Visión general de almacenes, gestión de claves y gestión de secretos

Conozca los conceptos de gestión de claves y almacenes para acceder y gestionar almacenes, claves y secretos.

Almacenes

Los almacenes son entidades lógicas en las que el servicio Key Management crea y almacena de forma duradera claves y secretos de almacén. El tipo de almacén que tenga determinará las funciones y funcionalidades, como grados de aislamiento del almacenamiento, acceso a gestión y cifrado, escalabilidad y capacidad de copia de seguridad. El tipo de almacén que tenga también afecta a la asignación de precios. No puede cambiar el tipo de un almacén después de crear el almacén.

El servicio Key Management ofrece diferentes tipos de almacén para adaptarse a las necesidades y el presupuesto de su organización. Todos los tipos de almacén garantizan la seguridad e integridad de las claves de cifrado y los secretos que almacenan los almacenes. Un almacén privado virtual es una partición aislada de un módulo de seguridad de hardware (HSM). De lo contrario, se comparten particiones en el HSM con otros almacenes.

Los almacenes privados virtuales incluyen 1000 versiones de claves por defecto. Si no necesita el mayor grado de aislamiento o la capacidad de realizar una copia de seguridad del almacén, no necesita un almacén privado virtual. Si no cuenta con un almacén privado virtual, puede gestionar los costos pagando las versiones de clave de forma individual, según las necesidades. (Las versiones de claves cuentan para el límite y los costes de claves. Una clave de almacén siempre contiene al menos una versión de clave activa. Del mismo modo, un secreto siempre tiene al menos una versión del secreto. Sin embargo, los límites de los secretos se aplican al arrendamiento, en lugar de a un almacén.)

Para los clientes que cumplen con las normativas para almacenar claves fuera de la nube de Oracle o de cualquier entorno local en la nube de terceros, OCI KMS ahora ofrece una funcionalidad denominada External Key Management Service (External KMS). En KMS externo, puede almacenar y controlar claves de cifrado maestras (como claves externas) en un sistema de gestión de claves de terceros alojado fuera de OCI. A continuación, puede utilizar estas claves para cifrar los datos en Oracle. También puede desactivar las claves en cualquier momento. Con las claves reales que residen en el sistema de gestión de claves de terceros, solo crea referencias de claves (asociadas al material de claves) en OCI.

OCI KMS ofrece el KMS dedicado, que es un recurso de partición de HSM de inquilino único gestionado por el cliente y de alta disponibilidad como servicio. Le permite tener un mayor control al poseer la partición HSM y las claves cifradas y los usuarios de la partición. En una configuración de KMS dedicado, el cluster de HSM incluye tres particiones de HSM por defecto, que se sincronizan automáticamente. Puede gestionar claves y usuarios en los HSM integrados con instancias informáticas de OCI mediante utilidades de cliente y bibliotecas PKCS #11. El KMS dedicado solo admite claves protegidas por HSM y no admite claves protegidas por software. Para operaciones criptográficas, la solución admite cifrado simétrico y asimétrico mediante algoritmos AES, RSA y ECDSA.

El servicio Vault designa los almacenes como un recurso de Oracle Cloud Infrastructure.

Claves

Las claves son entidades lógicas que representan una o más versiones de clave, cada una de las cuales contiene material criptográfico. El material criptográfico de una clave de almacén se genera para un algoritmo específico que le permite utilizar la clave para el cifrado o la firma digital. Cuando se utiliza para el cifrado, un par de claves o claves cifra y descifra datos, protegiendo los datos donde se almacenan los datos o mientras los datos están en tránsito. Con una clave simétrica AES, la misma clave cifra y descifra los datos. Con una clave asimétrica RSA, la clave pública cifra los datos y la clave privada descifra los datos.

Puede utilizar claves AES en el cifrado y el descifrado, pero no en la firma digital. Sin embargo, las claves RSA se pueden utilizar no solo para cifrar y descifrar datos, sino también para firmar datos digitalmente y verificar la autenticidad de los datos firmados. Puede utilizar claves ECDSA en la firma digital, pero no para cifrar o descifrar datos.

