Documentación de Oracle Cloud Infrastructure

Claves gestionadas por el cliente para Oracle Break Glass

Proteja sus entornos de aplicaciones con Oracle Break Glass y claves gestionadas por el cliente.

Por defecto, sus entornos de aplicaciones están protegidos por claves de cifrado gestionadas por Oracle. Al comprar una suscripción que incluye el servicio Oracle Break Glass, se le ofrece la función de claves gestionadas por el cliente que le permite proporcionar y gestionar las claves de cifrado que protegen sus entornos. También puedes comprar esta opción como una suscripción de complemento.

El servicio OCI Vault se utiliza para crear y gestionar claves de cifrado a fin de proteger los datos almacenados en reposo en los entornos de producción y que no son de producción. Puede configurar claves en el entorno durante la creación del entorno o puede agregar la clave a un entorno existente.

Mejores prácticas para configurar y gestionar almacenes y claves

Se recomienda crear almacenes independientes para entornos de producción y no producción. En el almacén sin producción, cree claves independientes para los entornos de prueba y desarrollo. Por ejemplo, cree lo siguiente:

Entorno Almacén Clave maestra de cifrado
Producción my-production-vault clave de mi producción
Prueba my-nonproduction-vault my-test-environment-key
Desarrollo my-development-environment-key

Ventajas de almacenes separados para producción y no producción:

  • El mantenimiento de almacenes independientes permite la rotación independiente de claves para entornos de producción y no producción.
  • Hay un límite en el número de claves por almacén. Tener almacenes separados proporciona un recuento independiente para producción y no producción.

Para verificar los límites y el uso de claves, consulte la página Límites, Cuotas y Uso, donde se muestran los límites, las cuotas y el uso de recursos para la región específica, desglosados por servicio:

  1. En la consola, abra el menú de navegación y haga clic en Gobernanza y administración. En Gestión de arrendamiento, haga clic en Límites, cuotas y uso.
  2. En la lista Servicio, seleccione Gestión de claves.

    Verifique los límites de clave para: Recuento de versiones de clave para almacenes virtuales o Recuento de versiones de clave de software para almacenes virtuales, según corresponda para el tipo de clave que haya elegido utilizar.

Realizar tareas de configuración

Realice estas tareas para configurar los almacenes y las claves y prepare su arrendamiento para utilizar claves gestionadas por el cliente.

El administrador de arrendamiento tiene los permisos necesarios para realizar todas las tareas de configuración necesarias. Si designa las tareas de configuración para otro rol, asegúrese de que tengan los permisos adecuados para trabajar con almacenes y claves. Consulte Referencia de permisos.

En la tabla, se resumen las tareas de configuración que se detallan a continuación.

Tarea Necesaria/Opcional Información adicional
1. Cree compartimentos para los almacenes y las claves. Opcional Es una práctica recomendada de seguridad crear compartimentos independientes para almacenes y claves que acoten el acceso.
2. Agregue la política del sistema para permitir que la aplicación utilice claves gestionadas por el cliente. Necesario Esta política se debe agregar antes de agregar el almacén y la clave a su entorno. Si no se agrega esta política, su entorno no completará el aprovisionamiento (si se agrega durante la creación del entorno) o no completará la solicitud de trabajo (si se agrega a un entorno existente).
3. Cree los almacenes para entornos de producción y no producción. Necesario Siga el procedimiento del servicio Vault.
4. Cree las claves para los entornos de producción y no producción. Necesario Siga el procedimiento del servicio Vault.

1. Crear compartimento para sus almacenes y claves (opcional)

Aunque no es necesario, la configuración de un compartimento dedicado para sus almacenes y claves le permite tener un mayor control sobre quién tiene acceso a estos recursos. Para activar claves gestionadas por el cliente para su arrendamiento, debe crear una política del sistema (Tarea 2) para permitir el acceso a los almacenes y las claves por parte de los sistemas gestionados por Oracle. Al colocar estos recursos en compartimentos en lugar de crearlos en el arrendamiento, puede restringir la política a los compartimentos esenciales. Para obtener más información sobre las ventajas de los compartimentos, consulte Descripción de los compartimentos.

A continuación, se muestran instrucciones abreviadas para crear un compartimento. Para obtener más información sobre la gestión de compartimentos, consulte Gestión de compartimentos.

Para crear un compartimento para sus almacenes y claves:

  1. Abra el menú de navegación y seleccione Identidad y seguridad. En Identidad, seleccione Compartimentos. Aparecerá una lista de los compartimentos a los que tiene acceso.

