Claves gestionadas por el cliente para Oracle Break Glass

Proteja los entornos de Fusion Applications con Oracle Break Glass y claves gestionadas por el cliente.

Por defecto, los entornos de Fusion Applications están protegidos por clave de cifrado gestionadas por Oracle. Al suscribirse al servicio Oracle Break Glass, se te ofrece la función para claves gestionadas por el cliente que le permite proporcionar y gestionar las claves de cifrado que protegen sus entornos. También puede comprar esta opción como una suscripción complementaria.

Con las claves gestionadas por el cliente, se utilizan claves, almacenadas en un almacén de OCI, para proteger los datos almacenados en reposo en los entornos de producción y no producción. Puede activar la opción de claves gestionadas por el cliente en su entorno durante la creación del entorno o después de crear el entorno.

Mejores prácticas para configurar y gestionar almacenes y claves

La mejor práctica es crear almacenes independientes para entornos de fabricación y que no sean de fabricación. En el almacén que no sea de producción, cree claves independientes para los entornos de prueba y desarrollo. Por ejemplo, podría crear lo siguiente:


Entorno	Almacén	Clave de cifrado maestra
Producción	my-production-vault	my-production-key
Prueba	my-nonproduction-vault	my-test-environment-key
Desarrollo	my-nonproduction-vault	my-development-environment-key

Ventajas de almacenes separados para producción y no producción:

El mantenimiento de almacenes independientes permite la rotación independiente de claves para entornos de producción y no producción.
El número de claves por almacén es limitado. Tener almacenes separados proporciona un recuento independiente para producción y no producción.

Importante

Los refrescamientos de producción a prueba en los que el entorno de prueba utiliza claves gestionadas por el cliente también consumen versiones de clave. Por lo tanto, el uso frecuente de P2Ts reduce el número de versiones de clave restantes más rápidamente en un almacén.

Para verificar los límites de claves y su uso, consulte la página Límites, cuotas y uso, en la que se muestran los límites, las cuotas y la utilización de recursos para la región específica, desglosados por servicio:

Abra el menú de navegación y seleccione Gobernanza y administración. En Gestión de arrendamiento, seleccione Límites, cuotas y uso.
Junto a Servicio, seleccione Editar filtros.
En la lista Servicio, seleccione Gestión de claves y, a continuación, seleccione Actualizar.
Verifique los límites de claves para Recuento de versiones de claves para almacenes virtuales o Recuento de versiones de claves de software para almacenes virtuales, según corresponda para el tipo de claves que haya elegido utilizar.

Configuración de claves gestionadas por el cliente

Fusion Applications aprovecha el servicio OCI Vault para permitirle crear y gestionar claves encriptadas para proteger la producción y los entornos que no están en producción. Puede configurar claves en el entorno durante la creación, o bien puede agregar la clave a un entorno existente.

Visión general de tareas y roles de configuración

La gestión de claves gestionadas por el cliente implica tareas que deben realizar los distintos roles de la organización. Aquí se muestra un resumen de los roles y tareas realizados por cada uno:


Rol	Tareas de configuración	Tareas de mantenimiento
Administrador del arrendamiento	Crea compartimentos para almacenes y claves Crea el grupo de gestores de seguridad, agrega usuarios administradores al grupo y crea una política para el grupo que pueda gestionar almacenes y claves. Agrega la política del sistema para permitir a Fusion Applications utilizar claves gestionadas por el cliente Agrega permisos para permitir que el administrador de Fusion Applications lea almacenes y claves	Ninguna
Administrador de seguridad	Crea los almacenes para entornos de producción y no producción Crea las claves para los entornos de producción y no producción Proporciona información de claves y almacenes al administrador de Fusion Applications para que los agregue a los entornos	Rotar claves Verifica la rotación de claves Desactiva las claves (si es necesario)
Administrador de Fusion Applications	Permite claves gestionadas por el cliente en entornos de producción y que no sean de producción Opcionalmente, programa la fecha de inicio para el uso de claves gestionadas por el cliente	Cambia las claves gestionadas por el cliente en entornos de producción y que no sean de producción Verifica la rotación de claves

Tareas de configuración para el administrador del arrendamiento

El administrador de arrendamiento realiza las tareas para configurar el arrendamiento con el fin de que los administradores de seguridad y Fusion Applications puedan activar y gestionar claves gestionadas por los clientes.