Cuando se procesa como parte de un algoritmo de cifrado, una clave especifica cómo transformar el texto sin formato en texto cifrado durante el proceso de cifrado y cómo transformar el texto cifrado en texto sin formato durante el descifrado. Cuando se procesan como parte de un algoritmo de firma, juntos, la clave privada de una clave asimétrica y un mensaje producen una firma digital que va con el mensaje en tránsito. Cuando el destinatario del mensaje firmado procesa como parte de un algoritmo de verificación de firma, el mensaje, la firma y la clave pública de la misma clave asimétrica confirman o niegan la autenticidad e integridad del mensaje.

Conceptualmente, el servicio Key Management reconoce tres tipos de claves de cifrado: claves de cifrado maestras, claves de encapsulado y claves de cifrado de datos.

Los algoritmos de cifrado que admite el servicio Key Management para claves de cifrado maestras de almacén incluyen AES, RSA y ECDSA. Puede crear claves de cifrado maestro AES, RSA o ECDSA mediante la consola, CLI o API. Al crear una clave de cifrado maestra, el servicio Key Management puede generar el material de claves internamente o puede importar el material de claves al servicio desde un origen externo. (El soporte para importar material de claves depende del algoritmo de cifrado del material de claves). Al crear claves de cifrado maestras de almacén, las crea en un almacén, pero donde se almacena y procesa una clave depende de su modo de protección.

Las claves de cifrado maestras de almacén pueden tener uno de dos modos de protección: HSM o software. Una clave de cifrado maestra protegida por un HSM se almacena en un HSM y no se puede exportar desde el HSM. Todas las operaciones criptográficas que implican la clave también se realizan en el HSM. Mientras tanto, una clave de cifrado maestra protegida por software se almacena en un servidor y, por lo tanto, se puede exportar desde el servidor para realizar operaciones criptográficas en el cliente en lugar de en el servidor. Mientras está en reposo, la clave protegida por software se cifra mediante una clave raíz en el HSM. Para una clave protegida por software, cualquier procesamiento relacionado con la clave ocurre en el servidor. El modo de protección de una clave afecta a los precios y no se puede cambiar después de crear la clave.

Después de crear su primera clave de cifrado maestra simétrica, puede utilizar la API para generar claves de cifrado de datos que el servicio Key Management le devuelve. Tenga en cuenta que una clave de cifrado de datos debe tener una seguridad de cifrado igual o mayor que la clave de cifrado maestra utilizada para crearla. Algunos servicios pueden utilizar una clave de cifrado maestra simétrica para generar sus propias claves de cifrado de datos.

Un tipo de clave de cifrado que se incluye con cada almacén por defecto es una clave de encapsulado. Una clave de encapsulado es una clave de cifrado asimétrica de 4096 bits basada en el algoritmo RSA. El par de claves públicas y privadas no cuenta para los límites de servicio. Tampoco incurren en costos de servicio. Utilice la clave pública como la clave de cifrado de claves cuando necesite encapsular material de claves para su importación en el servicio Key Management. No puede crear, suprimir ni rotar claves de ajuste.

El servicio Key Management reconoce las claves de cifrado maestras como un recurso de Oracle Cloud Infrastructure.

Versiones y rotaciones de claves

A cada clave de cifrado maestra se le asigna automáticamente una versión de clave. Al rotar una clave, el servicio Key Management genera una nueva versión de clave. El servicio Key Management puede generar el material de claves para la nueva versión de claves o puede importar su propio material de claves.

La rotación periódica de claves limita la cantidad de datos cifrados o firmados por una versión de clave. Si una clave nunca se ve comprometida, la rotación de claves reduce el riesgo. El identificador único de clave asignado por el Oracle, denominado identificador de Oracle Cloud (OCID), no varía entre los diferentes rotaciones, pero la versión de clave permite que el servicio Key Management rote con facilidad las claves para cumplir con los requisitos que pueda tener.

Aunque no puede utilizar una versión de clave anterior para el cifrado después de rotar una clave, la versión de clave sigue disponible para descifrar los datos que se han utilizado para cifrar. Si rota una clave asimétrica, la clave pública ya no se puede utilizar para cifrar los datos, pero la clave privada permanece disponible para descifrar los datos cifrados por la clave pública. Al rotar una clave asimétrica utilizada en la firma digital, ya no puede utilizar la versión de clave privada para firmar datos, pero la versión de clave pública permanece disponible para verificar la firma digital de los datos firmados anteriormente por la versión de clave privada anterior.

