Servicio de gestión de claves externo
Con Oracle Cloud Infrastructure External Key Management Service (EKMS), puede crear y gestionar claves de cifrado que se alojan fuera de OCI. EKMS se integra con sistemas de gestión de claves de terceros compatibles para realizar operaciones criptográficas sin importar material de claves a OCI.
El servicio de gestión de claves (KMS) nativo de OCI utiliza un módulo de seguridad de hardware (HSM) alojado en el centro de datos de Oracle para almacenar y gestionar claves maestras para cifrar datos estáticos. Para mejorar la seguridad de los datos y para los clientes que tienen reglas de cumplimiento normativo que requieren almacenar claves en una plataforma de gestión de claves ubicada fuera de OCI, KMS ofrece External Key Management Service (KMS externo), un servicio que integra su arrendamiento de OCI con una plataforma de gestión de claves de terceros alojada fuera de OCI.
En el KMS externo, puede almacenar y controlar claves de cifrado maestras (como claves externas) en el sistema de gestión de claves de terceros. A continuación, puede utilizar estas claves para cifrar los datos en Oracle. Puede desactivar las claves en cualquier momento. Con las claves reales que residen en el sistema de gestión de claves de terceros, solo puede crear y almacenar referencias de claves (metadatos asociados al material de claves) en OCI.
Ventajas
EKMS ofrece las siguientes ventajas:
- Procedencia de clave: puede crear y gestionar el uso de claves creadas externamente en su plataforma de gestión de claves externa. Las claves externas nunca se almacenan ni se almacenan en caché en ningún lugar de OCI, y OCI KMS no tiene ningún control sobre las claves. En su lugar, OCI KMS interactúa directamente con el sistema de gestión de claves de terceros para operaciones criptográficas (cifrar y descifrar).
- Seguridad mejorada: EKMS protege los datos estáticos con la máxima seguridad mediante un sistema de gestión de claves de terceros
- Gestión centralizada de claves: la gestión de las claves en un sistema de gestión de claves de terceros le permite gestionar en una única ubicación las claves de cifrado que utiliza OCI y en otros lugares.
Caso de uso
EKMS puede formar parte de la seguridad general de los datos en los siguientes casos de uso:
- Es posible que los bancos y las organizaciones del sector público que tienen regulaciones de cumplimiento necesiten almacenar claves de cifrado locales, separadas físicamente de los datos almacenados en OCI.
- Los clientes bancarios que tienen regulaciones de seguridad que requieren que realicen operaciones criptográficas en su HSM local pueden usar EKMS para satisfacer este requisito.
- Los clientes que utilizan más de un proveedor de nube (por ejemplo, los clientes de multinube de Oracle) pueden necesitar bases de datos en OCI para conectarse a servicios de cifrado ubicados en una nube diferente. EKMS hace posible este tipo de integraciones.
Terminología
Familiarice con las siguientes terminologías para comprender la funcionalidad de gestión de claves externas (EKMS):
| Terminología | Descripción |
|---|---|
| Gestor de claves externas | Un HSM que sea propiedad del cliente y esté alojado por él o una plataforma de gestión de claves que resida fuera de OCI. Esto también se conoce como un sistema de gestión de claves de terceros. |
| Almacén externo | Un almacén creado en el sistema de gestión de claves de terceros que se utiliza para almacenar claves externamente. |
| Clave externa | Claves creadas en el sistema de gestión de claves de terceros que contienen una o más versiones de claves externas. |
| Versiones de clave externa | Se asigna automáticamente una versión de clave a cada clave externa. Al girar una clave externa, el gestor de claves externo genera una nueva versión de clave. |
| FastConnect | FastConnect es una forma de crear una conexión privada entre las instalaciones del cliente y Oracle Cloud Infrastructure (OCI). |
| Punto final privado (PE) | Un punto final privado es una dirección IP privada de la VCN del cliente que se puede utilizar para acceder a un servicio de OCI. |
| Clave de cifrado de datos (DEK) | Clave de cifrado cuya función es cifrar y descifrar datos. |
Servicios soportados
La gestión de claves externa se puede utilizar con los siguientes servicios de OCI:
| Servicio | Notas |
|---|---|
| Volumen en bloque | |
| Recursos informáticos | Admite el cifrado de volumen de inicio y el cifrado de otros tipos de almacenamiento que se muestran en esta tabla. |
| Almacenamiento de archivos | |
| Motor de Kubernetes (OKE) | |
| Almacenamiento de objetos | |
| Oracle Autonomous Database en infraestructura de Exadata dedicada | |
| Oracle Autonomous Database Serverless | |
| Base de datos base de Oracle | |
| Oracle Exadata Database Service on Dedicated Infrastructure | |
| Streaming |