1. Crear el grupo de administradores de seguridad

Le recomendamos que cree un grupo de administrador de seguridad distinto para limitar el acceso a las funciones de seguridad de los entornos de Fusion Applications.

La política para el grupo administrador de seguridad permite al grupo gestionar almacenes y claves, pero que no permite la supresión. La política es:

allow group '<identity-domain-name'/'<your-group-name>' to manage keys in <location> where request.permission not in ('KEY_DELETE')
allow group '<identity-domain-name'/'<your-group-name>' to manage vaults in <location> where request.permission not in ('VAULT_DELETE')

Consulte Gestión de usuarios de la nube de Oracle Cloud con funciones de puesto específicas para obtener información sobre los procedimientos para crear grupos y políticas para definir roles, incluidos aquellos permisos necesarios específicos para el rol del administrador de seguridad.

2. Agregar permisos para el administrador de Fusion Applications

El administrador de Fusion Applications necesita permisos read para almacenes y claves. El permiso read permite al administrador de FA:

Seleccionar el almacén y las claves durante la configuración.
Verificar la rotación de claves.
Ver el almacén y las claves en el servicio OCI Vault para la solución de problemas.

Para agregar los permisos para el Administrador de Fusion Applications:

Consulte Gestión de usuarios de la nube de Oracle Cloud con funciones de puesto específicas, en la que se describe la creación del rol del administrador de Fusion Applications.

Agregue las siguientes sentencias al rol Administrador de Entorno de Fusion Applications, si aún no está presente:


Allow group '<identity-domain-name'/'<your-group-name>' to read vaults in compartment <location>
Allow group '<identity-domain-name'/'<your-group-name>' to read keys in compartment <location>
Allow group '<identity-domain-name'/'<your-group-name>' to use key-delegate in compartment <location>

Asegúrese de sustituir todas las variables <location> por el nombre del compartimento en el que se han creado el almacén y las claves.

3. Agregar la política del sistema para activar las claves gestionadas por el cliente en su arrendamiento

Importante

La política para activar claves gestionadas por el cliente se debe agregar antes de agregar el almacén y la clave a su entorno. Si no se agrega esta política:

El entorno no ha completado el aprovisionamiento.
El mantenimiento de su entorno existente no se completa.
La activación de la clave gestionada por el cliente no se completa.

Nota

Esta política es solo para arrendamientos en la nube comercial (dominio OC1). Si el entorno de Fusion Applications está en cualquier otro dominio (por ejemplo, Oracle US Government Cloud o United Kingdom Government Cloud), debe abrir una solicitud de soporte para obtener la política correcta.

Crear una política en el dominio OC1 con las siguientes sentencias:

define tenancy fusionapps1 as ocid1.tenancy.oc1..aaaaaaaau5s6lj67ia5vy6qjglhvquqdszjqlmvlmsetu4jrtjni4mng6hea
define tenancy fusionapps2 as ocid1.tenancy.oc1..aaaaaaaajgaoycccrtt3l3vnnlave6wkc2zbf6kkksq66begstczxrmxjlia
define dynamic-group fusionapps1_environment as ocid1.dynamicgroup.oc1..aaaaaaaa5wcbybhxa5vqcvniefoihlvnidty4fk77fitn2hjhd7skhzaadqq
define dynamic-group fusionapps2_environment as ocid1.dynamicgroup.oc1..aaaaaaaaztbusgx23a3jdpvgxqx6tkv2nedgxld6pj3w7hcvhfzvw5ei7fiq
admit dynamic-group fusionapps1_environment of tenancy fusionapps1 to manage keys in tenancy
admit dynamic-group fusionapps1_environment of tenancy fusionapps1 to use vaults in tenancy
admit dynamic-group fusionapps2_environment of tenancy fusionapps2 to manage keys in tenancy
admit dynamic-group fusionapps2_environment of tenancy fusionapps2 to use vaults in tenancy
allow service keymanagementservice to manage vaults in tenancy
allow any-user to read keys in tenancy where all {request.principal.type = 'fusionenvironment'}
allow any-user to read vaults in tenancy where all {request.principal.type = 'fusionenvironment'}

Nota

Como práctica recomendada, le recomendamos que copie la política anterior en el dominio OC1 mediante estas sentencias exactas. Antes de hacerlo, revise estas declaraciones con el equipo de seguridad de su organización para garantizar la alineación con los requisitos de seguridad interna y las mejores prácticas.

