Documentación de Oracle Cloud Infrastructure

Cifrado de volumen en bloque

El servicio Block Volume siempre cifra todas las copias de seguridad estáticas de volúmenes en bloque, de inicio y de volumen mediante el algoritmo de estándar de cifrado avanzado (AES) con cifrado de los 256 bits. Por defecto, todos los volúmenes y sus copias de seguridad se cifran con las claves de cifrado proporcionadas por Oracle. Cada vez que se clona o restaura un volumen a partir de una copia de seguridad, se le asigna una nueva clave de cifrado única.

Importante

El servicio Block Volume no admite el cifrado de volúmenes con claves cifradas mediante el algoritmo Rivest-Shamir-Adleman (RSA). Al utilizar sus propias claves, debe utilizar claves cifradas con el algoritmo Estándar de cifrado avanzado (AES). Esto se aplica a los volúmenes en bloque y los volúmenes de inicio.

El servicio Block Volume utiliza el cifrado de sobres para cifrar los datos. Con la encriptación de sobres, los datos se cifran mediante una clave única generada de cifrado (DEK) y, a continuación, dicha clave se cifra con la clave gestionada por el cliente. La clave de cifrado de datos es única para cada volumen.

Por defecto, las claves de cifrado proporcionadas por Oracle se utilizan para cifrado. Tiene la opción de sustituir o especificar claves gestionadas por el cliente almacenadas en el servicio Vault. Block Volume utiliza la clave de cifrado configurada para el volumen tanto para el cifrado estático como para el cifrado en tránsito.

Si no especifica una clave gestionada por el cliente o, posteriormente, anula la asignación de una clave del volumen, el servicio de volumen en bloque utiliza en su lugar la clave de cifrado proporcionada por Oracle. Esta situación se aplica tanto al cifrado estático y al cifrado en tránsito paravirtualizado.

Para utilizar su propia clave para nuevos volúmenes, consulte Creación de un volumen en bloque. Para cambiar claves, consulte Cambio de la clave de cifrado maestra asignada y Edición de una clave en un volúmenes en bloque.

No existe ninguna opción para volúmenes estáticos sin cifrar. El cifrado estátivo no afecta al rendimiento del volumen y no supone un costo extra. El volumen en bloque también proporciona cifrado en tránsito. El cifrado en tránsito para volúmenes en bloque asociados a VM es opcional y se puede activar o desactivar según sea necesario para estos volúmenes. El cifrado en tránsito para instancias con hardware dedicado está soportado y activado, y no se puede desactivar para las siguientes unidades:

  • BM.Standard.E3.128

  • BM.Standard.E4.128

  • BM.DenseIO.E4.128

Para confirmar el soporte de otras imágenes personalizadas basadas en Linux y para obtener más información, póngase en contacto con los Servicios de Soporte Oracle.

Claves proporcionadas por Oracle

Una clave proporcionada por Oracle es el esquema de cifrado por defecto, que utiliza claves gestionadas internamente por Oracle. No se necesita ninguna acción para utilizar estas claves. Si no especifica la clave gestionada por el cliente, los recursos de Block Volume se cifran con claves gestionadas por Oracle. El servicio rota las claves periódicamente.

Claves gestionadas por el cliente

Puede utilizar claves gestionadas por el cliente, es decir, sus propias claves almacenadas con el servicio Vault . Puede importar claves externas al servicio Vault o utilizar el servicio para generar nuevas claves. Si se utilizan claves gestionadas por los clientes para cifrar datos, no se supone ningún costo adicional ni impacto en el rendimiento. Para obtener más información, consulte Gestión de claves de cifrado de Vault para Block Volume.

Cifrado personalizado

Puede optar por realizar su propio cifrado personalizado en el nivel del sistema operativo mediante software de terceros, como devicemapper crypt (dm-crypt), BitLocker Drive Encryption, etc. Este cifrado se suma al cifrado estándar proporcionado por Oracle para los volúmenes. Esto significa que los volúmenes se cifran dos veces: primero por el software en el nivel del sistema operativo y, a continuación, por Oracle mediante claves gestionadas por Oracle.

Cuando se utiliza un modo del cifrado personalizado, no se produce ningún costo extra, pero se puede observar una degradación del rendimiento general del volumen. Este cifrado utiliza ciclos de CPU del host, y el rendimiento del volumen depende de la unidad real de la instancia informática.

Cifrado en tránsito

Importante

  • El cifrado en tránsito para volúmenes de bloque e inicio solo está disponible para instancias del equipo virtual (VM) iniciadas desde imágenes de plataforma, junto con instancias con hardware dedicado que utilizan las siguientes unidades: BM.Standard.E3.128, BM.Standard.E4.128, BM.DenseIO.E4.128. No está soportado en otras instancias con hardware dedicado. Para confirmar el soporte para determinadas imágenes personalizadas basadas en Linux y para obtener más información, póngase en contacto con los Servicios de Soporte Oracle.

  • Para las instancias dedicadas que soportan el cifrado en tránsito, incluidas las instancias iniciadas desde imágenes personalizadas, siempre está activado por defecto. Esto se aplica tanto a los volúmenes de inicio como a los volúmenes en bloque. Las siguientes unidades dedicadas admiten el cifrado en tránsito para el volumen de inicio de la instancia y los volúmenes de bloques asociados a iSCSI:

    • BM.Standard.E3.128
    • BM.Standard.E4.128
    • BM.DenseIO.E4.128

Todos los datos que se mueven entre la instancia y el volumen en bloque se transfieren a través de una red interna altamente segura. Si tiene requisitos específicos de conformidad relacionados con el cifrado de los datos mientras se mueven entre la instancia y el volumen de bloques, el servicio de volumen de bloques proporciona la opción de habilitar el cifrado en tránsito para asociaciones del volumen paravirtualizadas en instancias de máquina virtual (VM).

El cifrado en tránsito para instancias con hardware dedicado no está soportado para las regiones de US Government Cloud.

El cifrado En tránsito no se activa para estas unidades en los siguientes escenarios:

  • Volúmenes de inicio para instancias iniciadas el 8 de junio de 2021 o antes.
  • Volúmenes asociados a la instancia del 8 de junio de 2021 o antes

Para activar el cifrado en tránsito para los volúmenes en estos escenarios, debe desasociar el volumen de la instancia y, a continuación, volver a asociarlo.

Acceso a claves en un compartimento de seguridad cruzada

En los criterios de referencia del CIS para Oracle Cloud Infrastructure se recomienda crear un almacén para las claves gestionadas por el cliente en un compartimento independiente y restringir el acceso a este compartimento. En el siguiente diagrama se muestra cómo organizarlo.

Diagrama de arquitectura que muestra las claves gestionadas por el cliente almacenadas en un compartimento de acceso restringido independiente

Las siguientes políticas son necesarias para utilizar las claves en un compartimento de seguridad independiente con acceso restringido para cifrar volúmenes de inicio, volúmenes en bloque y recursos relacionados.

Allow service blockstorage to use keys in compartment security-compartment where target.key.id = <key_ID>
Allow group projx-admin-group to use key-delegate in compartment security-compartment where target.key.id = <key_ID>