  2. Haga clic en Crear compartimento.

  3. Introduzca lo siguiente:
    • Nombre: un nombre único para el compartimento (un máximo de 100 caracteres, incluidas letras, números, puntos, guiones y caracteres de subrayado). El nombre debe ser único para todos los compartimentos del arrendamiento. Evite introducir información confidencial. Por ejemplo, mis claves gestionadas.
    • Descripción: descripción fácil de recordar. Puede cambiarlo más tarde si lo desea.
    • Compartimento principal: se muestra el compartimento en el que se encuentra. Si ha creado otros compartimentos, puede seleccionar otro compartimento en el que crear este compartimento.
    • Etiquetas: si tiene permisos para crear un recurso, también tiene permisos para aplicar etiquetas de formato libre a ese recurso. Etiquetas Para aplicar una etiqueta definida, debe tener permisos para utilizar el espacio de nombres de la etiqueta. Para obtener más información sobre el etiquetado, consulte Etiquetas de recursos. Si no está seguro de si desea aplicar etiquetas, omita esta opción o pregunte a un administrador. Puede aplicar etiquetas más tarde.
  4. Haga clic en Crear compartimento.

2. Adición de la política del sistema para activar las claves gestionadas por el cliente en su arrendamiento

Importante

Esta política se debe agregar antes de agregar la clave gestionada por el cliente a su entorno. Si no se agrega esta política, su entorno no completará el aprovisionamiento (si se agrega durante la creación del entorno) o no completará la actualización (si se agrega a un entorno existente). Consulte la documentación específica de la aplicación para conocer la política necesaria para la aplicación.

Para crear la política del sistema:

  1. Abra el menú de navegación, en Infraestructura, haga clic en Identidad y seguridad para ampliar el menú y, a continuación, en Identidad, haga clic en Políticas.
  2. Haga clic en Crear política.
  3. Introduzca lo siguiente:
    • Nombre: nombre único para la política. El nombre debe ser único para todas las políticas del arrendamiento. Esto no se puede cambiar posteriormente.
    • Descripción: descripción fácil de recordar. Puede cambiarlo más tarde si lo desea.
    • Compartimento: asegúrese de que el arrendamiento (compartimento raíz) esté seleccionado.
  4. En el Creador de política, active Mostrar editor manual para mostrar el cuadro de texto para la entrada de texto de formato libre.
  5. Introduzca las sentencias de política de la documentación específica de la aplicación.
  6. Haga clic en Crear.

3. Creación de almacenes para los entornos

Siga el procedimiento Creating a Vault en la documentación de Vault. Si ha creado compartimentos, asegúrese de crear los almacenes en el compartimento especificado en la política del sistema.

Se recomienda crear 2 almacenes: uno para las claves del entorno de producción y otro para las claves del entorno que no sean de producción.

4. Crear claves

Siga el procedimiento Creating a Master Encryption Key en la documentación de Vault. Asegúrese de crear las claves en el compartimento especificado en la política del sistema.

Debe realizar las siguientes selecciones al crear claves para aplicaciones:

  • Para Key Shape: Algorithm, seleccione AES (clave simétrica usada para el cifrado y el cifrado (debe seleccionar esta opción para las claves gestionadas por el cliente de aplicaciones).
  • En Unidad de clave: longitud, seleccione 256 bits.

Se recomienda crear una clave en el almacén de producción para su entorno de producción y una clave para cada entorno que no sea de producción en el almacén que no sea de producción.

Adición de una clave gestionada por el cliente a sus entornos

Puede agregar la clave gestionada por el cliente durante la creación del entorno o después de crearlo.

Adición de claves gestionadas por el cliente durante la creación del entorno

Este procedimiento incluye solo los pasos para activar la clave gestionada por el cliente. Consulte Para crear un entorno para conocer el procedimiento completo para crear un entorno.

En la página de creación del entorno:

  1. Haga clic en Mostrar opciones avanzadas.
  2. Haga clic en el separador Cifrado.

  3. Seleccione Cifrar utilizando claves gestionadas por el cliente.

    Si no ve esta opción, verifique que la suscripción se haya agregado al arrendamiento.

  4. Seleccione el almacén. Si el almacén no está en el mismo compartimento en el que está creando el entorno, debe hacer clic en Cambiar compartimento y seleccionar el compartimento adecuado.
  5. Seleccione la clave. Si la clave no está en el mismo compartimento en el que está creando el entorno, debe hacer clic en Cambiar compartimento y seleccionar el compartimento adecuado. Solo se muestran las claves AES de 256 bits.

Después de completar todos los pasos para configurar el entorno, comienza el proceso de aprovisionamiento. Al agregar la clave gestionada por el cliente, se agrega tiempo al proceso de aprovisionamiento.

Adición de claves gestionadas por el cliente para un entorno existente

Para activar una clave gestionada por el cliente para un entorno existente:

  1. En la página de lista Entornos, seleccione el entorno con el que desea trabajar. Si necesita ayuda para buscar la página de lista, consulte Para mostrar entornos.

  2. En la página de detalles del entorno, haga clic en el separador Cifrado.
  3. Por defecto, el tipo está gestionado por Oracle. Haga clic en Gestionar para agregar el almacén y la clave.

    Si no ve la opción Gestionar, no ha adquirido la opción o la suscripción de claves gestionadas por el cliente no se ha agregado al arrendamiento.