Tareas de configuración para el administrador de seguridad

El administrador de seguridad configura los almacenes y las claves y proporciona la información al administrador de Fusion Applications para agregarlos al entorno.

1. Crear almacenes para los entornos

Siga el procedimiento para Creación de un almacén en la documentación de Vault. Para crear un almacén externo, consulte External Key Management Service.

Nota

El tipo de almacén básico se incluye en la suscripción al servicio Break Glass. Al crear un almacén, si selecciona la opción Convertirlo en un almacén privado virtual o selecciona crear un almacén externo, incurrirá en cargos adicionales. Para obtener más información sobre los tipos de almacén, consulte Conceptos de gestión de claves y secretos.

Recomendamos crear 2 almacenes: uno para las Claves del Entorno de Producción y el otro para las Claves del Entorno que no sean de Producción.

Después de crear los almacenes, replique el almacén que ha creado para el entorno de producción. El almacén replicado se utiliza para la recuperación ante desastres.

Verifique el emparejamiento de la región de recuperación ante desastres para la región donde se encuentra el entorno de producción de Fusion Applications. Consulte Soporte para recuperación ante desastres para obtener una lista de los emparejamientos de regiones.
Suscríbase a la región que aparece como emparejamiento para su región. Para suscribirse a una región, consulte Suscripción a una región de infraestructura.
Replicación del almacén que ha creado para el entorno de producción siguiendo los pasos de Replicación de almacenes y claves. Cuando seleccione la región de destino para la replicación, asegúrese de seleccionar la región de recuperación ante desastres a la que se suscribió en el paso anterior.

2. Crear claves

Siga el procedimiento Creación de una clave de cifrado maestra en la documentación del almacén o, para importar sus propias claves, siga los procedimientos de Importación de claves y versiones de claves.

Con el modo de protección de claves del módulo de seguridad de hardware (HSM), las claves de cifrado se almacenan y protegen en módulos de seguridad de hardware con certificación FIPS 140-2 de nivel 3.

Debe realizar las siguientes selecciones al crear claves para Fusion Applications:

En Key Shape: Algorithm (Unidad de clave: algoritmo), seleccione AES (Clave simétrica utilizada para cifrar y descifrar. (Debe seleccionar esta opción para las claves gestionadas por el cliente de Fusion Applications).
En Unidad de clave: longitud, seleccione 256 bits.

Recomendamos crear una clave en el almacén de produccion para su ambiente de produccion y una clave para cada entorno que no es de produccion en el almacén que no es de produccion.

3. Asignar la información de almacén y clave al administrador de Fusion Applications

Después de crear el almacén y las claves, proporcione a los administradores de Fusion Applications el nombre de compartimento, el nombre de almacén y el de la clave (y, si son diferentes), el nombre de compartimento de claves.

Adición de claves gestionadas por el cliente a entornos nuevos y existentes

El administrador de Fusion Applications agrega las claves gestionadas por el cliente a los entornos. Esto se puede realizar durante la creación del entorno o después de que éste ya se haya creado. Para los entornos existentes, Oracle proporciona al administrador una selección de ventanas de tiempo para programar la actualización. Para los nuevos entornos, las claves se agregan en el momento del aprovisionamiento del entorno y no se requiere programación.

Una vez activadas las claves gestionadas por el cliente, el administrador también puede cambiar una clave en un entorno. Consulte Cambio y rotación de claves.

Importante

No agregue ni cambie una clave gestionada por el cliente más de dos veces en un período de 24 horas.

