Key Management

Comprenda los conceptos de gestión de claves y almacén para acceder y gestionar el almacén, las claves y los secretos.

Almacenes

Los almacenes son entidades lógicas en las que el servicio Vault crea y almacena de forma duradera claves y secretos de almacén. El tipo de almacén que tenga determinará las funciones y funcionalidades, como grados de aislamiento del almacenamiento, acceso a gestión y cifrado, escalabilidad y capacidad de copia de seguridad. El tipo de almacén que tenga también afecta a la asignación de precios. No se puede cambiar el tipo de un almacén después de crearlo.

El servicio Vault ofrece diferentes tipos de almacén para adaptarse a las necesidades y el presupuesto de su organización. Todos los tipos de almacén garantizan la seguridad e integridad de las claves de cifrado y los secretos que almacenan los almacenes. Un almacén privado virtual es una partición aislada en un módulo de seguridad de hardware (HSM). De lo contrario, se comparten particiones en el HSM con otros almacenes.

Los almacenes privados virtuales incluyen 1000 versiones de claves por defecto. Si no necesita el mayor grado de aislamiento o la capacidad de realizar una copia de seguridad del almacén, no necesita un almacén privado virtual. Si no cuenta con un almacén privado virtual, puede gestionar los costos pagando las versiones de clave de forma individual, según las necesidades. (Las versiones de claves cuentan para el límite y los costes de claves. Una clave de almacén siempre contiene al menos una versión de clave activa. Del mismo modo, un secreto siempre tiene al menos una versión del secreto. Sin embargo, los límites de los secretos se aplican al arrendamiento, en lugar de a un almacén.)

Para los clientes que tienen conformidad normativa para almacenar claves fuera de la nube de Oracle o de cualquier entorno local en la nube de terceros, KMS de OCI ahora ofrece una funcionalidad denominada Servicio de gestión de claves externas (KMS externo). En KMS externo, puede almacenar y controlar claves de cifrado maestras (como claves externas) en un sistema de gestión de claves de terceros alojado fuera de OCI. A continuación, puede utilizar estas claves para cifrar los datos en Oracle. También puede desactivar las claves en cualquier momento. Con las claves reales que residen en el sistema de gestión de claves de terceros, solo puede crear referencias de claves (asociadas al material de claves) en OCI.

KMS de OCI ofrece el KMS dedicado, que es un recurso de partición HSM como servicio gestionado por el cliente, de alta disponibilidad y de un solo inquilino. Le permite tener un mayor control al poseer la partición HSM y las claves cifradas, así como los usuarios de la partición. En una configuración de KMS dedicado, el cluster de HSM viene con tres particiones de HSM por defecto, que se sincronizan automáticamente. Puede gestionar claves y usuarios en los HSM integrados con instancias informáticas de OCI mediante utilidades de cliente y bibliotecas PKCS #11. El KMS dedicado solo admite claves protegidas por HSM y no admite claves protegidas por software. Para operaciones criptográficas, la solución admite cifrado simétrico y asimétrico mediante algoritmos AES, RSA y ECDSA.

Los almacenes privados virtuales incluyen 1000 versiones de claves por defecto. Si no necesita un mayor grado de aislamiento o la capacidad de realizar una copia de seguridad del almacén, no necesita un almacén privado virtual. Sin un almacén privado virtual, puede gestionar los costos pagando por las versiones de clave individualmente, según las necesite. (Las versiones de claves cuentan para el límite y los costes de claves. Una clave de almacén siempre contiene al menos una versión de clave activa. Del mismo modo, un secreto siempre tiene al menos una versión del secreto. Sin embargo, los límites de los secretos se aplican al arrendamiento, en lugar de a un almacén.)

El servicio Vault designa los almacenes como un recurso de Oracle Cloud Infrastructure.

Claves

Las claves son entidades lógicas que representan una o más versiones de clave, cada una de las cuales contiene material criptográfico. El material criptográfico de una clave de almacén se genera para un algoritmo específico que le permite utilizar la clave para el cifrado o la firma digital. Cuando se utiliza para el cifrado, un par de claves o claves cifra y descifra datos, protegiendo los datos donde se almacenan los datos o mientras los datos están en tránsito. Con una clave simétrica AES, la misma clave cifra y descifra los datos. Con una clave asimétrica RSA, la clave pública cifra los datos y la clave privada descifra los datos.

