Seguridad de los logs en Logging Analytics

Oracle Logging Analytics proporciona una transferencia y un almacenamiento de datos seguros para los logs. El servicio aprovecha las distintas funciones de seguridad que están inherentemente disponibles en Oracle Cloud Infrastructure (OCI) y las amplía para proteger sus logs.

Seguridad de registros en tránsito

Cuando los datos están en tránsito, toda la comunicación desde fuera de OCI hasta dentro de OCI se produce a través del protocolo https que tiene activada la capa de cifrado. Esto garantiza la protección de datos confidenciales frente a ataques de suplantación de identidad de MitM.

Seguridad de logs en reposo

Las siguientes funciones garantizan que los logs permanezcan seguros mientras están inactivos en OCI, ya sean datos activos o archivados:

Cifrado del servidor AES-256: OCI siempre cifra y descifra todos los volúmenes en bloque, volúmenes de inicio, copias de seguridad de volumen y almacenamiento de objetos en el servidor mediante el algoritmo Estándar de cifrado avanzado (AES) con cifrado de 256 bits. Consulte Cifrado de almacenamiento de objetos y Cifrado de volumen en bloque en la documentación de Oracle Cloud Infrastructure.

El cifrado está activado por defecto y no se puede desactivar. Por defecto, Oracle gestiona la clave de cifrado maestra.
Cifrado de cliente de 256 bits AES/GCM: el SDK para Python y el SDK para Java de OCI soportan el cifrado de cliente, que cifra los datos del cliente antes de almacenarlos de forma local o utilizarlos con otros servicios de OCI. Consulte la documentación de Oracle Cloud Infrastructure: cifrado de cliente.
Claves de cifrado proporcionadas por el cliente: Oracle Logging Analytics permite utilizar su propia clave de cifrado que ha almacenado en OCI Vault para cifrar sus logs. Después de realizar la solicitud de cifrado con sus propias claves poniéndose en contacto con los Servicios de Soporte Oracle, según el tamaño de los datos de log, Oracle crea un volumen en bloque dedicado o un cubo de almacenamiento de objetos. Esto garantiza que los datos estén separados y se puedan cifrar de forma selectiva.

Al activar la función, puede seleccionar utilizar la clave de cifrado en los volúmenes en bloque para los datos activos o el almacenamiento de objetos para los datos de archivo.

Para obtener más información, consulte Uso de su propia clave de cifrado.

Uso de su propia clave de cifrado

En los siguientes pasos se proporciona el flujo de trabajo para establecer su propia clave de cifrado y utilizarla en Oracle Logging Analytics.

Temas:

Nota

ADVERTENCIA: Evite la pérdida de datos

En cualquiera de los siguientes escenarios, la recopilación de datos fallará y se perderán sus datos en Oracle Logging Analytics:

Si suprime una clave antigua o nueva cuando la rotación de claves está en curso
Si suprime la clave que se utiliza actualmente para el cifrado
Si cambia las políticas de IAM que pertenecen al cifrado proporcionado por el cliente, lo que hace que los servicios de Oracle Cloud no puedan acceder al almacenamiento de datos.

Pasos para utilizar su propia clave de cifrado con Oracle Logging Analytics

Si sigue estos pasos, puede utilizar correctamente su propia clave de cifrado en Oracle Logging Analytics, confirmar las claves existentes y supervisar su asignación mediante los comandos oci cli:

Solicitar activación de funciones:

Póngase en contacto con los Servicios de Soporte Oracle para activar la función Clave de cifrado proporcionada por el cliente para su arrendamiento. Presente una solicitud de servicio (SR) desde el portal de soporte de Oracle Cloud.

Continúe con los siguientes pasos solo después de que Oracle confirme que la función está activada.
Configuración de las políticas de IAM necesarias:

Asegúrese de que se crean las sentencias de política de IAM necesarias para la gestión de claves, el acceso a los datos desde los recursos dedicados y la posibilidad de que Oracle Logging Analytics utilice la clave de cifrado en los logs. Consulte Permitir el uso de claves proporcionadas por el cliente para cifrar logs.
Crear o seleccionar clave de cifrado en OCI Vault:

Vaya a Seguridad de OCI y seleccione Almacén. Seleccione o cree un almacén y, a continuación, cree o seleccione la clave que desea utilizar. Con OCI Vault, puede gestionar almacenes, claves y secretos. Consulte la documentación de Oracle Cloud Infrastructure: gestión de claves.

