Visión general de Vault

Oracle Cloud Infrastructure Vault es un servicio de gestión de claves que almacena y gestiona claves de cifrado y secretos para acceder de forma segura a los recursos.

El almacén permite almacenar de forma segura secretos y claves de cifrado maestras que puede almacenar en los archivos de configuración o en el código. Específicamente, según el modo de protección, las claves se almacenan en el servidor o se almacenan en módulos de seguridad de hardware de alta disponibilidad y durabilidad (HSM) que cumplen con la certificación de seguridad del nivel 3 de seguridad del sistema Federal Information Processing Standards (FIPS) 140-2.

Los algoritmos de cifrado de claves que admite el servicio Vault incluyen el estándar de cifrado avanzado (AES), el algoritmo Rivest-Shamir-Adleman (RSA) y el algoritmo de firma digital de curva elíptica (ECDSA). Puede crear y utilizar claves simétricas AES y claves asimétricas RSA para cifrado y descifrado. También puede utilizar claves asimétricas RSA o ECDSA para firmar mensajes digitales.

Puede utilizar el servicio Vault para crear y gestionar los siguientes recursos:

  • Almacenes
  • Claves
  • Secretos

Puede utilizar el servicio Vault para utilizar las siguientes funciones de gestión del ciclo de vida para almacenes, claves de cifrado maestras y secretos, lo que le ayudará a controlar estos recursos y acceder a ellos:

  • Crear almacenes
  • Crear o importar material criptográfico como claves de cifrado maestras.
  • Crear secretos para almacenar credenciales secretas
  • Activar o desactivar las claves de cifrado maestras para su uso en operaciones criptográficas.
  • Rotar las claves para generar un nuevo material criptográfico
  • Exporte los metadatos de clave o almacén a una copia de seguridad que pueda restaurar y utilizar de nuevo más adelante.
  • Replicar continuamente un almacén y sus claves en otra región del dominio
  • Actualizar secretos con nuevo contenido de secreto
  • Especificar la versión del secreto que se está utilizando actualmente en el ascenso
  • Configurar reglas para controlar la gestión y el uso de secretos
  • Etiquetar almacenes, claves de cifrado maestras o secretos para agregar metadatos a los recursos
  • Suprima los almacenes, las claves o los secretos cuando ya no sean necesarios.

Independientemente del uso de las claves de cifrado maestras, puede hacer lo siguiente:

  • Utilizar claves para el cifrado y descifrado de datos mientras están en reposo o en tránsito
  • Utilizar claves para firmar mensajes y verificar mensajes firmados
  • Asignar claves a recursos compatibles de Oracle Cloud Infrastructure, incluidos, entre otros, cubos y sistemas de archivos
  • Generar claves de cifrado de datos

Los siguientes servicios se integran con el servicio Vault para soportar el uso de claves gestionadas por el cliente para cifrar datos en sus recursos respectivos especificados:

  • Oracle Cloud Infrastructure Block Volume: volúmenes en bloque y de inicio
  • Oracle Cloud Infrastructure Container Engine for Kubernetes: secretos estáticos de Kubernetes en el almacén de clave-valor etcd (solo al crear nuevos clusters)
  • Oracle Cloud Infrastructure Database: bases de datos de contenedor autónomas en infraestructura de Exadata autónoma y bases de datos de Exadata dedicadas. Tenga en cuenta que el servicio de base de datos Exadata en bases de datos de infraestructura dedicada que utilizan Oracle Data Guard debe tener tanto la base de datos primaria como la base de datos en espera en la misma región al utilizar claves gestionadas por el cliente.

  • Oracle Cloud Infrastructure File Storage: sistemas de archivos
  • Oracle Cloud Infrastructure Object Storage: bloques
  • Oracle Cloud Infrastructure Streaming: pools de flujos

Además, la integración con Oracle Cloud Infrastructure Identity and Access Management ( IAM) permite controlar quién y qué servicios pueden acceder a qué claves y secretos, y qué acciones pueden realizar con esos recursos. La integración de Oracle Cloud Infrastructure Audit proporcionar una forma de supervisar el uso de claves y secretos. Audit realiza un seguimiento de acciones administrativas en almacenes, claves y secretos.

Consejo

Vea una introducción en vídeo al servicio.

Conceptos de gestión de secretos y claves

Comprenda los conceptos de gestión de claves y almacén para acceder y gestionar almacenes, claves y secretos.

