Claves de cifrado maestras en la base de datos de IA autónoma en la infraestructura de Exadata dedicada

Por defecto, la base de datos de IA autónoma en una infraestructura de Exadata dedicada crea y gestiona todas las claves de cifrado maestras que se utilizan para proteger los datos, almacenándolas en un almacén de claves PKCS 12 seguro en los mismos sistemas Exadata en los cuales residen las bases de datos. Estas claves se denominan claves de cifrado gestionadas por Oracle.

Mediante el uso de claves gestionadas por Oracle, Oracle garantiza el ciclo de vida completo de las claves como metadatos gestionados por Oracle. En los despliegues de Exadata Cloud@Customer, el acceso a las copias de seguridad es una responsabilidad compartida y el cliente debe garantizar la accesibilidad del archivo de copia de seguridad y el entorno de base de datos para que las API de Oracle funcionen con las operaciones internas del ciclo de vida de gestión de claves.

Si las políticas de seguridad de su compañía lo requieren, Autonomous AI Database puede utilizar las claves que cree y gestione mediante el almacén de claves de Oracle en su lugar. En el caso de los despliegues de Oracle Public Cloud, también puede utilizar el servicio Oracle Cloud Infrastructure Vault para crear y gestionar claves. Los clientes con conformidad normativa para almacenar claves fuera de Oracle Cloud o de cualquier entorno local en la nube de terceros pueden utilizar un servicio de gestión de claves externo (KMS externo).

Al crear una clave gestionada por el cliente mediante el servicio OCI Vault, también puede importar su propio material de claves (Traiga su propia clave o BYOK) en lugar de permitir que el servicio Vault genere el material de claves internamente.

Precaución: dado que las claves gestionadas por el cliente almacenadas en Oracle Key Vault (OKV) son externas al host de la base de datos, cualquier cambio o interrupción de configuración que haga que OKV no sea accesible para la base de datos mediante sus claves hace que sus datos sean inaccesibles.

En Autonomous AI Database on Oracle Database@AWS, puede utilizar AWS Key Management Service (AWS KMS) para gestionar las claves de cifrado maestras.

Además, independientemente de si utiliza claves gestionadas por Oracle o por el cliente, puede rotar las claves que se utilizan en las bases de datos existentes cuando sea necesario para cumplir las políticas de seguridad de la compañía. Consulte Rotate the Encryption Keys para obtener más información.

Antes de empezar: mejores prácticas de jerarquía de compartimentos

Oracle recomienda crear una jerarquía de compartimentos para el despliegue de la base de datos de IA autónoma en la infraestructura dedicada de la siguiente manera:

• Un compartimento "principal" para todo el despliegue

• Compartimentos "secundarios" para cada uno de los distintos tipos de recursos:

  • Bases de datos de IA autónomas

  • Recursos de infraestructura y de bases de datos de contenedores autónomas (infraestructuras de Exadata y clusters de VM de Exadata autónomos)

  • La VCN (red virtual en la nube) y sus subredes

  • Almacenes que contienen sus claves gestionadas por el cliente

Seguir esta práctica recomendada es especialmente importante cuando Se utilizan claves gestionadas por el cliente porque la sentencia de política que crea para otorgar a la base de datos de IA autónoma acceso a sus claves se debe agregar a una política que en el compartimento que contiene el almacén y las claves sea superior al compartimento que contiene.

Uso de Claves Gestionadas por El Cliente en el Servicio Vault

Para utilizar claves gestionadas por un cliente almacenadas en el servicio Vault, debe realizar diversas tareas de configuración preparatorias para crear un almacén y claves del cifrado maestras y, a continuación, poner ese almacén y sus claves a disposición de Autonomous AI Database; en concreto:

1. Cree un almacén en el servicio Vault siguiendo las instrucciones de Para crear un almacén nuevo en la Documentación de Oracle Cloud Infrastructure. Al seguir estas instrucciones, Oracle recomienda crear el almacén en un compartimento creado específicamente para contener los almacenes que contienen claves gestionadas por el cliente.
   
