Documentación de Oracle Cloud Infrastructure

Claves gestionadas por el cliente para Oracle Break Glass

Proteja sus entornos de aplicaciones con Oracle Break Glass y claves gestionadas por el cliente.

Por defecto, sus entornos de aplicaciones están protegidos por claves del cifrado gestionado por Oracle. Al adquirir una suscripción que incluye el servicio Oracle Break Glass, se te ofrece la característica de claves gestionadas por el cliente que le permite proporcionar y gestionar las claves de cifrado que protegen sus entornos. También puede comprar esta opción como una suscripción complementaria.

El servicio OCI Vault se utiliza para crear y gestionar claves de cifrado a fin de proteger los datos almacenados en reposo en los entornos de producción y que no son de producción. Puede configurar claves en el entorno durante la creación del entorno o puede agregar la clave a un entorno existente.

Mejores prácticas para configurar y gestionar almacenes y claves

La mejor práctica es crear almacenes independientes para entornos de fabricación y que no sean de fabricación. En el almacén que no sea de producción, cree claves independientes para los entornos de prueba y desarrollo. Por ejemplo, podría crear lo siguiente:

Entorno Almacén Clave maestra de cifrado
Producción my-production-vault clave de mi producción
Prueba my-nonproduction-vault my-test-environment-key
Desarrollo my-development-environment-key

Ventajas de almacenes separados para producción y no producción:

  • El mantenimiento de almacenes independientes permite la rotación independiente de claves para entornos de producción y no producción.
  • Hay un límite en el número de claves por almacén. Tener almacenes separados proporciona un recuento independiente para producción y no producción.

Para verificar los límites y el uso de claves, consulte la página Límites, Cuotas y Uso, donde se muestran los límites, las cuotas y el uso de recursos para la región específica, desglosados por servicio:

  1. En la consola, abra el menú de navegación y seleccione Gobernanza y administración. En Gestión de arrendamiento, seleccione Límites, cuotas y uso.
  2. En la lista Servicio, seleccione Gestión de claves.

    Verifique los límites de clave para: Recuento de versiones de clave para almacenes virtuales o Recuento de versiones de clave de software para almacenes virtuales, según corresponda para el tipo de clave que haya elegido utilizar.

Realizar tareas de configuración

Realice estas tareas para configurar los almacenes y las claves y prepare su arrendamiento para utilizar claves gestionadas por el cliente.

El administrador de arrendamiento tiene los permisos necesarios para realizar todas las tareas de configuración necesarias. Si designa las tareas de configuración para otro rol, asegúrese de que tengan los permisos adecuados para trabajar con almacenes y claves. Consulte Referencia de permisos.

En la tabla, se resumen las tareas de configuración que se detallan a continuación.

Tarea Necesaria/Opcional Información adicional
1. Cree compartimentos para los almacenes y las claves. Opcional Es una práctica recomendada de seguridad crear compartimentos independientes para almacenes y claves que acoten el acceso.
2. Agregue la política del sistema para permitir que la aplicación utilice claves gestionadas por el cliente. Necesario Esta política se debe agregar antes de agregar el almacén y la clave a su entorno. Si no se agrega esta política, su entorno no completará el aprovisionamiento (si se agrega durante la creación del entorno) o no completará la solicitud de trabajo (si se agrega a un entorno existente).
3. Cree los almacenes para entornos de producción y no producción. Necesario Siga el procedimiento del servicio Vault.
4. Cree las claves para los entornos de producción y no producción. Necesario Siga el procedimiento del servicio Vault.

1. Crear un compartimento para sus almacenes y claves (opcional)

Aunque no es necesario, la configuración de un compartimento dedicado para sus almacenes y claves le permite tener un mayor control sobre quién tiene acceso a estos recursos. Para activar claves gestionadas por el cliente para su arrendamiento, debe crear una política del sistema (Tarea 2) para permitir el acceso a los almacenes y las claves por parte de los sistemas gestionados por Oracle. Al colocar estos recursos en compartimentos en lugar de crearlos en el arrendamiento, puede restringir la política a los compartimentos esenciales. Para obtener más información sobre las ventajas de los compartimentos, consulte Descripción de los compartimentos.

A continuación, se muestran instrucciones abreviadas para crear un compartimento. Para obtener más información sobre la gestión de compartimentos, consulte Gestión de compartimentos.

Para crear un compartimento para sus almacenes y claves:

  1. Abra el menú de navegación y seleccione Identidad y seguridad. En Identidad, seleccione Compartimentos. Aparecerá una lista de los compartimentos a los que tiene acceso.