Nota

Utilice solo la clave de cifrado Advanced Encryption Standard (AES-256) de 256 bits para los volúmenes en bloque (datos de almacenamiento activos). Consulte Claves de cifrado de Block Volume.
Tenga en cuenta el OCID de la clave de cifrado:

Busque y copie el OCID de la clave seleccionada en el almacén para utilizarlo en los siguientes pasos.
Asigne la clave al almacenamiento de Oracle Logging Analytics:

Asigne la clave con una solicitud de oci cli.
```
oci log-analytics storage assign-encryption-key --key-id <key-id> --key-type <key_type> --namespace-name <namespace_name>
```
- Sustituya <key-id> por el OCID de la clave de cifrado.
- Defina <key_type> como "ACTIVE_DATA" para el almacenamiento activo o "ARCHIVAL_DATA" para el almacenamiento en archivo.
- Sustituya <namespace_name> por el nombre del espacio de nombres del arrendamiento.
Observe el ID de solicitud de trabajo de la respuesta al comando anterior.

Para obtener más información sobre el comando, los parámetros y los ejemplos de la CLI, consulte assign-encryption-key.
Supervisar el estado de asignación de la clave de cifrado:

Para realizar un seguimiento del progreso, utilice el ID de solicitud de trabajo de la respuesta anterior:
```
oci log-analytics storage get-storage-work-request --namespace-name <namespace_name> --work-request-id <work_request_id>
```
- Sustituya <work_request_id> por el ID devuelto de la llamada oci cli assign-encryption-key.
- Sustituya <namespace_name> por el nombre del espacio de nombres del arrendamiento.
- Revise la respuesta para ver el estado y los detalles. La asignación de claves se completa cuando el estado de la respuesta es SUCCEEDED.
Para obtener más información sobre el comando, los parámetros y los ejemplos de la CLI, consulte get-storage-work-request.

Solicitud de ejemplo:
```
{
  "compartmentId": "ocid1.tenancy.oc1..xxxxx",
  "id": "ocid1.loganalyticsstorageworkrequest.oc1.xxxxx",
  "operationDetails": "Encryption Completed",
  "operationType": "ENCRYPT_ACTIVE_DATA",
  "percentComplete": 100,
  "status": "SUCCEEDED",
  "statusDetails": "ENCRYPTED",
  "timeAccepted": "2025-05-30T18:29:05.153+00:00",
  "timeExpires": null,
  "timeFinished": "2025-05-30T18:30:27.980+00:00",
  "timeStarted": "2025-05-30T18:30:23.054+00:00"
}
```

Una vez activada la función, los datos de log anteriores que residan en una ubicación diferente se seguirán cifrando mediante claves de cifrado gestionadas por OCI. Todos los datos nuevos que se obtengan después de la activación se cifrarán con su propia clave de cifrado.

Mostrar claves de cifrado de almacenamiento

Puede comprobar qué claves de cifrado están asociadas a su arrendamiento de Oracle Logging Analytics en cualquier momento:

oci log-analytics storage list-encryption-key-info --namespace-name <namespace_name>

Sustituya <namespace_name> por el nombre del espacio de nombres del arrendamiento.

Respuesta JSON de ejemplo:

[
  {
    "keyId": "ocid1.key.oc1..xxxxx",
    "keySource": "CUSTOMER_MANAGED",
    "keyType": "ACTIVE_DATA"
  },
  {
    "keyId": "ocid1.key.oc1..xxxxx",
    "keySource": "CUSTOMER_MANAGED",
    "keyType": "ARCHIVAL_DATA"
  }
]

Para obtener más información sobre el comando, los parámetros y los ejemplos de la CLI, consulte list-encryption-key-info.

Rotar claves de cifrado de almacenamiento

La rotación periódica de las claves de cifrado es una práctica recomendada para fortalecer la seguridad de los datos. En Oracle Logging Analytics, puede rotar la clave asignando una nueva mediante el comando assign-encryption-key oci cli. Los siguientes pasos muestran cómo rotar la clave, supervisar el progreso y limpiar la clave antigua cuando se completa el proceso.

Prepare la nueva clave de cifrado:

Genere o seleccione una nueva clave de cifrado en OCI Vault.

Nota

Utilice solo la clave de cifrado Advanced Encryption Standard (AES-256) de 256 bits para los volúmenes en bloque (datos de almacenamiento activos). Consulte Claves de cifrado de Block Volume.

