Servicio de gestión de claves externo
Visión general de la funcionalidad de KMS externo con sus ventajas y casos de uso.
El servicio de gestión de claves (KMS) de OCI utiliza un módulo de seguridad de hardware alojado en el centro de datos de Oracle para almacenar y gestionar claves maestras para cifrar datos estáticos. Para mejorar la seguridad de los datos y para los clientes que tienen conformidad normativa para almacenar claves fuera de la nube de Oracle o de cualquier entorno local en la nube de terceros, OCI KMS ahora ofrece una funcionalidad denominada Servicio de gestión de claves externas (KMS externo).
En KMS externo, puede almacenar y controlar claves de cifrado maestras (como claves externas) en un sistema de gestión de claves de terceros alojado fuera de OCI. A continuación, puede utilizar estas claves para cifrar los datos en Oracle. También puede desactivar las claves en cualquier momento. Con las claves reales que residen en el sistema de gestión de claves de terceros, solo se crean referencias de clave (asociadas al material de claves) en OCI.
Nota
En OCI External KMS, Thales es nuestro primer proveedor de gestión de claves externas de terceros y, en toda la documentación, consultaremos Thales CipherTrust Manager (CM) como nuestro gestor de claves externas.
En OCI External KMS, Thales es nuestro primer proveedor de gestión de claves externas de terceros y, en toda la documentación, consultaremos Thales CipherTrust Manager (CM) como nuestro gestor de claves externas.
Ventajas
A continuación, se muestran las ventajas de la oferta de KMS externo en el servicio de KMS de OCI.
- Procedencia de claves: puede gestionar el uso de claves creadas externamente. Las claves externas nunca se almacenan en caché ni se almacenan en ninguna parte de Oracle y KMS no tiene ningún control sobre estas claves. En su lugar, OCI KMS interactúa directamente con el sistema de gestión de claves de terceros para operaciones criptográficas (cifrar/descifrar).
- Seguridad mejorada: protege los datos estáticos con la máxima seguridad mediante un sistema de gestión de claves de terceros. Proporciona un alto nivel de seguridad al almacenar claves fuera de la nube de Oracle.
- Gestión centralizada de claves: puede gestionar sus claves en un sistema de gestión de claves de terceros. Esto proporciona un mayor control sobre las claves de cifrado que protegen sus datos en la nube de Oracle.
Caso de Uso
A continuación, se muestran los casos de uso en los que puede implantar la funcionalidad de KMS externo.
- Los bancos y los sectores públicos que tienen conformidad con las normativas prefieren almacenar claves de cifrado locales que están físicamente separadas de sus datos en Oracle Cloud.
- Cliente bancario que tiene conformidad de seguridad para realizar operaciones criptográficas fuera de Oracle y en su HSM local para obtener seguridad exclusiva con el proveedor en la nube para acceder a las claves.
- Los clientes que eligen un despliegue multinube necesitan bases de datos en OCI para conectarse con servicios de cifrado en un proveedor de nube diferente. La funcionalidad de KMS externo es un facilitador clave para el éxito de la estrategia multinube de OCI.
Terminología
Familiarice las siguientes terminologías para comprender la funcionalidad de KMS externo:
| Terminología | Descripción |
|---|---|
| Gestor de claves externas | HSM propiedad y alojado por el cliente. |
| Almacén externo | Almacén creado en el sistema de gestión de claves de terceros para almacenar las claves externas. |
| Clave externa | Claves creadas en el sistema de gestión de claves de terceros que contienen una o más versiones de claves externas. |
| Versiones de clave externa | Se asigna automáticamente una versión de clave a cada clave externa. Al girar una clave externa, el gestor de claves externo genera una nueva versión de clave. |
| Sistema de gestión de claves de terceros | HSM propiedad y alojado por el cliente. |
| Conexión rápida | FastConnect es una forma de crear una conexión privada entre el cliente local y Oracle Cloud Infrastructure. |
| Puntos finales privados (PE) | Un punto final privado es una dirección IP privada de la VCN del cliente que se puede utilizar para acceder a un servicio determinado de Oracle Cloud Infrastructure. |
| Clave de cifrado de datos (DEK) | Clave de cifrado cuya función es cifrar y descifrar los datos. |
| Thales CipherTrust Manager (CM) | Gestiona de forma centralizada las claves de cifrado, proporciona control de acceso granular y configura políticas de seguridad que se integran con Thales Luna compatible con FIPS 140-2 o con módulos de seguridad de hardware (HSM) de terceros para almacenar de forma segura claves con una raíz de confianza más alta. |