Puede utilizar claves AES en el cifrado y el descifrado, pero no en la firma digital. Sin embargo, las claves RSA se pueden utilizar no solo para cifrar y descifrar datos, sino también para firmar datos digitalmente y verificar la autenticidad de los datos firmados. Puede utilizar claves ECDSA en la firma digital, pero no para cifrar o descifrar datos.

Cuando se procesa como parte de un algoritmo de cifrado, una clave especifica cómo transformar el texto sin formato en texto cifrado durante el proceso de cifrado y cómo transformar el texto cifrado en texto sin formato durante el descifrado. Cuando se procesa como parte de un algoritmo de firma, la clave privada de una clave asimétrica y un mensaje producen una firma digital que acompaña al mensaje en tránsito. Cuando se procesa como parte de un algoritmo de verificación de firma por el destinatario del mensaje firmado, el mensaje, la firma y la clave pública de la misma clave asimétrica confirman o niegan la autenticidad e integridad del mensaje.

Teóricamente, el servicio Vault reconoce tres tipos de claves de cifrado: claves de cifrado maestras, claves de encapsulado y claves de cifrado de datos.

Los algoritmos de cifrado que admite el servicio Vault para las claves de cifrado maestras del almacén incluyen AES, RSA y ECDSA. Puede crear claves de cifrado maestras AES, RSA o ECDSA mediante la consola, la CLI o la API. Al crear una clave de cifrado maestra, el servicio Vault puede generar el material de claves internamente o puede importar el material de claves al servicio desde un origen externo. (El soporte para importar material de claves depende del algoritmo de cifrado del material de claves). Al crear claves de cifrado maestras de almacén, las crea en un almacén, pero donde se almacena y procesa una clave depende de su modo de protección.

Las claves de cifrado maestras del almacén pueden tener uno de los dos modos de protección: HSM o software. Una clave de cifrado maestra protegida por un HSM se almacena en un HSM y no se puede exportar desde el HSM. Todas las operaciones criptográficas que implican la clave también se realizan en el HSM. Mientras tanto, una clave de cifrado maestra protegida por software se almacena en un servidor y, por lo tanto, se puede exportar desde el servidor para realizar operaciones criptográficas en el cliente en lugar de en el servidor. Mientras está en reposo, la clave protegida por software se cifra mediante una clave raíz en el HSM. Para una clave protegida por software, cualquier procesamiento relacionado con la clave se produce en el servidor. El modo de protección de una clave afecta al precio y no se puede cambiar después de crear la clave.

Después de crear la primera clave de cifrado maestra simétrica, puede utilizar la API para generar claves de cifrado de datos que el servicio Vault le devuelve. Algunos servicios también pueden utilizar una clave de cifrado maestra simétrica para generar sus propias claves de cifrado de datos.

Un tipo de clave de cifrado que se incluye con cada almacén por defecto es una clave de encapsulado. Una clave de ajuste es una clave de cifrado asimétrica de 4096 bits basada en el algoritmo RSA. El par de claves pública y privada no cuenta con los límites de servicio. Tampoco incurren en costos de servicio. Utilice la clave pública como clave de cifrado de claves cuando necesite encapsular el material de claves para importarlo en el servicio Vault. No puede crear, suprimir ni rotar claves de encapsulado.

El servicio Vault reconoce las claves de cifrado maestras como un recurso de Oracle Cloud Infrastructure.

Versiones y rotaciones de claves

A cada clave de cifrado maestra de almacén se le asigna automáticamente una versión de clave. Al rotar una clave, el servicio Vault genera una nueva versión de clave. El servicio de almacén puede generar el material de claves para la nueva versión de clave o puede importar su propio material de claves.

La rotación periódica de claves limita la cantidad de datos cifrados o firmados por una versión de clave. Si una clave se ve comprometida, la rotación de claves reduce el riesgo. El identificador único asignado por Oracle de una clave, denominado ID de Oracle Cloud (OCID), sigue siendo el mismo en todas las rotaciones, pero la versión de clave permite al servicio de almacén rotar claves sin problemas para cumplir los requisitos de conformidad que pueda tener.