Asegúrese de que Oracle Logging Analytics dispone de las políticas de IAM necesarias para utilizar la nueva clave. Consulte Permitir el uso de claves proporcionadas por el cliente para cifrar logs.
Asigne la clave al almacenamiento de Oracle Logging Analytics:

Asigne la clave con una solicitud de oci cli.
```
oci log-analytics storage assign-encryption-key --key-id <key-id> --key-type <key_type> --namespace-name <namespace_name>
```
- Sustituya <key-id> por el OCID de la clave de cifrado.
- Defina <key_type> como "ACTIVE_DATA" para el almacenamiento activo o "ARCHIVAL_DATA" para el almacenamiento en archivo.
- Sustituya <namespace_name> por el nombre del espacio de nombres del arrendamiento.
Para obtener más información sobre el comando, los parámetros y los ejemplos de la CLI, consulte assign-encryption-key.
Supervisar el estado de asignación de la clave de cifrado:

Para realizar un seguimiento del progreso, utilice el ID de solicitud de trabajo de la respuesta anterior:
```
oci log-analytics storage get-storage-work-request --namespace-name <namespace_name> --work-request-id <work_request_id>
```
- Sustituya <work_request_id> por el ID devuelto de la llamada oci cli assign-encryption-key.
- Sustituya <namespace_name> por el nombre del espacio de nombres del arrendamiento.
- Revise la respuesta para ver el estado y los detalles. La asignación de claves se completa cuando el estado de la respuesta es SUCCEEDED.
Para obtener más información sobre el comando, los parámetros y los ejemplos de la CLI, consulte get-storage-work-request.

Solicitud de ejemplo:
```
{
  "compartmentId": "ocid1.tenancy.oc1..xxxxx",
  "id": "ocid1.loganalyticsstorageworkrequest.oc1.xxxxx",
  "operationDetails": "Encryption Completed",
  "operationType": "ENCRYPT_ACTIVE_DATA",
  "percentComplete": 100,
  "status": "SUCCEEDED",
  "statusDetails": "ENCRYPTED",
  "timeAccepted": "2025-05-30T18:29:05.153+00:00",
  "timeExpires": null,
  "timeFinished": "2025-05-30T18:30:27.980+00:00",
  "timeStarted": "2025-05-30T18:30:23.054+00:00"
}
```
Eliminar la clave antigua:

Asegúrese de que la rotación se ha completado verificando que la respuesta a la llamada get-storage-work-request es SUCCEEDED. Después de verificar que la llamada list-encryption-key-info ahora solo muestra la nueva clave, puede eliminar de forma segura la clave antigua de OCI Vault. Consulte List Storage Encryption Keys.

Consejos Útiles para Rotar las Claves de Cifrado en Oracle Logging Analytics

Ambas claves son necesarias durante la rotación

Al iniciar la rotación de claves, tanto las claves old como las new deben permanecer activas y accesibles. La clave antigua garantiza que los datos cifrados existentes se puedan leer y volver a cifrar con la nueva clave.
Agregar una nueva clave para iniciar la rotación

Para iniciar la rotación, agregue la nueva clave de cifrado mediante el comando assign-encryption-key oci cli. Consulte Rotate Storage Encryption Keys.
No hay ningún período de espera obligatorio después de finalizar la rotación

No tiene que esperar un número de días definido. Una vez que se completa la rotación de claves, la clave antigua ya no es necesaria y se puede eliminar de OCI Vault de forma segura.
Duración de rotación
- Si no se ha activado el archivado:
  Tipo de clave ACTIVE_DATA: los datos activos y la copia de seguridad de datos activos se cifran con la clave especificada y se rotan ambos. La rotación de la copia de seguridad de datos activa suele tardar 1 TB = horas, 10 TB = días, 100 TB = semanas. Cuantos más datos tengas, más larga será la rotación.
- Si el archivado está activado:
  Tipo de clave ACTIVE_DATA: solo se rota la clave datos activos. El impacto del tamaño de los datos activos (10 TB, 20 TB y 100 TB) no es muy significativo. Normalmente, la rotación se completa rápidamente (en minutos a una hora), independientemente del tamaño de los datos.
  
  Tipo de clave ARCHIVAL_DATA: solo se rota la clave datos de archivado. La rotación de los datos de archivo suele tardar 1 TB = horas, 10 TB = días, 100 TB = semanas. Cuantos más datos tengas, más larga será la rotación.
No hay tiempo de retención fijo para la clave antigua
- La clave antigua se debe mantener hasta que todos los datos se vuelvan a cifrar con la nueva clave y se confirme que la rotación ha finalizado.
Cómo supervisar el progreso de la rotación

La operación de asignación de clave de cifrado es asíncrona. Después de enviar la solicitud de rotación de claves, realice un seguimiento del progreso mediante el workRequestId devuelto.

Consulte Rotate Storage Encryption Keys.