En el caso de las claves simétricas, no es necesario realizar un seguimiento de la versión de la clave utilizada para cifrar los datos, ya que el texto de cifrado de la clave contiene la información que necesita el servicio con fines de descifrado. Sin embargo, mediante rotaciones de claves asimétricas, debe realizar un seguimiento de qué versión de clave se ha utilizado para cifrar o firmar qué datos. Con las claves asimétricas, el texto cifrado de la clave no contiene la información que el servicio necesita para el descifrado o la verificación.

Con las claves simétricas de AES, cada versión de clave cuenta como una versión de clave al calcular el uso de límites de servicio. Sin embargo, con las claves asimétricas RSA y ECDSA, cada versión de clave cuenta como dos al calcular el uso con respecto a los límites de servicio porque una clave asimétrica tiene una clave pública y una clave privada. (Las claves asimétricas también se conocen como pares de claves).

Rotación Automática de Claves

Nota

Esta función solo está disponible para almacenes privados.

El servicio Key Management de OCI le permite programar la rotación automática de claves para una clave de cifrado en un almacén privado virtual. Cuando configura la rotación automática, define la frecuencia de rotación y la fecha de inicio del programa de rotación. Para la frecuencia, eligió un intervalo de rotación entre 60 días y 365 días. KMS admite la rotación automática de claves para HSM y claves de software, y admite la rotación automática de claves simétricas y asimétricas. Tenga en cuenta que una clave debe estar en el estado "enabled" (activada) para configurar la rotación automática.

Características y requisitos de la rotación automática de claves:

• Puede actualizar el programa de rotación de una clave después de activar la rotación automática, según sea necesario.
• Puede rotar una clave bajo demanda (realizar una rotación manual) cuando la rotación automática de claves está activada para la clave.
• Puede realizar un seguimiento de las actividades automáticas de rotación de claves de una clave, incluidos el último estado de rotación y el mensaje de estado, las actualizaciones del intervalo de rotación y la siguiente fecha de inicio de rotación.
• Puede enviar una notificación de evento si falla una rotación de claves.

Notificación de evento de rotación automática: para recibir notificaciones automáticas de evento de rotación de claves, debe configurar el servicio OCI Events. Después de cada rotación de claves, KMS envía una notificación sobre el estado de rotación y los mensajes de error, si los hay. El servicio OCI Events permite utilizar reglas de eventos para llamar a una función, que puede utilizar para la automatización. Por ejemplo, puede utilizar funciones para automatizar las siguientes tareas:

• Volver a cifrar los datos con una nueva versión de clave
• Eliminar una versión antigua de la clave
• Distribuir la parte pública de las claves asimétricas para firmar o verificar los datos

Consulte Creación de una regla de eventos y Visión general de funciones para obtener más información.

Módulos de Seguridad de Hardware

Cuando crea una clave simétrica de cifrado maestra de AES con el modo de protección establecido en HSM, el servicio Key Management almacena la versión de la clave en un módulo de seguridad de hardware (HSM) para proporcionar una capa del nivel de seguridad físico. (Al crear un secreto, las versiones de secreto se codifican en base64 y se cifran mediante una clave de cifrado maestra, pero no se almacenan en HSM). Después de crear los recursos, el servicio mantiene copias de cualquier versión de clave o secreto dentro de la infraestructura de servicio para proporcionar resiliencia frente a fallos de hardware. Las versiones clave de las claves protegidas por HSM no se almacenan en ningún otro lugar y no se pueden exportar desde un HSM.

Cuando crea una clave de cifrado maestra asimétrica de RSA o ECDSA con el modo de protección establecido en HSM, el servicio Key Management almacena la clave privada dentro de un HSM y no permite su exportación desde el HSM. Sin embargo, puede descargar la clave pública.