  2. Seleccione Create compartment.

  3. Introduzca la siguiente información:
    • Nombre: un nombre único para el compartimento (un máximo de 100 caracteres, incluidas letras, números, puntos, guiones y caracteres de subrayado). El nombre debe ser único para todos los compartimentos del arrendamiento. Evite introducir información confidencial. Por ejemplo, mis claves gestionadas.
    • Descripción: descripción fácil de recordar. Puede cambiarlo más tarde si lo desea.
    • Compartimento principal: se muestra el compartimento en el que está. Si ha creado otros compartimentos, puede seleccionar otro compartimento en el que crear este compartimento.
    • Etiquetas: si tiene permisos para crear un recurso, también tiene permisos para aplicar etiquetas de formato libre a ese recurso. Etiquetas Para aplicar una etiqueta definida, debe tener permisos para utilizar el espacio de nombres de la etiqueta. Para obtener más información sobre el etiquetado, consulte Etiquetas de recursos. Si no está seguro de si desea aplicar etiquetas, omita esta opción o pregunte a un administrador. Puede aplicar etiquetas más tarde.
  4. Seleccione Create compartment.

2. Adición de la política del sistema para activar las claves gestionadas por el cliente en su arrendamiento

Importante

Esta política se debe añadir antes de agregar la clave gestionada por el cliente al entorno. Si esta política no se agrega, su entorno no finalizará el aprovisionamiento (si se agrega durante el proceso de creación) o no completará la actualización (si se agrega a un entorno existente). Consulte la documentación específica de la aplicación para conocer la política necesaria para la aplicación.

Para crear la política del sistema:

  1. Abra el menú de navegación y, en Infraestructura, seleccione Identidad y seguridad. En Identidad, seleccione Políticas.
  2. Seleccione Crear política.
  3. Introduzca la siguiente información:
    • Nombre: nombre único para la política. El nombre debe ser único para todas las políticas del arrendamiento. No podrá cambiarlo más tarde.
    • Descripción: descripción fácil de recordar. Evite introducir información confidencial. Puede cambiarlo más tarde si lo desea.
    • Compartimento: asegúrese de que el arrendamiento (compartimento raíz) esté seleccionado.
  4. En la sección Creador de política, seleccione Mostrar editor manual para mostrar el cuadro de texto para el texto con formato libre.
  5. Introduzca las sentencias de política de la documentación específica de la aplicación.
  6. Seleccione Crear.

3. Creación de almacenes para los entornos

Siga el procedimiento Creating a Vault en la documentación de Vault. Si ha creado compartimentos, asegúrese de crear los almacenes en el compartimento especificado en la política del sistema.

Recomendamos crear 2 almacenes: uno para las Claves del entorno de fabricación y uno para las Claves del entorno que no sean de fabricación.

4. Crear claves

Siga el procedimiento Creating a Master Encryption Key en la documentación de Vault. Asegúrese de crear las claves en el compartimento especificado en la política del sistema.

Debe realizar las siguientes selecciones al crear claves para aplicaciones:

  • Para UNIDAD DE CLAVE: ALGORITMO, seleccione AES (clave simétrica usada para el cifrado y para el descifrado) (debe seleccionar esta opción para las claves gestionadas por cliente de Applications).
  • En Unidad de clave: longitud, seleccione 256 bits.

Recomendamos crear una clave en el almacén de produccion para su ambiente de produccion y una clave para cada entorno que no es de produccion en el almacén que no es de produccion.

Adición de una clave gestionada por el cliente a sus entornos

Puede agregar la clave gestionada por el cliente durante la creación del entorno o después de crearlo.

Adición de claves gestionadas por el cliente durante la creación del entorno

Este procedimiento incluye solo los pasos para activar la clave gestionada por el cliente. Consulte Para crear un entorno para conocer el procedimiento completo para crear un entorno.

En la página de creación del entorno:

  1. Seleccione Opciones avanzadas.
  2. En Cifrar, seleccione Cifrar utilizando claves gestionadas por el cliente.

    Si no ve esta opción, verifique que la suscripción se haya agregado al arrendamiento.

  3. Seleccione el archivo nativo. Si el almacén no está en el mismo compartimento en el que está creando el entorno, seleccione el compartimento adecuado.
  4. Seleccione la clave Si la clave no está en el mismo compartimento en el que está creando el entorno, seleccione el compartimento adecuado. Solo se muestran las claves AES de 256 bits.

Después de completar todos los pasos para configurar el entorno, comienza el proceso de aprovisionamiento. Al agregar la clave gestionada por el cliente, se agrega tiempo al proceso de aprovisionamiento.

Adición de claves gestionadas por el cliente para un entorno existente

Para activar una clave gestionada por el cliente para un entorno existente:

  1. En la página de lista Entornos, seleccione el entorno con el que desea trabajar. Si necesita ayuda para buscar la página de lista, consulte Para mostrar entornos.

  2. En la página de detalles del entorno, seleccione el menú Acciones y, a continuación, seleccione Gestionar clave de cifrado.

    Si la opción Gestionar clave de cifrado no está disponible, no compró la opción o no se agregó la suscripción para claves gestionadas por el cliente al arrendamiento.

  3. Seleccione Cifrar utilizando claves gestionadas por el cliente.

  4. Seleccione el archivo nativo. Si el almacén no está en el mismo compartimento en el que está creando el entorno, seleccione el compartimento adecuado.
  5. Seleccione la clave Si la clave no está en el mismo compartimento en el que está creando el entorno, seleccione el compartimento adecuado. Solo se muestran las claves AES de 256 bits.
  6. Seleccione Guardar cambios.