  4. Seleccione Cifrar utilizando claves gestionadas por el cliente.

  5. Seleccione el almacén. Si el almacén no está en el mismo compartimento en el que está creando el entorno, debe hacer clic en Cambiar compartimento y seleccionar el compartimento adecuado.
  6. Seleccione la clave. Si la clave no está en el mismo compartimento en el que está creando el entorno, debe hacer clic en Cambiar compartimento y seleccionar el compartimento adecuado. Solo se muestran las claves AES de 256 bits.
  7. Haga clic en Guardar cambios.

La programación del cifrado del entorno depende de la aplicación. Para algunas aplicaciones, se envía una solicitud de trabajo inmediatamente. Puede supervisar la solicitud de trabajo para realizar un seguimiento del progreso del cifrado. Su entorno no estará disponible mientras se realiza la actualización. Para otras aplicaciones, el cifrado se realiza en el siguiente ciclo de mantenimiento o actualización de parches. Hasta que se realice el mantenimiento, el entorno permanece cifrado por la clave gestionada por Oracle.

Visualización del estado y los detalles de las claves

Para ver el estado y los detalles de la clave:

  1. Navegue al entorno: en el directorio raíz de aplicaciones de la consola, haga clic en el nombre de la aplicación. En la página Overview, haga clic en el nombre del entorno.
  2. En la página de detalles del entorno, haga clic en el separador Cifrado.

  3. Se muestran los detalles de la clave.

Puede hacer clic en los nombres de almacén y clave para desplazarse a estos recursos en el servicio de almacén.

Teclas de rotación

Las claves se rotan en función de la práctica de seguridad de la organización. Puede configurar un trabajo de la CLI para rotar automáticamente las claves o el administrador de seguridad designado puede rotarlas manualmente mediante la interfaz de usuario de la consola del servicio de Vault. Consulte Conceptos de gestión de claves y secretos para obtener más información sobre las versiones de claves.

Para girar una clave

Siga el procedimiento Rotating a Vault Key en la documentación de Vault.

Nota

En función de la aplicación, puede que haya más pasos necesarios. Verifique los siguientes pasos para el procedimiento de rotación en la documentación específica de la aplicación.

Desactivación y activación de claves

Si encuentra una situación en la que desea cerrar el servicio de aplicación y acceder a la base de datos de aplicación, puede desactivar la clave para forzar inmediatamente a todos los usuarios fuera del sistema.

Advertencia

La desactivación de una clave puede provocar la pérdida de datos. Si la clave está desactivada, Oracle intentará de forma proactiva cerrar el entorno para minimizar la posibilidad de fallos mientras se utiliza el entorno. Sin embargo, una vez desactivada la clave, el entorno no se puede reiniciar hasta que se vuelva a activar. Aunque la clave permanece desactivada, ningún servicio de aplicaciones en la nube podrá acceder a los datos de clientes guardados anteriormente.
Nota

Al iniciar la desactivación de una clave, se realizan una serie de procesos para cerrar los componentes del entorno (por ejemplo, los servicios de base de datos, el nivel medio y los equilibradores de carga), que pueden tardar hasta una hora en completarse. No intente volver a activar una clave hasta que estos procesos hayan finalizado.

Del mismo modo, al iniciar la activación de una clave, la finalización del conjunto de procesos para realizar la copia de seguridad del sistema puede tardar hasta una hora.

Supresión de claves

La supresión de claves y almacenes es una operación altamente destructiva y solo la debe realizar el administrador del arrendamiento en circunstancias raras.

Cuando un administrador de arrendamiento suprime una clave, cualquier dato o recurso de OCI (incluida la base de datos de aplicaciones) cifrado por esta clave se volverá inmediatamente inutilizable e irrecuperable.

Le recomendamos que haga una copia de seguridad de una clave antes de programar su supresión. Con una copia de seguridad, puede restaurar la clave y el almacén si desea continuar usándola de nuevo más tarde.

Para obtener más información, consulte Supresión de una clave de almacén.

Referencia de permisos

El administrador de la aplicación necesita permisos read para almacenes y claves. El permiso read permite al administrador:
  • Seleccione el almacén y la clave durante la configuración.
  • Consulte el almacén y las claves en el servicio OCI Vault para la resolución de problemas.

Para agregar los permisos para el administrador de la aplicación:

  1. Consulte el procedimiento Referencia de política de servicios de aplicaciones, que describe la creación del rol de administrador de aplicaciones.
  2. Agregue las siguientes sentencias al rol, si aún no está presente: 
    
Allow group <your-group-name> to read vaults in tenancy
Allow group <your-group-name> to read keys in tenancy

Si desea que el administrador de la aplicación también pueda crear los almacenes y las claves, o si designa a otra persona, como un administrador de seguridad para gestionar almacenes y claves, debe ser miembro de un grupo con los siguientes permisos:

allow group <group-name> to manage keys in <location> where request.permission not in ('KEY_DELETE')
allow group <group-name> to manage vaults in <location> where request.permission not in ('VAULT_DELETE')

Tenga en cuenta que los permisos de supresión se eliminan de las sentencias de política. Esto es para garantizar que solo el administrador del arrendamiento puede realizar operaciones de supresión. Consulte Agregar un usuario con acceso limitado para conocer los procedimientos para crear grupos y políticas para definir roles.