ALMACENES
Los almacenes son entidades lógicas en las que el servicio Vault crea y almacena de forma duradera claves y secretos. El tipo de almacén que tenga determinará las funciones y funcionalidades, tales como grados de aislamiento del almacenamiento, acceso a gestión y cifrado, escalabilidad y capacidad de realizar copias de seguridad. El tipo de almacén que tenga también afecta a la asignación de precios. No puede cambiar el tipo de un almacén después de crear el almacén.
El servicio Vault ofrece diferentes tipos de almacén para adaptarse a las necesidades y el presupuesto de su organización. Todos los tipos de almacén garantizan la seguridad e integridad de los secretos y claves de cifrado que almacenan los almacenes. Un almacén privado virtual es una partición aislada de un módulo de seguridad de hardware (HSM). De lo contrario, se comparten particiones en el HSM con otros almacenes.
Los almacenes privados virtuales incluyen 1000 versiones de claves por defecto. Si no necesita el mayor grado de aislamiento o la capacidad de realizar una copia de seguridad del almacén, no necesita un almacén privado virtual. Sin un almacén privado virtual, puede gestionar los costos pagando las versiones de clave de forma individual, según las necesidades. (Las versiones de claves cuentan para el límite y los costes de claves. Una clave siempre contiene al menos una versión de clave activa. Del mismo modo, un secreto siempre tiene al menos una versión del secreto. Sin embargo, los límites de los secretos se aplican al arrendamiento, en lugar de a un almacén.)
El servicio Vault designa los almacenes como un recurso de Oracle Cloud Infrastructure.
CLAVES
Las claves son entidades lógicas que representan una o más versiones de claves, cada una de las cuales contiene material criptográfico. El material criptográfico de una clave se genera para un algoritmo específico que le permite utilizar la clave para el cifrado o en la firma digital. Cuando se utiliza para el cifrado, un par de claves o claves cifra y descifra datos, protege los datos en los que se almacenan o mientras los datos están en tránsito. Con una clave simétrica AES, la misma clave cifra y descifra los datos. Con una clave asimétrica RSA, la clave pública cifra los datos y la clave privada descifra los datos.
Puede utilizar claves AES en el cifrado y descifrado, pero no en la firma digital. Sin embargo, las claves RSA se pueden utilizar no solo para cifrar y descifrar datos, sino también para firmar datos digitalmente y verificar la autenticidad de los datos firmados. Puede utilizar claves ECDSA en la firma digital, pero no para cifrar ni descifrar datos.
Cuando se procesa como parte de un algoritmo de cifrado, una clave especifica cómo transformar el texto sin formato en texto cifrado durante el proceso de cifrado y cómo transformar el texto cifrado en texto sin formato durante el descifrado. Cuando se procesa como parte de un algoritmo de firma, la clave privada de una clave asimétrica y un mensaje producen una firma digital que acompaña al mensaje en tránsito. Cuando se procesa como parte de una firma que verifica el algoritmo por el destinatario del mensaje firmado, el mensaje, la firma y la clave pública de la misma clave asimétrica confirman o deniegan la autenticidad y la integridad del mensaje.
Teóricamente, el servicio Vault reconoce tres tipos de claves de cifrado: claves de cifrado maestras, claves de encapsulado y claves de cifrado de datos.
Los algoritmos de cifrado que el servicio Vault admite para claves de cifrado maestras incluyen AES, RSA y ECDSA. Puede crear claves de cifrado maestras AES, RSA o ECDSA mediante la consola, CLI o API. Al crear una clave de cifrado maestra, el servicio Vault puede generar el material de claves internamente o puede importar el material de claves al servicio desde un origen externo. (El soporte para importar material de claves depende del algoritmo de cifrado del material de claves). Al crear claves de cifrado maestras, las crea en un almacén, pero donde se almacena y procesa una clave depende de su modo de protección.
Las claves de cifrado maestras pueden tener uno de los dos modos de protección: HSM o software. Una clave de cifrado maestra protegida por un HSM se almacena en un HSM y no se puede exportar desde el HSM. Todas las operaciones criptográficas que incluyen la clave también tienen lugar en el HSM. Mientras tanto, una clave de cifrado maestra protegida por software se almacena en un servidor y, por lo tanto, se puede exportar del servidor para realizar operaciones criptográficas en el cliente en lugar de en el servidor. Mientras está en reposo, la clave protegida por software está cifrada por una clave raíz en el HSM. Para una clave protegida por software, cualquier procesamiento relacionado con la clave se produce en el servidor. El modo de protección de una clave afecta a los precios y no se puede cambiar después de crear la clave.
Después de crear su primera clave de cifrado maestra simétrica, puede utilizar la API para generar claves de cifrado de datos que el servicio Vault le devuelve. Algunos servicios también pueden utilizar una clave de cifrado maestra simétrica para generar sus propias claves de cifrado de datos.
Un tipo de clave de cifrado que se incluye con cada almacén por defecto es una clave de encapsulado. Una clave de ajuste es una clave de cifrado asimétrica de 4096 bits basada en el algoritmo RSA. El par de claves pública y privada no se cuenta con respecto a los límites de servicio. Tampoco incurren en costos de servicio. Utilice la clave pública como clave de cifrado de claves cuando necesite encapsular el material de claves para importarlo en el servicio Vault. No puede crear, suprimir ni rotar claves de encapsulado.
El servicio Vault reconoce las claves de cifrado maestras como un recurso de Oracle Cloud Infrastructure.
VERSIONES DE CLAVE
A cada clave de cifrado maestra se le asigna automáticamente una versión de clave. Al rotar una clave, el servicio Vault genera una nueva versión de clave. El servicio Vault puede generar el material de claves para la nueva versión de clave o puede importar su propio material de claves.