El servicio Key Management utiliza los HSM que cumplen con la certificación de seguridad de nivel 3 de seguridad del sistema Federal Information Processing Standards (FIPS) 140-2. Esta certificación significa que el hardware de HSM es a prueba de alteraciones, cuenta con medidas de protección física frente a alteraciones, requiere autenticación basada en identidades y suprime las claves del dispositivo cuando detecta alteraciones.

Cifrado de sobres

La clave de cifrado de datos utilizada para cifrar los datos se cifra, por sí misma, con una clave de cifrado maestra. Este concepto se denomina cifrado de sobres. Los servicios de Oracle Cloud Infrastructure no tienen acceso a los datos de texto sin formato sin interactuar con el servicio Key Management y sin acceso a la clave del cifrado maestra protegida por Oracle Cloud Infrastructure Identity and Access Management (IAM). Para el descifrado, los servicios integrados como Object Storage, Block Volume y File Storage solo almacenan la forma cifrada de la clave de cifrado del dato.

Secretos

Los secretos son credenciales como contraseñas, certificados, claves SSH o tokens de autenticación que se utilizan con los servicios de Oracle Cloud Infrastructure. Almacenar secretos en un almacén proporciona una mayor seguridad que la que puede conseguir almacenándolos en otro lugar, como en archivos de configuración o código. Puede recuperar secretos del servicio Key Management cuando los necesite para acceder a recursos u otros servicios.

Puede crear secretos mediante la consola, la CLI o la API. El contenido del secreto para un secreto se importa al servicio desde un origen externo. El servicio Vault almacena secretos en los almacenes.

El servicio Key Management admite secretos como recurso de Oracle Cloud Infrastructure.

Versiones del secreto

A cada secreto se le asigna automáticamente una versión. Al rotar un secreto, proporciona nuevo contenido del secreto al servicio Key Management para generar una nueva versión de secreto. La rotación periódica del contenido del secreto reduce el impacto en caso de que se exponga un secreto. El identificador único de Oracle Cloud (OCID) de un secreto sigue siendo el mismo en todas las rotaciones, pero la versión del secreto permite que el servicio Key Management rote el contenido de un secreto para cumplir con las reglas o los requisitos que pueda tener. Aunque no puede utilizar el contenido de una versión del secreto anterior después de rotarla si tiene una regla configurada para evitar la reutilización del secreto, la versión del secreto permanece disponible y se marca con un estado de rotación distinto de "actual". Para obtener más información sobre las versiones del secreto y sus estados de rotación, consulte Versiones del secreto y estados de rotación.

Grupos de secretos

Un paquete de secreto de almacén consta del contenido del secreto, las propiedades del secreto y la versión del secreto (como el número de versión o el estado de rotación) y los metadatos contextuales proporcionados por el usuario para el secreto. Al rotar un secreto, se crea una nueva versión del secreto, que también incluye una nueva versión del grupo de secretos.

El servicio de almacén está disponible en todas las regiones comerciales de Oracle Cloud Infrastructure. Consulte Acerca de las regiones y los dominios de disponibilidad para obtener la lista de regiones disponibles, junto con las ubicaciones, los identificadores de región, las claves de región y los dominios de disponibilidad asociados.

Sin embargo, a diferencia de algunos servicios de Oracle Cloud Infrastructure, el servicio Vault no tiene un punto final regional para todas las operaciones de la API. El servicio tiene un punto final regional para el servicio de aprovisionamiento que gestiona las operaciones de creación, actualización y lista de almacenes. Para las operaciones de creación, actualización y lista de claves, los puntos finales de servicio se distribuyen entre varios clusters independientes. Los puntos finales de servicio para secretos se distribuyen más en diferentes clusters independientes.

Dado que el servicio Vault tiene puntos finales públicos, puede utilizar directamente claves de cifrado de datos generadas por el servicio para operaciones criptográficas en las aplicaciones. Sin embargo, si desea utilizar claves de cifrado maestras con un servicio que esté integrado con Vault, solo puede hacerlo cuando el servicio y el almacén que contiene la clave estén en la misma región. Existen diferentes puntos finales para operaciones de gestión de claves, operaciones criptográficas de clave, operaciones de gestión de secretos y operaciones de recuperación de secretos. Para obtener más información, consulte Documentación de API de Oracle Cloud Infrastructure

El servicio Vault mantiene copias de los almacenes y su contenido para mantenerlos de forma duradera y para que el servicio Vault pueda producir claves o secretos a petición, incluso cuando un dominio de disponibilidad no esté disponible. Esta replicación es independiente de cualquier replicación entre regiones que un cliente pueda configurar.