Requisitos:

La suscripción se ha agregado a la familia de entornos. Si no se agregó la suscripción, no verá la opción de seleccionar una clave gestionada por el cliente.
El administrador de seguridad ha creado el almacén y la clave.
Nota

El tipo de almacén básico se incluye en la suscripción al servicio Break Glass. Al crear un almacén, si selecciona la opción Convertirlo en un almacén privado virtual o selecciona crear un almacén externo, incurrirá en cargos adicionales. Para obtener más información sobre los tipos de almacén, consulte Conceptos de gestión de claves y secretos.
El administrador de arrendamiento ha configurado la política del sistema para activar las claves gestionadas por la cliente en el arrendamiento.
El administrador de arrendamiento ha creado una política para el administrador de Fusion Applications para leer los almacenes y las claves y asociarlos a los entornos de Fusion Applications.

Adición de una clave gestionada por el cliente durante la creación del entorno

Este procedimiento incluye solo los pasos para activar la clave gestionada por el cliente. Consulte Tareas de gestión del entorno para conocer el procedimiento completo para crear un entorno.

En la página de creación del entorno:

En Opciones avanzadas, amplíe la sección Cifrado.
Seleccione Clave gestionada por el cliente (recomendada).
Si no ve esta opción, la suscripción se no ha agregado a la familia de entornos.
Confirme que se han creado las políticas.
Seleccione el archivo nativo.
Si el almacén no está en el mismo compartimento en el que está creando el entorno, seleccione el compartimento adecuado.
Seleccione la clave
Si la clave no está en el mismo compartimento en el que está creando el entorno, seleccione el compartimento adecuado. Solo se muestran las claves AES de 256 bits.

Después de completar todos los pasos para configurar el entorno, comienza el proceso de aprovisionamiento. Al agregar la clave gestionada por el cliente, se agrega tiempo al proceso de aprovisionamiento. Mientras se activa la clave, aparece un mensaje que le avisa de que el entorno no está disponible.

Adición de claves gestionadas por el cliente a un entorno existente y programación de actualización para cambiar la gestión de cifrado

Importante

Cuando se activa una clave gestionada por un cliente en un entorno existente, el cifrado se realiza inmediatamente. En su lugar, Oracle le ofrece una opción de ventanas de tiempo para programar la actualización. Estas opciones se muestran en la consola de OCI al abrir el cuadro de diálogo Editar cifrado para solicitar la actualización. Consulte Para activar una clave gestionada por el cliente para un entorno existente en este tema para obtener más información.
Puede reprogramar o cancelar esta actualización en la consola de OCI sin ponerse en contacto con los Servicios de Soporte Oracle, siempre que la actualización tenga el estado Programada. Si la actualización está en curso o se ha completado, no puede cancelar ni deshacer la actualización.
Asegúrese de que la hora que seleccione para la actualización no entre en conflicto con otras actividades importantes del entorno, como una operación de refrescamiento. Para las operaciones de refrescamiento, esto significa que ni el entorno de origen ni el de destino se pueden actualizar para las claves gestionadas por el cliente mientras se realiza el refrescamiento.
Hasta que se realice la actualización para activar las claves gestionadas por el cliente, la clave gestionada por Oracle sigue cifrando el entorno.

Para activar una clave gestionada por el cliente para un entorno existente:

En la página de lista Entornos, seleccione el entorno con el que desea trabajar. Si necesita ayuda para buscar la página de lista, consulte Para mostrar entornos.
En la página Detalles del entorno, seleccione Seguridad.
En Cifrado, el tipo está gestionado por Oracle, por defecto. Seleccione Editar cifrado para agregar el almacén y la clave.
Si no ve la opción de edición, no agregó las opciones adecuadas o el entorno se está actualizando.
Seleccione Clave gestionada por el cliente (recomendada).
Confirme que se han creado las políticas.
Seleccione el archivo nativo.
Si el almacén no está en el mismo compartimento en el que está creando el entorno, seleccione el compartimento adecuado.
Si utiliza la recuperación ante desastres (DR), debe seleccionar un almacén que admita la replicación. Todos los almacenes privados admiten la replicación. Para los almacenes virtuales, consulte Replicación de almacenes y claves para obtener información sobre cómo determinar si un almacén virtual admite la replicación.
Seleccione la clave
Si la clave no está en el mismo compartimento en el que está creando el entorno, seleccione el compartimento adecuado. Solo se muestran las claves AES de 256 bits.
En Programa de actualización de cifrado, seleccione la ventana de tiempo en la que desea que comience la actualización de gestión de cifrado. Se muestran hasta tres fechas.
Seleccione Enviar para solicitar la actualización que activa las claves gestionadas por el cliente en su entorno.