Aunque no puede utilizar una versión de clave anterior para el cifrado después de rotar una clave, la versión de clave permanece disponible para descifrar cualquier dato que haya cifrado previamente. Si rota una clave asimétrica, la clave pública ya no se puede utilizar para cifrar datos, pero la clave privada permanece disponible para descifrar datos cifrados previamente por la clave pública. Al rotar una clave asimétrica utilizada en la firma digital, ya no puede utilizar la versión de clave privada para firmar datos, pero la versión de clave pública permanece disponible para verificar la firma digital de los datos firmados previamente por la versión de clave privada anterior.

Para las claves simétricas, no es necesario realizar un seguimiento de qué versión de clave se utilizó para cifrar qué datos, porque el texto cifrado de la clave contiene la información que el servicio necesita para fines de descifrado. Sin embargo, mediante rotaciones de claves asimétricas, debe realizar un seguimiento de qué versión de clave se utilizó para cifrar o firmar qué datos. Con las claves asimétricas, el texto cifrado de la clave no contiene la información que el servicio necesita para el descifrado o la verificación.

Con las claves simétricas de AES, cada versión de clave cuenta como una versión de clave al calcular el uso de límites de servicio. Sin embargo, con las claves asimétricas RSA y ECDSA, cada versión de clave cuenta como dos al calcular el uso con respecto a los límites de servicio porque una clave asimétrica tiene una clave pública y una clave privada. (Las claves asimétricas también se conocen como pares de claves).

Rotación Automática de Claves

El servicio de gestión de claves de OCI permite programar automáticamente la rotación de claves. Un programa de rotación define la frecuencia de rotación de una clave de cifrado (en estado Activado) y la fecha de inicio del programa de rotación. Al programar la rotación automática, puede definir el programa de rotación de claves que oscila entre 60 y 365 días. KMS admite la rotación automática de claves tanto para HSM como para claves de software, y esto es aplicable tanto para claves simétricas como asimétricas.

Nota

Esta función solo está disponible para almacenes privados.

Las características destacadas de la rotación automática de claves son:

• Permite activar o actualizar programas de rotación automática de claves para claves.
• Capacidad para realizar un seguimiento de las actividades de rotación automática de claves, como el estado de rotación automática, la actualización periódica de rotación de claves, el último estado de rotación correcta o la siguiente fecha de inicio de rotación con la granularidad de una clave.
• La capacidad de rotar claves a demanda (operación manual) independientemente de la rotación automática de claves está activada o desactivada.
• Envíe una notificación de evento cuando falle la rotación de claves debido a problemas como la limitación de capacidad del inquilino, la clave o el almacén en estado incorrecto, etc.

Notificación de evento de rotación automática: KMS envía la notificación de estado de rotación de ley automática. Para recibir estas notificaciones, debe configurar el servicio OCI Events. Después de cada rotación de claves, KMS envía una notificación sobre el estado de rotación y los mensajes de error, si los hay. El servicio OCI Events permite asociar una función de Oracle para ejecutar cualquier lógica personalizada para volver a cifrar los datos con una nueva versión de clave seguida de la supresión de la versión de clave antigua o la distribución de la parte pública de claves asimétricas para agregar o verificar los datos.

MÓDULOS DE SEGURIDAD DE HARDWARE

Al crear una clave de cifrado maestra simétrica AES con el modo de protección establecido en HSM, el servicio Vault almacena la versión de clave dentro de un módulo de seguridad de hardware (HSM) para proporcionar una capa de seguridad física. (Al crear un secreto, las versiones secretas son base64-encoded y cifradas por una clave de cifrado maestra, pero no se almacenan en el HSM). Después de crear los recursos, el servicio mantiene copias de cualquier versión de clave o versión secreta determinada en la infraestructura de servicio para ofrecer resiliencia ante fallos de hardware. Las versiones de claves de las claves protegidas por HSM no se almacenan en ningún otro lugar y no se pueden exportar desde un HSM.

Al crear una clave de cifrado maestra asimétrica RSA o ECDSA con el modo de protección establecido en HSM, el servicio Vault almacena la clave privada en un HSM y no permite su exportación desde el HSM. Sin embargo, puede descargar la clave pública.

