, um Verschlüsselungs- und Entschlüsselungsvorgänge mit externen Schlüsseln auszuführen.

Die folgende Abbildung zeigt die in dieser Aufgabe eingerichteten Komponenten und Konfigurationen.

image

OCI stellt nun über den angegebenen privaten Endpunkt eine Verbindung zu Ihrem Thales CipherTrust-Manager her. Sobald dieser Vault aktiv ist, wird er zur Schnittstelle, über die OCI mit externen Schlüsseln interagiert, die von CCKM verwaltet werden. Dadurch wird die HYOK-Unterstützung für OCI-Services wie OCI Object Storage, OCI Block Volumes und mehr aktiviert. Später führen wir einige Tests mit OCI Object Storage durch.

Aufgabe 9: Externe Schlüssel in Thales CipherTrust Manager hinzufügen

Wenn der externe Vault in Thales CipherTrust Manager eingerichtet und mit OCI verknüpft ist, besteht die nächste Aufgabe darin, die externen Verschlüsselungsschlüssel zu erstellen oder zu importieren, die OCI für HYOK-fähige Services verwendet.

Diese Schlüssel befinden sich sicher im Thales CipherTrust Manager und werden von OCI über die externe Schlüsselverwaltungsschnittstelle referenziert. Je nach Ihren organisatorischen Anforderungen können Sie einen neuen Schlüssel direkt in Thales CipherTrust Manager generieren oder einen vorhandenen importieren.

Die folgende Abbildung zeigt die in dieser Aufgabe eingerichteten Komponenten und Konfigurationen.

image

Nach dem Hinzufügen wird der Schlüssel über den externen Schlüsselverwaltungs-Vault für OCI verfügbar. Damit OCI-Services den Schlüssel verwenden können, müssen Sie jedoch eine Schlüsselreferenz in der OCI-Konsole erstellen, die in der nächsten Aufgabe behandelt wird.

Hinweis:

Aufgabe 10: Schlüsselreferenzen in OCI erstellen

Nachdem der externe Schlüssel erstellt oder in den Thales CipherTrust Manager importiert wurde, erstellen Sie als nächste Aufgabe eine Schlüsselreferenz in der OCI-Konsole. Eine Schlüsselreferenz fungiert als Zeiger, mit dem OCI-Services über den externen Schlüsselverwaltungs-Vault auf den in Ihrem Thales CipherTrust Manager gespeicherten externen Schlüssel zugreifen und diesen verwenden können.

Die folgende Abbildung zeigt die in dieser Aufgabe eingerichteten Komponenten und Konfigurationen.

image

OCI verknüpft diese Schlüsselreferenz jetzt mit dem externen Schlüssel, der in Thales CipherTrust Manager verwaltet wird. Auf diese Weise können OCI-Services wie OCI Object Storage, OCI Block Volumes und andere kryptografische Anforderungen über den privaten Endpunkt an den externen Schlüssel senden. Im Gegensatz dazu bleibt das Schlüsselmaterial selbst völlig unter Ihrer Kontrolle.

Wir testen die Schlüsselreferenz sofort, indem wir sie an einen OCI Object Storage-Bucket anhängen, um zu prüfen, ob die Integration wie erwartet funktioniert.

Aufgabe 11: OCI-Objektspeicher-Bucket mit vom Kunden verwalteten Schlüsseln erstellen

Sie können Ressourcen mit dem in OCI referenzierten externen Schlüssel verschlüsseln. In dieser Aufgabe erstellen wir einen OCI Object Storage-Bucket, der den externen, vom Kunden verwalteten Schlüssel verwendet, der im Thales CipherTrust Manager über den externen Key Management Vault gehostet wird.

Dieses Setup stellt sicher, dass alle im Bucket gespeicherten Objekte mit einem Schlüssel verschlüsselt werden, den Sie vollständig kontrollieren. Dabei werden strenge Compliance-, Souveränitäts- oder interne Policy-Anforderungen erfüllt.

Die folgende Abbildung zeigt die in dieser Aufgabe eingerichteten Komponenten und Konfigurationen.

image

Nachdem der Bucket erstellt wurde, werden alle darin gespeicherten Daten mit dem externen Schlüssel verschlüsselt, der von Thales CipherTrust Manager verwaltet wird. Dadurch wird sichergestellt, dass OCI sich für den Zugriff und die Kontrolle auf Ihre Schlüsselinfrastruktur verlässt und vollständige Hold Your Own Key-(HYOK-)Funktionen ermöglicht.