La rotación periódica de claves limita la cantidad de datos cifrados o firmados por una versión de clave. Si una clave nunca se ve afectada, la rotación de claves reduce el riesgo. El identificador único de clave asignado por Oracle, denominado ID de Oracle Cloud ID (OCID), no varía entre las distintas rotaciones, pero la versión de clave permite al servicio Vault rotar con facilidad las claves para cumplir con los requisitos de conformidad que pueda tener.
Aunque no puede utilizar una versión de clave anterior para el cifrado después de rotar una clave, la versión de clave sigue estando disponible para descifrar los datos cifrados previamente. Si rota una clave asimétrica, la clave pública ya no se puede utilizar para cifrar datos, pero la clave privada permanece disponible para descifrar datos previamente cifrados por la clave pública. Al rotar una clave asimétrica utilizada en la firma digital, ya no puede utilizar la versión de clave privada para firmar datos, pero la versión de clave pública permanece disponible para verificar la firma digital de los datos firmados anteriormente por la versión de clave privada anterior.
Para las claves simétricas, no es necesario realizar un seguimiento de la versión de clave utilizada para cifrar los datos porque el texto de cifrado de la clave contiene la información que necesita el servicio para fines de descifrado. Sin embargo, mediante rotaciones de claves asimétricas, debe realizar un seguimiento de la versión de clave utilizada para cifrar o firmar los datos. Con claves asimétricas, el texto cifrado de la clave no contiene la información que el servicio necesita para el descifrado o la verificación.
Con las claves simétricas AES, cada versión de clave cuenta como una versión clave al calcular el uso de límites de servicio. Sin embargo, con claves asimétricas RSA y ECDSA, cada versión de clave cuenta como dos al calcular el uso según los límites de servicio, ya que una clave asimétrica tiene una clave pública y una clave privada. (Las claves asimétricas también se conocen como pares de claves).
MÓDULOS DE SEGURIDAD DE HARDWARE
Al crear una clave de cifrado maestra simétrica de AES con el modo de protección establecido en HSM, el servicio Vault almacena la versión de la clave en un módulo de seguridad de hardware (HSM) para proporcionar una capa de seguridad física. (Al crear un secreto, las versiones del secreto se codifican en base64 y se cifran con una clave de cifrado maestra, pero no se almacenan en HSM). Después de crear los recursos, el servicio mantiene copias de cualquier versión de clave o versión secreta en la infraestructura de servicio para ofrecer resiliencia ante fallos de hardware. Las versiones clave de las claves protegidas por HSM no se almacenan en ningún otro lugar y no se pueden exportar de ningún HSM.
Al crear una clave de cifrado maestra asimétrica RSA o ECDSA con el modo de protección establecido en HSM, el servicio Vault almacena la clave privada en un HSM y no permite su exportación desde el HSM. Sin embargo, puede descargar la clave pública.
El servicio Vault utiliza los HSM que cumplen con la certificación de seguridad de nivel 3 de seguridad del sistema Federal Information Processing Standards (FIPS) 140-2. Esta certificación significa que el hardware de HSM es a prueba de alteraciones, cuenta con medidas de protección física frente a alteraciones, requiere autenticación basada en identidades y suprime las claves del dispositivo cuando detecta alteraciones.
CIFRADO DE SOBRE
La clave de cifrado de datos utilizada para cifrar los datos se cifra, por sí misma, con una clave de cifrado maestra. Este concepto se denomina cifrado de sobres. Los servicios de Oracle Cloud Infrastructure no tienen acceso a los datos de texto sin formato sin interactuar con el servicio Vault ni acceder a la clave de cifrado maestra protegida por Oracle Cloud Infrastructure Identity and Access Management (IAM). Para el cifrado, los servicios integrados como Object Storage, Block Volumes y File Storage solo almacenan la forma cifrada de la clave de cifrado de datos.
SECRETOS
Los secretos son credenciales como contraseñas, certificados, claves SSH o tokens de autenticación que se utilizan con los servicios de Oracle Cloud Infrastructure. Almacenar secretos en un almacén proporciona una mayor seguridad que la que puede conseguir almacenándolos en otro lugar, como en archivos de configuración o código. Puede recuperar secretos del servicio Vault cuando los necesite para acceder a recursos u otros servicios.
Puede crear secretos mediante la consola, la CLI o la API. El contenido del secreto para un secreto se importa al servicio desde un origen externo. El servicio Vault almacena secretos en los almacenes.
El servicio Vault admite secretos como recurso de Oracle Cloud Infrastructure.
VERSIONES DEL SECRETO
A cada secreto se le asigna automáticamente una versión. Al rotar el secreto, proporciona nuevo contenido del secreto al servicio Vault para generar una nueva versión del secreto. La rotación periódica del contenido del secreto reduce el impacto en caso de que se exponga un secreto. Un identificador único de secreto asignado por Oracle, denominado ID de Oracle Cloud (OCID), no varía entre las diferentes rotaciones, pero la versión del secreto permite al servicio Vault rotar el contenido del secreto para cumplir con las reglas o los requisitos de conformidad que pueda tener. Aunque no puede utilizar el contenido de una versión del secreto anterior después de rotarla si tiene una regla configurada para evitar la reutilización del secreto, la versión del secreto permanece disponible y se marca con un estado de rotación distinto de "actual". Para obtener más información sobre las versiones del secreto y sus estados de rotación, consulte Versiones del secreto y estados de rotación.
GRUPOS DE SECRETOS
Un grupo de secretos consta del contenido del secreto, las propiedades del secreto y la versión del secreto (como el número de versión o el estado de rotación) y los metadatos contextuales proporcionados por el usuario para el secreto. Al rotar un secreto, se crea una nueva versión del secreto, que también incluye una nueva versión del grupo de secretos.