El servicio Vault utiliza los HSM que cumplen con la certificación de seguridad de nivel 3 de seguridad del sistema Federal Information Processing Standards (FIPS) 140-2. Esta certificación significa que el hardware de HSM es a prueba de alteraciones, tiene protecciones físicas para la resistencia a alteraciones, requiere autenticación basada en identidad y suprime las claves del dispositivo cuando detecta alteraciones.

CIFRADO DE SOBRE

La clave de cifrado de datos utilizada para cifrar los datos se cifra, por sí misma, con una clave de cifrado maestra. Este concepto se denomina cifrado de sobres. Los servicios de Oracle Cloud Infrastructure no tienen acceso a los datos de texto sin formato sin interactuar con el servicio Vault ni acceder a la clave de cifrado maestra protegida por Oracle Cloud Infrastructure Identity and Access Management (IAM). Para fines de descifrado, los servicios integrados como Object Storage, Block Volume y File Storage almacenan solo la forma cifrada de la clave de cifrado de datos.

SECRETOS

Los secretos son credenciales como contraseñas, certificados, claves SSH o tokens de autenticación que se utilizan con los servicios de Oracle Cloud Infrastructure. Almacenar secretos en un almacén proporciona una mayor seguridad que la que puede conseguir almacenándolos en otro lugar, como en archivos de configuración o código. Puede recuperar secretos del servicio Vault cuando los necesite para acceder a recursos u otros servicios.

Puede crear secretos mediante la consola, la CLI o la API. El contenido del secreto para un secreto se importa al servicio desde un origen externo. El servicio Vault almacena secretos en los almacenes.

El servicio Vault admite secretos como recurso de Oracle Cloud Infrastructure.

VERSIONES DEL SECRETO

A cada secreto se le asigna automáticamente una versión. Al rotar el secreto, proporciona nuevo contenido del secreto al servicio Vault para generar una nueva versión del secreto. La rotación periódica del contenido del secreto reduce el impacto en caso de que se exponga un secreto. Un identificador único de secreto asignado por Oracle, denominado ID de Oracle Cloud (OCID), no varía entre las diferentes rotaciones, pero la versión del secreto permite al servicio Vault rotar el contenido del secreto para cumplir con las reglas o los requisitos de conformidad que pueda tener. Aunque no puede utilizar el contenido de una versión del secreto anterior después de rotarla si tiene una regla configurada para evitar la reutilización del secreto, la versión del secreto permanece disponible y se marca con un estado de rotación distinto de "actual". Para obtener más información sobre las versiones del secreto y sus estados de rotación, consulte Versiones del secreto y estados de rotación.

GRUPOS DE SECRETOS

Un paquete de secreto de almacén consta del contenido del secreto, las propiedades del secreto y la versión del secreto (como el número de versión o el estado de rotación) y los metadatos contextuales proporcionados por el usuario para el secreto. Al rotar un secreto, se crea una nueva versión del secreto, que también incluye una nueva versión del grupo de secretos.

El servicio de almacén está disponible en todas las regiones comerciales de Oracle Cloud Infrastructure. Consulte Acerca de las regiones y los dominios de disponibilidad para obtener la lista de regiones disponibles, junto con las ubicaciones, los identificadores de región, las claves de región y los dominios de disponibilidad asociados.

Sin embargo, a diferencia de algunos servicios de Oracle Cloud Infrastructure, el servicio Vault no tiene un punto final regional para todas las operaciones de la API. El servicio tiene un punto final regional para el servicio de aprovisionamiento que gestiona las operaciones de creación, actualización y lista de almacenes. Para las operaciones de creación, actualización y lista de claves, los puntos finales de servicio se distribuyen entre varios clusters independientes. Los puntos finales de servicio para secretos se distribuyen más en diferentes clusters independientes.

Dado que el servicio Vault tiene puntos finales públicos, puede utilizar directamente claves de cifrado de datos generadas por el servicio para operaciones criptográficas en las aplicaciones. Sin embargo, si desea utilizar claves de cifrado maestras con un servicio que esté integrado con Vault, solo puede hacerlo cuando el servicio y el almacén que contiene la clave estén en la misma región. Existen diferentes puntos finales para operaciones de gestión de claves, operaciones criptográficas de clave, operaciones de gestión de secretos y operaciones de recuperación de secretos. Para obtener más información, consulte Documentación de API de Oracle Cloud Infrastructure

El servicio de almacén mantiene copias de los almacenes y su contenido para mantenerlos de forma duradera y hacer posible que el servicio de almacén genere claves o secretos cuando se solicite, incluso cuando un dominio de disponibilidad no esté disponible. Esta replicación es independiente de cualquier replicación entre regiones que un cliente pueda configurar.