Para las regiones con varios dominios de disponibilidad, el servicio Vault mantiene copias de claves de cifrado en todos los dominios de disponibilidad de la región. Las regiones con varios dominios de disponibilidad tienen un rack por cada dominio de disponibilidad, lo que significa que la replicación tiene lugar en un total de tres racks de estas regiones, donde cada rack pertenece a un dominio de disponibilidad diferente. En regiones con un único dominio de disponibilidad, el servicio Vault mantiene copias de claves de cifrado en los dominios de errores.

En el caso de los secretos, en regiones con varios dominios de disponibilidad, el servicio Vault distribuye copias secretas entre dos dominios de disponibilidad diferentes. En regiones con un único dominio de disponibilidad, el servicio Vault distribuye las copias entre los dos dominios de errores diferentes.

Cada dominio de disponibilidad incluye tres dominios de errores. Los dominios de errores ayudan a proporcionar una alta disponibilidad y tolerancia a fallos al permitir que el servicio Vault distribuya recursos entre diferentes hardware físico dentro de un dominio de disponibilidad determinado. El hardware físico también tiene fuentes de alimentación independientes y redundantes que evitan que una interrupción de energía en un dominio de errores afecte a otros dominios de errores.

Todo ello hace posible que el servicio Vault genere claves y secretos bajo solicitud, incluso cuando un dominio de disponibilidad no está disponible en una región con varios dominios de disponibilidad o cuando un dominio de errores no está disponible en una región con un solo dominio de disponibilidad.

El servicio Vault admite el acceso privado desde recursos de Oracle Cloud Infrastructure en una red virtual en la nube (VCN) mediante un gateway de servicio. La configuración y el uso de un gateway de servicio en una VCN permite a los recursos (como las instancias a las que están asociados los volúmenes cifrados) acceder a servicios públicos de Oracle Cloud Infrastructure, como el servicio Vault, sin exponerlos a Internet. No es necesario ningún gateway de Internet y los recursos pueden estar en una subred privada y utilizar solo direcciones IP privadas. Para obtener más información, consulte Acceso a Oracle Services: Gateway de servicio.

El servicio Vault admite almacenes, claves y secretos como recursos de Oracle Cloud Infrastructure. La mayoría de los tipos de recursos de Oracle Cloud Infrastructure tienen un identificador único asignado por Oracle denominado ID de Oracle Cloud (OCID). Para obtener información sobre el formato de OCID y otras maneras de identificar los recursos, consulte Identificadores de recursos..

Puede acceder a Oracle Cloud Infrastructure introduciendo su cuenta en la nube.

Puede acceder a Oracle Cloud Infrastructure (OCI) utilizando la consola (una interfaz basada en explorador), la API de REST o la CLI de OCI. A lo largo de esta documentación se incluyen temas con instrucciones para utilizar la consola, la API y la CLI. Para obtener una lista de los SDK disponibles, consulte Interfaz de línea de comandos y kits de desarrollo de software.

Para acceder a la consola, debe utilizar un explorador soportado. Para ir a la página de conexión de la consola, abra el menú de navegación situado en la parte superior de esta página y seleccione Consola de Infrastructure. Se le solicitará que introduzca el inquilino en la nube, el nombre de usuario y la contraseña.

Conozca la limitación del servicio de almacén y su uso de recursos antes de empezar a utilizarlos.

Para obtener una lista de límites aplicables e instrucciones para solicitar un aumento del límite, consulte Límites de servicio. Para definir límites específicos de compartimentos en un recurso o familia de recursos, los administradores pueden utilizar cuotas de compartimento.

Para obtener instrucciones para ver el nivel de uso en relación con los límites de recursos del arrendamiento, consulte Visualización de límites, cuotas y uso de servicio. También puede obtener el uso de cada almacén individual en relación a los límites de clave visualizando los recuentos de claves y versiones de claves en los detalles del almacén.