Angenommen, der externe Schlüssel ist nicht verfügbar (z.B. in Thales CipherTrust Manager deaktiviert oder blockiert). In diesem Fall wird der Zugriff auf den Bucket und dessen Inhalt verweigert. Dies bietet einen leistungsstarken Kontrollpunkt für Ihre Datensicherheitslage. Das werden wir in der nächsten Aufgabe testen.

Aufgabe 12: Blockieren und Entsperren von Oracle-Schlüsseln und Testen der OCI Object Storage-Bucket-Barrierefreiheit in Thales CipherTrust Manager und OCI

Einer der Hauptvorteile des Hold Your Own Key-(HYOK-)Modells ist die Möglichkeit, vollständige Betriebskontrolle über Ihre Verschlüsselungsschlüssel zu erhalten, einschließlich der Möglichkeit, diese jederzeit zu blockieren oder zu entsperren. In diesem Abschnitt wird erläutert, wie Sie mit Thales CipherTrust Manager den Zugriff auf einen von Oracle verwalteten Objektspeicher-Bucket kontrollieren, indem Sie den externen Schlüssel blockieren oder entsperren.

Durch das Blockieren eines Schlüssels wird der Zugriff auf alle OCI-Ressourcen eingeschränkt, die mit diesem Schlüssel verschlüsselt sind, ohne den Schlüssel oder die Daten zu löschen. Wird die Sperre aufgehoben, wird der Zugriff wiederhergestellt.

image

image

Jetzt lassen Sie uns den Schlüssel in Thales CipherTrust Manager wieder entsperren.

Das folgende Diagramm veranschaulicht die in dieser Aufgabe eingerichteten Komponenten und Konfigurationen.

image

Diese Funktion bietet einen leistungsstarken Mechanismus für die Notfallreaktion, die Einhaltung gesetzlicher Vorschriften und die Durchsetzung der Datensouveränität. So können Sie die vollständige Kontrolle darüber behalten, wann und wie Ihre Daten in OCI zugänglich sind.

Nächste Schritte

In diesem Tutorial haben wir die Einrichtung von OCI Hold Your Own Key mit Thales CipherTrust Manager abgeschlossen, ohne auf die OCI API Gateway-Option angewiesen zu sein. Wenn Sie die Schritte von der Konfiguration von Identitätsintegrationen und Netzwerken bis zum Deployment externer Vaults und Schlüssel befolgen, haben Sie eine sichere und konforme Schlüsselverwaltungsarchitektur aktiviert, in der Sie die vollständige Kontrolle über Ihre Verschlüsselungsschlüssel behalten.

Dieses Setup stellt sicher, dass OCI-Services wie OCI Object Storage Ihre extern verwalteten Schlüssel für Verschlüsselungsvorgänge verwenden, während das Schlüsselmaterial vollständig unter Ihrer Governance bleibt. Sie haben auch gesehen, wie leistungsstark HYOK sein kann, mit der Möglichkeit, den Zugriff auf Cloud-Ressourcen zu blockieren und zu entsperren, indem Sie den Schlüsselstatus innerhalb von Thales CipherTrust Manager umschalten.

Wenn Sie das OCI-API-Gateway nicht verwenden, haben Sie die Architektur vereinfacht und gleichzeitig eine feste Sicherheitsgrenze durch private Netzwerke und OAuth-basiertes Identity Trust durchgesetzt.

Sie haben jetzt eine produktionsbereite HYOK-Implementierung, die Sicherheitsrichtlinien für Unternehmen, die Einhaltung gesetzlicher Vorschriften und die Anforderungen an die Datensouveränität unterstützt, sodass Sie die vollständige Kontrolle über Ihre Cloud-Verschlüsselungsstrategie haben.

Bestätigungen

Weitere Lernressourcen

Sehen Sie sich weitere Übungen zu docs.oracle.com/learn an, oder greifen Sie auf weitere kostenlose Lerninhalte im Oracle Learning YouTube-Kanal zu. Besuchen Sie außerdem education.oracle.com/learning-explorer, um ein Oracle Learning Explorer zu werden.

Die Produktdokumentation finden Sie im Oracle Help Center.