Se muestra un mensaje en la parte inferior de la ventana cuando está programado que se produzca el cifrado. El cifrado se realiza durante la ventana de tiempo especificada. Hasta que se realice la actualización, el entorno permanece cifrado por la clave gestionada por el Oracle.

Nota

Si necesita reprogramar o cancelar la actualización de claves gestionadas por el cliente, consulte Para reprogramar o cancelar una actualización para activar claves gestionadas por el cliente.

Reprogramación o cancelación de una actualización para activar claves gestionadas por el cliente

Puede reprogramar o cancelar una actualización para cambiar a claves gestionadas por el cliente siempre que el estado de la actualización sea Programada. Si la actualización está en curso o se ha completado, la actualización no se puede cancelar ni deshacer.

Puede cancelar o reprogramar la actualización usted mismo en la consola de OCI, utilizando las instrucciones de este tema.

Para reprogramar o cancelar una actualización para activar claves gestionadas por el cliente

Nota

El estado de la actualización debe ser Programado para utilizar estas instrucciones.

En la página de lista Entornos, seleccione el entorno con el que desea trabajar. Si necesita ayuda para buscar la página de lista, consulte Para mostrar entornos.
En la página Detalles del entorno, seleccione Seguridad.
En Cifrado, busque la fila Gestionada por el cliente. Seleccione el menú Acciones (tres puntos) y, a continuación, seleccione Volver a programar o Cancelar.
Solo reprogramar: si está reprogramando la actualización para claves gestionadas por el cliente, seleccione una nueva fecha y, a continuación, seleccione Enviar.
Nota

Asegúrese de que la hora que seleccione para la actualización no entre en conflicto con otras actividades de entorno importantes, como una operación de refrescamiento. Para las operaciones de refrescamiento, esto significa que ni el entorno de origen ni el de destino se pueden actualizar para las claves gestionadas por el cliente mientras se realiza el refrescamiento.
Cancelar solo: si está cancelando la actualización, escriba el nombre del entorno para confirmar que desea cancelar la actualización y, a continuación, seleccione Cancelar clave programada.

Visualización del estado y los detalles de las claves

Para ver el estado y los detalles de la clave:

En la página de lista Entornos, seleccione el entorno con el que desea trabajar. Si necesita ayuda para buscar la página de lista, consulte Para mostrar entornos.
En la página Detalles del entorno, seleccione Seguridad.
En Cifrado, seleccione los nombres de Almacén y Clave para desplazarse a estos recursos para obtener más información.

Trabajar con claves gestionadas por el cliente

Después de agregar claves gestionadas por el cliente a los entornos de Fusion Applications, puede:

Cambiar la clave de cifrado maestra gestionada por el cliente
Rotar una clave
Desactivar una clave
Activar una llave
Suprimir una Clave

Importante

No agregue ni cambie una clave gestionada por el cliente ni rote una clave, más de dos veces en un período de 24 horas.

Cambio y rotación de claves

Puede cambiar la clave de cifrado maestra y rotar las versiones de la clave según sea necesario.

Importante

No rote las claves más de una vez cada 15 minutos. De lo contrario, la rotación de claves tardará más en completarse.

En la página de lista Entornos, seleccione el entorno con el que desea trabajar. Si necesita ayuda para buscar la página de lista, consulte Para mostrar entornos.
En la página Detalles del entorno, seleccione Seguridad.
En Cifrado, seleccione Cambiar clave de cifrado.
En el panel Cambiar clave de cifrado, seleccione un almacén.
Si utiliza la recuperación ante desastres (DR), debe seleccionar un almacén que admita la replicación. Todos los almacenes privados admiten la replicación. Para los almacenes virtuales, consulte Replicación de almacenes y claves para obtener información sobre cómo averiguar si un almacén virtual admite la replicación.
Si el almacén seleccionado está en un compartimento diferente, puede que necesite crear políticas de IAM para el acceso al almacén. Consulte 3. Agregue la política del sistema para activar las claves gestionadas por el cliente en su arrendamiento para obtener más información.
Seleccione una Clave de cifrado maestra.
Seleccione Enviar y, a continuación, confirme que desea cambiar la clave.