Regiones y dominios disponibilidad

El servicio de almacén está disponible en todas las regiones comerciales de Oracle Cloud Infrastructure. Consulte Acerca de las regiones y los dominios de disponibilidad para obtener la lista de regiones disponibles, junto con las ubicaciones, los identificadores de región, las claves de región y los dominios de disponibilidad asociados.

Sin embargo, a diferencia de algunos servicios de Oracle Cloud Infrastructure, el servicio Vault no tiene un punto final regional para todas las operaciones de la API. El servicio tiene un punto final regional para el servicio de aprovisionamiento que gestiona las operaciones de creación, actualización y lista de almacenes. Para las operaciones de creación, actualización y lista de claves, los puntos finales de servicio se distribuyen entre varios clusters independientes. Los puntos finales de servicio para secretos se distribuyen más en diferentes clusters independientes.

Dado que el servicio Vault tiene puntos finales públicos, puede utilizar directamente claves de cifrado de datos generadas por el servicio para operaciones criptográficas en las aplicaciones. Sin embargo, si desea utilizar claves de cifrado maestras con un servicio que esté integrado con Vault, solo puede hacerlo cuando el servicio y el almacén que contiene la clave estén en la misma región. Existen diferentes puntos finales para operaciones de gestión de claves, operaciones criptográficas de clave, operaciones de gestión de secretos y operaciones de recuperación de secretos. Para obtener más información, consulte Documentación de API de Oracle Cloud Infrastructure

El servicio Vault mantiene copias de almacenes y su contenido para mantenerlos de forma duradera y para que el servicio Vault pueda producir claves o secretos a petición, incluso cuando un dominio de disponibilidad no está disponible. Esta replicación es independiente de cualquier replicación entre regiones que un cliente pueda configurar.

Para las regiones con varios dominios de disponibilidad, el servicio de Vault mantiene copias de claves de cifrado en todos los dominios de disponibilidad de la región. Las regiones con varios dominios de disponibilidad tienen un rack para cada dominio de disponibilidad, lo que significa que la replicación se realiza en tres racks totales en estas regiones, donde cada rack pertenece a un dominio de disponibilidad diferente. En las regiones con un único dominio de disponibilidad, el servicio de almacén mantiene copias de claves de cifrado en los dominios de errores.