Cuando la solicitud de trabajo se completa correctamente con el estado SUCCEEDED y la llamada list-encryption-key-info ahora muestra solo la nueva clave, es seguro suprimir la clave antigua. Si la solicitud de trabajo falla, revise la respuesta para determinar el motivo del fallo e incorpore la corrección. Para obtener ayuda, póngase en contacto con Oracle Support.
Verificar qué clave está activa

Enumere las claves de cifrado actuales para confirmar que la nueva clave está en uso.

Consulte List Storage Encryption Keys.

Asegúrese de que la clave antigua ya no aparezca antes de la eliminación.
Mantener ambas claves accesibles

No suprima ni desactive la clave antigua hasta que la rotación se haya completado y validado por completo. La pérdida de acceso a la clave antigua durante la rotación puede provocar problemas de acceso a los datos.
Pruebe primero con datos más pequeños

Si es posible, considere una rotación de prueba en un juego de datos más pequeño para estimar el tiempo en su entorno de OCI.

En resumen, mantenga ambas claves disponibles durante la rotación, supervise la rotación mediante el estado de la solicitud de trabajo, elimine la clave antigua solo después de la finalización y espere que la rotación del archivo tarde más tiempo a medida que aumenta el tamaño de los datos. Verifique siempre el estado de la clave antes de la limpieza.

Volver a cifrado gestionado por Oracle

Si se enfrenta a problemas de escalabilidad/rendimiento debido a la rotación de claves o si no puede mantener el proceso de gestión de claves, puede que desee volver al cifrado gestionado por Oracle. Póngase en contacto con los Servicios de Soporte Oracle para volver al cifrado gestionado por Oracle para su arrendamiento. Presente una solicitud de servicio (SR) desde el portal de soporte de Oracle Cloud.

Permitir el uso de claves proporcionadas por el cliente para cifrar logs

Oracle Logging Analytics le permite utilizar su propia clave de cifrado que ha almacenado en OCI Vault para cifrar sus logs. Después de realizar la solicitud de cifrado con sus propias claves poniéndose en contacto con los Servicios de Soporte Oracle, en función del tamaño de los datos de log, Oracle crea volúmenes en bloque dedicados y un cubo de almacenamiento de objetos. Esto garantiza que los datos estén separados y se puedan cifrar de forma selectiva.

Para utilizar correctamente las claves para cifrar los datos de log, primero debe proporcionar los siguientes permisos para que los distintos servicios accedan a las claves y las utilicen:

Defina el arrendamiento de Logging Analytics donde se almacenan los datos, por ejemplo, logan_tenancy.
Defina un grupo dinámico de recursos que se pueda utilizar para realizar operaciones de cifrado, por ejemplo, encr_app_tier_group_of_logan.
Permita que el servicio Block Storage utilice las claves de cifrado y los almacenes almacenados en un compartimento específico de su arrendamiento, por ejemplo, el compartimento encryptionTier.
Permita que el servicio Object Storage utilice las claves de cifrado y los almacenes almacenados en un compartimento específico de su arrendamiento, por ejemplo, el compartimento encryptionTier.
Permita que el grupo dinámico definido en el paso 2 asocie las claves de cifrado a los volúmenes.
Permita que el grupo dinámico definido en el paso 2 asocie sus claves de cifrado con copias de seguridad de volumen.
Permita que el grupo dinámico definido en el paso 2 utilice la delegación de claves.
Permita que el grupo dinámico definido en el paso 2 asocie sus claves de cifrado a cubos de Object Storage.
Permita que el grupo dinámico definido en el paso 2 tenga acceso READ a las claves de cifrado.
Permita que el grupo dinámico definido en el paso 2 tenga acceso READ a los almacenes.

Las siguientes sentencias de política de IAM de ejemplo se asignan a las definiciones anteriores:

Define tenancy logan_tenancy as ocid1.tenancy.oc1..aaaaaaaa...
Define dynamic-group encr_app_tier_group_of_logan as ocid1.dynamicgroup.oc1..aaaaaaaa...
allow service blockstorage to use keys in compartment encryptionTier
allow service objectstorage to use keys in compartment encryptionTier
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to associate keys in compartment encryptionTier with volumes in tenancy logan_tenancy
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to associate keys in compartment encryptionTier with volume-backups in tenancy logan_tenancy
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to use key-delegate in compartment encryptionTier
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to associate keys in compartment encryptionTier with buckets in tenancy logan_tenancy
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to read keys in compartment encryptionTier
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to read vaults in compartment encryptionTier

Asegúrese de sustituir logan_tenancy, encr_app_tier_group_of_logan, encryptionTier y los OCID de ejemplo de las sentencias de política de IAM anteriores por los valores reales.

Documentación de Oracle Cloud Infrastructure