Para rotar una clave

Las claves se rotan en función de la práctica de seguridad de la organización. Puede configurar un trabajo de la CLI para rotar automáticamente las claves o el administrador de seguridad designado puede rotarlas manualmente mediante la interfaz de usuario de la consola del servicio de Vault. Consulte Conceptos de gestión de claves y secretos para obtener más información sobre las versiones de claves.

Para poder rotar una clave, se deben cumplir las siguientes condiciones:

El estado del ciclo de vida del entorno debe ser Activo y el estado debe ser Disponible.
No debe haber alcanzado el límite de versiones de clave disponibles para el almacén. Los refrescamientos de producción a prueba en aquellos en los que el ambiente de prueba utiliza claves gestionadas por la cliente también consumirán versiones en clave, por lo que los P2Ts frecuentes también reducirán el número de versiones en clave restantes en un almacén.

Qué esperar durante la rotación de claves:

No hay tiempo de inactividad y el estado del entorno sigue siendo Disponible.
Un mensaje de banner en la página de detalles del entorno le avisa de que la rotación está en curso.
El estado de la clave se muestra como Rotación en curso.

Siga el procedimiento Rotating a Vault Key en la documentación de Vault.

Para verificar la rotación de claves

Después de rotar una clave, puede verificar la rotación en la página de detalles del entorno:

En la página de lista Entornos, seleccione el entorno con el que desea trabajar. Si necesita ayuda para buscar la página de lista, consulte Para mostrar entornos.
En la página Detalles del entorno, seleccione Seguridad.
En Cifrado, seleccione la versión de clave para verificar que se corresponda con la versión del servicio Vault.

Desactivación y activación de claves

Si encuentra una situación en la que desea cerrar Fusion Applications y acceder a la base de datos de Fusion, el administrador de seguridad puede desactivar la clave para forzar la salida inmediata de todos los usuarios del sistema.

Advertencia

La desactivación de una clave podría provocar la pérdida de datos. Si la clave está desactivada, el servicio de Fusion Applications cloud intentará de forma proactiva cerrar el entorno para minimizar la posibilidad de fallos mientras se utiliza el entorno. Sin embargo, una vez desactivada la clave, el entorno nunca se podrá reiniciar hasta que vuelva a activarse. Si bien la clave permanece en estado desactivado, ningún servicio de Fusion Applications en la nube podrá acceder a cualquier dato de clientes guardado anteriormente.

Qué se debe esperar al desactivar una clave:

El estado del entorno se actualiza a No disponible. El estado del ciclo de vida se actualiza a Desactivado. Todos los usuarios se ven forzados a salir de la aplicación.
Un mensaje de banner en la página de detalles del entorno le avisa de que el cifrado se ha desactivado.
El estado de la clave se muestra como Desactivado.

Nota

Al iniciar la desactivación de una clave, se realizan una serie de procesos para cerrar los componentes del entorno (por ejemplo, las prestaciones de bases de datos, el nivel medio y las equilibradores de carga), que pueden tardar hasta una hora en completarse. No intente volver a activar una clave hasta que estos procesos hayan finalizado.

Del mismo modo, al iniciar la activación de una clave, la finalización del juego de procesos para realizar la copia de seguridad del sistema puede tardar hasta una hora.

Para desactivar una clave

Siga el procedimiento Disabling a Vault Key en la documentación de Vault.

Para activar una clave

Siga el procedimiento Enabling a Vault Key en la documentación de Vault.

Supresión de claves

Los permisos otorgados al rol delete para claves y almacenes no incluyen la supresión de claves y almacenes. La supresión de claves y almacenes es una operación altamente destructiva y solo la debe realizar el administrador del arrendamiento en circunstancias excepcionales.

Cuando un administrador de arrendamiento suprime una clave, cualquier dato o recurso de OCI (incluida su base de datos de Fusion Applications) cifrado por esta clave se vuelve inmediatamente inutilizable o irrecuperable.

Le recomendamos que haga una copia de seguridad de una clave antes de programar su supresión. Con una copia de seguridad, puede restaurar la clave y el almacén si desea continuar usándola de nuevo más tarde.

Para obtener más información, consulte Supresión de una clave de almacén.

Documentación de Oracle Cloud Infrastructure