Para las regiones con varios dominios de disponibilidad, el servicio de almacén mantiene copias de claves de cifrado en todos los dominios de disponibilidad de la región. Las regiones con varios dominios de disponibilidad tienen un rack para cada dominio de disponibilidad, lo que significa que la replicación se produce en tres racks totales en estas regiones, donde cada rack pertenece a un dominio de disponibilidad diferente. En las regiones con un único dominio de disponibilidad, el servicio de almacén mantiene las copias de claves de cifrado en los dominios de errores.

Para secretos, en regiones con varios dominios de disponibilidad, el servicio de almacén distribuye copias secretas entre dos dominios de disponibilidad diferentes. En regiones con un único dominio de disponibilidad, el servicio de almacén distribuye las copias entre dos dominios de errores diferentes.

Cada dominio de disponibilidad tiene tres dominios de errores. Los dominios de errores ayudan a proporcionar alta disponibilidad y tolerancia a fallos, ya que permiten al servicio de almacén distribuir recursos entre diferentes hardware físico dentro de un dominio de disponibilidad determinado. El hardware físico también tiene fuentes de alimentación independientes y redundantes que impiden que una interrupción del suministro eléctrico en un dominio de errores afecte a otros dominios de errores.

Todo esto permite que el servicio de almacén genere claves y secretos previa solicitud, incluso cuando un dominio de disponibilidad no está disponible en una región con varios dominios de disponibilidad o cuando un dominio de errores no está disponible en una región con un solo dominio de disponibilidad.

El servicio Vault admite el acceso privado desde recursos de Oracle Cloud Infrastructure en una red virtual en la nube (VCN) mediante un gateway de servicio. La configuración y el uso de un gateway de servicio en una VCN permite a los recursos (como las instancias a las que están asociados los volúmenes cifrados) acceder a servicios públicos de Oracle Cloud Infrastructure, como el servicio Vault, sin exponerlos a Internet. No es necesario ningún gateway de Internet y los recursos pueden estar en una subred privada y utilizar solo direcciones IP privadas. Para obtener más información, consulte Acceso a Oracle Services: Gateway de servicio.

El servicio Vault admite almacenes, claves y secretos como recursos de Oracle Cloud Infrastructure. La mayoría de los tipos de recursos de Oracle Cloud Infrastructure tienen un identificador único asignado por Oracle denominado Oracle Cloud ID (OCID). Para obtener información sobre el formato del OCID y otras formas de identificar los recursos, consulte Identificadores de recursos., consulte Identificadores de recursos.

Puede acceder a Oracle Cloud Infrastructure introduciendo su cuenta en la nube.

Puede acceder a Oracle Cloud Infrastructure (OCI) mediante la consola (una interfaz basada en explorador), la API de REST o la CLI de OCI. En esta documentación se incluyen instrucciones para utilizar la consola, la API y la CLI. Para obtener una lista de los SDK disponibles, consulte Software development kits e interfaz de línea de comandos.

Para acceder a la Console, debe utilizar un explorador soportado. Para ir a la página de conexión de la Consola, abra el menú de navegación situado en la parte superior de esta página y haga clic en Consola de Infrastructure. Se le solicitará que introduzca el inquilino en la nube, el nombre de usuario y la contraseña.

Conozca la limitación del servicio de almacén y su uso de recursos antes de empezar a utilizarlos.

Para obtener una lista de límites aplicables e instrucciones para solicitar un aumento del límite, consulte la sección sobre límites de servicio. Para definir límites específicos de compartimentos en un recurso o familia de recursos, los administradores pueden utilizar cuotas de compartimento.

Para obtener instrucciones para ver el nivel de uso en relación con los límites de recursos del arrendamiento, consulte Visualización de límites, cuotas y uso de servicio. También puede obtener el uso de cada almacén individual en relación a los límites de clave visualizando los recuentos de claves y versiones de claves en los detalles del almacén.