La programación del cifrado del entorno depende de la aplicación. Para algunas aplicaciones, se envía una solicitud de trabajo inmediatamente. Puede supervisar la solicitud de trabajo para realizar un seguimiento del progreso del cifrado. Su entorno no estará disponible mientras se realiza la actualización. Para otras aplicaciones, el cifrado se realiza en el siguiente ciclo de mantenimiento o actualización de parches. Hasta que se realice el mantenimiento, el entorno permanece cifrado por la clave gestionada por Oracle.

Visualización del estado y los detalles de las claves

Para ver el estado y los detalles de la clave:

  1. Vaya al entorno: en el directorio raíz de aplicaciones de la consola, seleccione el nombre de la aplicación.
  2. Seleccione Entornos y, a continuación, seleccione el nombre del entorno.
  3. En la página de detalles del entorno, los detalles de la clave se muestran en la sección Cifrado.

Puede seleccionar el almacén y los nombres de clave para desplazarse a estos recursos en el servicio Vault.

Teclas de rotación

Las claves se rotan en función de la práctica de seguridad de la organización. Puede configurar un trabajo de la CLI para rotar automáticamente las claves o el administrador de seguridad designado puede rotarlas manualmente mediante la interfaz de usuario de la consola del servicio de Vault. Consulte Conceptos de gestión de claves y secretos para obtener más información sobre las versiones de claves.

Para girar una clave

Siga el procedimiento Rotating a Vault Key en la documentación de Vault.

Nota

Según la aplicación, puede que haya más pasos necesarios. Verifique los siguientes pasos para el procedimiento de rotación en la documentación específica de la aplicación.

Desactivación y activación de claves

Si encuentra una situación en la que desea cerrar el servicio de aplicación y acceder a la base de datos de aplicación, puede desactivar la clave para forzar inmediatamente a todos los usuarios fuera del sistema.

Advertencia

La desactivación de una clave podría provocar la pérdida de datos. Si la clave está desactivada, Oracle intentará de manera proactiva cerrar el entorno para minimizar la posibilidad de fallos mientras se utiliza el entorno. Sin embargo, una vez desactivada la clave, el entorno nunca se podrá reiniciar hasta que vuelva a activarse. Si bien la clave permanece en estado desactivado, ningún servicio de aplicaciones en la nube podrá acceder a los datos del cliente guardados anteriormente.
Nota

Al iniciar la desactivación de una clave, se realizan una serie de procesos para cerrar los componentes del entorno (por ejemplo, los servicios de base de datos, el nivel medio y los equilibradores de carga), que pueden tardar hasta una hora en completarse. No intente volver a activar una clave hasta el momento en que estos procesos hayan finalizado.

Del mismo modo, al iniciar la activación de una clave, la finalización del conjunto de procesos para realizar la copia de seguridad del sistema puede tardar hasta una hora.

Supresión de claves

La supresión de claves y almacenes es una operación altamente destructiva y solo la debe realizar el administrador del arrendamiento en circunstancias raras.

Cuando un administrador de arrendamiento suprime una clave, cualquier dato o recurso de OCI (incluida la base de datos de aplicaciones) cifrado por esta clave se volverá inmediatamente inutilizable e irrecuperable.

Le recomendamos que haga una copia de seguridad de una clave antes de programar su supresión. Con una copia de seguridad, puede restaurar la clave y el almacén si desea continuar usándola de nuevo más tarde.

Para obtener más información, consulte Supresión de una clave de almacén.

Referencia de permisos

El administrador de la aplicación necesita permisos read para almacenes y claves. El permiso read permite al administrador:
  • Seleccionar el almacén y las claves durante la configuración.
  • Consulte el almacén y las claves en el servicio OCI Vault para la resolución de problemas.

Para agregar los permisos para el administrador de la aplicación:

  1. Consulte el procedimiento Referencia de política de servicios de aplicaciones, que describe la creación del rol de administrador de aplicaciones.
  2. Agregue las siguientes sentencias al rol, si aún no está presente: 
    
Allow group <your-group-name> to read vaults in tenancy
Allow group <your-group-name> to read keys in tenancy

Si desea que el administrador de la aplicación también pueda crear los almacenes y las claves, o si designa a otra persona, como un administrador de seguridad para gestionar almacenes y claves, debe ser miembro de un grupo con los siguientes permisos:

allow group <group-name> to manage keys in <location> where request.permission not in ('KEY_DELETE')
allow group <group-name> to manage vaults in <location> where request.permission not in ('VAULT_DELETE')

Tenga en cuenta que los permisos de supresión se eliminan de las sentencias de política para garantizar que solo el administrador del arrendamiento pueda realizar operaciones de supresión. Consulte Agregar un usuario con acceso limitado para conocer los procedimientos para crear grupos y políticas para definir roles.