   Una vez creado el almacén, puede crear al menos una clave del cifrado maestra en el almacén siguiendo las instrucciones de Para crear una nueva clave del cifrado maestra en la documentación de Oracle Cloud Infrastructure. Cuando siga estas instrucciones, elija estas opciones:

   • Crear en compartimento: Oracle recomienda crear la clave del cifrado maestra en el mismo compartimento que su almacén; es decir, el compartimento creado específicamente para contener los almacenes de claves gestionadas por el cliente.

   • Modo de protección: seleccione un valor adecuado en la lista desplegable:

     • HSM para crear una clave del cifrado maestra que se almacena y procesa en un módulo para la seguridad del hardware (HSM).

     • Software para crear una clave del cifrado maestra que se almacena en un sistema del software en el servicio Vault. Las claves protegidas por software se protegen en reposo mediante una clave raíz basada en HSM. Puede exportar claves de software a otros dispositivos de gestión de claves o a una región de OCI en la nube diferente. A diferencia de las claves HSM, las claves protegidas por software son gratuitas.

   • Unidad de clave: algoritmo: AES

   • Unidad de clave: longitud: 256 bits

   Nota: También puede agregar una clave de cifrado a un almacén existente.

2. Utilice el servicio Networking para crear un gateway de servicio, una regla de ruta y una regla de seguridad de salida a la VCN (red virtual en el nube) y a las subredes en las cuales residen sus recursos de base de datos de IA autónoma.

3. Utilice el servicio IAM para crear un grupo dinámico que identifique sus recursos de base de datos de IA autónoma y una sentencia que otorgue a dicho grupo dinámico acceso a las claves del cifrado maestras que ha creado.

   Tip: For a “try it out” alternative that demonstrates these instructions, see Lab 17: Customer Controlled Database Encryption Keys in Oracle Autonomous AI Database Dedicated for Security Administrators.

Después de configurar la clave gestionada por el cliente mediante los pasos anteriores, puede configurarla al aprovisionar una base de datos de contenedores autónoma (ACD) o rotando la clave de cifrado existente desde la página Detalles de ACD o una base de datos de IA autónoma. Las bases de datos de IA autónomas aprovisionadas en esta ACD heredarán automáticamente estas claves de cifrado. Consulte Create an Autonomous Container Database o Rotate the Encryption Key of an Autonomous Container Database para obtener más información.

Si desea activar Autonomous Data Guard entre regiones, primero debe replicar el almacén de OCI en la región en la que desea agregar la base de datos en espera. Consulte Replicación de almacenes y claves para obtener más información.

Nota: Los almacenes virtuales creados antes de que se introdujera la función de replicación de almacén entre regiones no se pueden replicar entre regiones. Cree un nuevo almacén y nuevas claves si tiene un almacén que necesita replicar en otra región y la replicación no está soportada para ese almacén. Sin embargo, todos los almacenes privados admiten la replicación entre regiones. Consulte Replicación de almacén virtual entre regiones para obtener más información.

Uso de Traiga sus propias claves (BYOK) en el servicio Vault

SE APLICA A: Solo Oracle Public Cloud

Al crear una clave gestionada por el cliente mediante el servicio OCI Vault, también puede importar su propio material de claves (Traiga su propia clave o BYOK) en lugar de permitir que el servicio Vault genere el material de claves internamente.

Para poder usar claves propias en el servicio Vault, debe realizar diversas tareas de configuración preparatorias para crear un almacén y importar la clave de cifrado maestra y, a continuación, hacer que ese almacén y sus claves estén disponibles para Autonomous AI Database; en concreto:

1. Cree un almacén en el servicio Vault siguiendo las instrucciones de Para crear un almacén nuevo en la Documentación de Oracle Cloud Infrastructure. Al seguir estas instrucciones, Oracle recomienda crear el almacén en un compartimento creado específicamente para contener los almacenes que contienen claves gestionadas por el cliente.

