Documentación de Oracle Cloud Infrastructure

Reglas secretas

Configure reglas para secretos de almacén que rigen su uso.

Para obtener información sobre cómo configurar o ver reglas, consulte Gestión de secretos de almacén. Al crear un secreto, puede configurar los siguientes tipos de reglas:

  • Regla de reutilización de secretos. Este tipo de regla impide la reutilización del contenido del secreto en las distintas versiones de un secreto.
  • Regla de caducidad de secretos. Este tipo de regla restringe el tiempo que el contenido del secreto de una versión del secreto en particular puede permanecer en uso. Esta regla también puede bloquear la recuperación del contenido de un secreto o una versión del secreto después de la fecha de caducidad configurada.

Es posible que desee configurar una o ambas reglas de secretos para establecer mejores prácticas de seguridad. Puede mejorar su estrategia de seguridad al actuar en secretos que no cumplen las reglas o, en el caso de reglas de caducidad, que pueden infringirlas en su debido tiempo.

Los secretos están protegidos en reposo con las garantías de cifrado de módulo de hardware conforme con la certificación de seguridad de nivel 3 de seguridad del sistema Federal Information Processing Standards (FIPS) 140-2 que respalda el almacén donde se crea y se almacena el secreto. Sin embargo, en la memoria de la aplicación, un secreto podría verse comprometido. Prevenir la reutilización del contenido del secreto por varias versiones del secreto sirve para limitar el ámbito de los recursos afectados en caso de una infracción de seguridad que implique las credenciales almacenadas. Cuando solo un recurso usa el contenido del secreto de una versión del secreto, ese recurso es el único que puede verse afectado. Puede dejar de usar una versión del secreto y, a continuación, suprimirla si no puede seguir utilizando de forma segura su contenido. Puede elegir si las reglas de reutilización de secretos se aplican incluso a las versiones del secreto suprimidas.

De forma similar, la configuración de una regla de caducidad para especificar un intervalo de tiempo durante el que puede existir una versión del secreto también ayuda a limitar el impacto de una posible infracción de seguridad. Cuanto más se utilice un conjunto de credenciales, más tiempo tendrá un atacante para intentar acceder o descifrarlas. Actualizar con frecuencia un secreto con nuevo contenido ayuda a proteger las credenciales frente a usuarios con intención maliciosa. O acorta el periodo de tiempo durante el cual las credenciales en riesgo pueden utilizarse o difundirse sin que se sepa. Puede configurar una versión del secreto para que caduque después de 1 a 90 días, pero el secreto también puede tener una fecha y hora de caducidad absolutas que oscilen entre 1 y 365 días después de su fecha de creación. Puede configurar uno de estos valores o ambos. También puede decidir si el contenido del secreto se bloqueará después de la fecha de caducidad.

El temporizador para la regla de caducidad de un secreto se restablece según el intervalo configurado. No existe ningún mecanismo para actualizar el contenido del secreto. Debe rotar la versión del secreto manualmente.