Para secretos, en regiones con varios dominios de disponibilidad, el servicio Vault distribuye copias secretas en dos dominios de disponibilidad diferentes. En las regiones con un único dominio de disponibilidad, el servicio de almacén distribuye las copias en dos dominios de errores diferentes.

Cada dominio de disponibilidad tiene tres dominios de errores. Los dominios de errores ayudan a proporcionar alta disponibilidad y tolerancia a fallos, lo que permite al servicio Vault distribuir recursos en diferentes hardware físico dentro de un dominio de disponibilidad determinado. El propio hardware físico también tiene fuentes de alimentación redundantes e independientes que impiden que una interrupción de la alimentación en un dominio de errores afecte a otros dominios de errores.

Todo esto hace posible que el servicio Vault produzca claves y secretos previa solicitud, incluso cuando un dominio de disponibilidad no está disponible en una región con varios dominios de disponibilidad o cuando un dominio de errores no está disponible en una región con un único dominio de disponibilidad.

Acceso privado a Vault

El servicio Vault admite el acceso privado desde recursos de Oracle Cloud Infrastructure en una red virtual en la nube (VCN) mediante un gateway de servicio. La configuración y el uso de un gateway de servicio en una VCN permite a los recursos (como las instancias a las que están asociados los volúmenes cifrados) acceder a servicios públicos de Oracle Cloud Infrastructure, como el servicio Vault, sin exponerlos a Internet. No es necesario ningún gateway de Internet y los recursos pueden estar en una subred privada y utilizar solo direcciones IP privadas. Para obtener más información, consulte Acceso a Oracle Services: Gateway de servicio.

Identificadores de recursos

El servicio Vault admite almacenes, claves y secretos como recursos de Oracle Cloud Infrastructure. La mayoría de los tipos de recursos de Oracle Cloud Infrastructure tienen un identificador único asignado por Oracle denominado Oracle Cloud ID (OCID). Para obtener información sobre el formato de OCID y otras maneras de identificar los recursos, consulte Identificadores de recursos.

Formas de acceder a Oracle Cloud Infrastructure

Puede acceder a Oracle Cloud Infrastructure introduciendo su cuenta en la nube.

Puede acceder a Oracle Cloud Infrastructure mediante la consola (una interfaz basada en explorador) o la API de REST. Encontrará instrucciones para la consola y la API en los temas de esta guía. Para obtener una lista de los SDK disponibles, consulte Software development kits e interfaz de línea de comandos.

Para acceder a la Console, debe utilizar un explorador soportado. Para ir a la página de conexión de la consola, abra el menú de navegación situado en la parte superior de esta página y haga clic en Consola de Infrastructure. Se le solicitará que introduzca el inquilino en la nube, el nombre de usuario y la contraseña.

Autenticación y autorización

Cada servicio de Oracle Cloud Infrastructure se integra con IAM con fines de autenticación y autorización para todas las interfaces (la consola, el SDK o la CLI, y la API de REST).

Un administrador de la organización debe configurar grupos , compartimentos  y políticas  que controlen los usuarios que pueden acceder a determinados servicios, recursos y el tipo de acceso. Por ejemplo, las políticas controlan quién puede crear nuevos usuarios, crear y gestionar la red en la nube, iniciar instancias, crear contenedores, descargar objetos, etc. Para obtener más información, consulte Introducción a las políticas. Para obtener detalles específicos sobre la escritura de políticas de los distintos servicios, consulte Referencia de políticas.

Si es un usuario normal (no un administrador) que necesita utilizar los recursos de Oracle Cloud Infrastructure que posee su compañía, póngase en contacto con el administrador para que configure su identificador de usuario. El administrador le confirmará qué compartimentos debe usar.

Límites de los recursos de Vault

Conozca la limitación del servicio de almacén y su uso de recursos antes de empezar a utilizarlos.

Consulte la sección Límites de servicio para obtener una lista de límites aplicables e instrucciones para solicitar un aumento del límite. Para definir límites específicos de compartimentos en un recurso o familia de recursos, los administradores pueden utilizar cuotas de compartimento.

Para obtener instrucciones para ver el nivel de uso en relación con los límites de recursos del arrendamiento, consulte Visualización de límites, cuotas y uso de servicio. También puede obtener el uso de cada almacén individual en relación a los límites de clave visualizando los recuentos de claves y versiones de claves en los detalles del almacén.