   Una vez creado el almacén, puede crear al menos una clave del cifrado maestra en el almacén siguiendo las instrucciones de Para crear una nueva clave del cifrado maestra en la documentación de Oracle Cloud Infrastructure. También puede importar una clave de cifrado de cliente en un almacén existente. Cuando siga estas instrucciones, elija estas opciones:

   • Crear en compartimento: Oracle recomienda crear la clave del cifrado maestra en el mismo compartimento que su almacén; es decir, el compartimento creado específicamente para contener los almacenes de claves gestionadas por el cliente.

   • Modo de protección: seleccione un valor adecuado en la lista desplegable:

     • HSM para crear una clave del cifrado maestra que se almacena y procesa en un módulo para la seguridad del hardware (HSM).

     • Software para crear una clave del cifrado maestra que se almacena en un sistema del software en el servicio Vault. Las claves protegidas por software se protegen en reposo mediante una clave raíz basada en HSM. Puede exportar claves de software a otros dispositivos de gestión de claves o a una región de OCI en la nube diferente. A diferencia de las claves HSM, las claves protegidas por software son gratuitas.

   • Unidad de clave: algoritmo: AES

   • Unidad de clave: longitud: 256 bits

   • Importar clave externa: para utilizar una clave de cifrado de cliente (BYOK), seleccione Importar clave externa y proporcione los siguientes detalles:

     • Información básica de encapsulado. Esta sección es de solo lectura, pero puede ver los detalles de la clave de encapsulado pública.

     • Algoritmo de encapsulado. Seleccione un algoritmo de ajuste de la lista desplegable.

     • Origen de datos de clave externa. Cargue el archivo que contiene el material de claves RSA encapsulado.

     Nota: Puede importar el material de claves como una nueva versión de clave externa o hacer clic en el nombre de una clave de cifrado maestra existente y rotarlo a una nueva versión de clave. Consulte Importación de material de claves como versión de clave externa para obtener más información.

2. Utilice el servicio Networking para crear un gateway de servicio, una regla de ruta y una regla de seguridad de salida a la VCN (red virtual en el nube) y a las subredes en las cuales residen sus recursos de base de datos de IA autónoma.

3. Utilice el servicio IAM para crear un grupo dinámico que identifique sus recursos de base de datos de IA autónoma y una sentencia que otorgue a dicho grupo dinámico acceso a las claves del cifrado maestras que ha creado.

Después de configurar el BYOK gestionado por el cliente mediante los pasos anteriores, puede utilizarlo rotando la clave de cifrado existente en la página Detalles de la base de datos de contenedores autónoma o la base de datos de IA autónoma. Consulte Rotate the Encryption Key of an Autonomous Container Database para obtener más información.

Uso de claves externas del servicio OCI External Key Management (OCI EKMS)

SE APLICA A: Solo Oracle Public Cloud

Para utilizar claves externas de OCI EKMS, debe realizar diversas tareas de configuración preparatorias para crear un almacén y sus claves a disposición de la base de datos de IA autónoma.

En OCI EKMS, puede almacenar y controlar claves de cifrado maestras (como claves externas) en un sistema de gestión de claves de terceros alojado fuera de OCI. Puede utilizar esto para mejorar la seguridad de los datos o si tiene conformidad normativa para almacenar claves fuera de Oracle Public Cloud o de cualquier entorno local en la nube de terceros. Con las claves reales que residen en el sistema de gestión de claves de terceros, solo crea referencias de claves en OCI.

1. Puede crear y gestionar un almacén que contenga referencias de clave en OCI EKMS. Puede utilizar las claves de OCI EKMS con Autonomous AI Database en una infraestructura de Exadata dedicada desplegada en Oracle Public Cloud. Consulte Creación de un almacén en OCI EKMS para obtener más información. Cuando siga estas instrucciones, elija estas opciones:

   • Crear en compartimento: seleccione un compartimento para el almacén de EKMS de OCI.

   • URL de nombre de cuenta de IDCS: introduzca la URL de autenticación que utiliza para acceder al servicio de KMS. La consola redirige a una pantalla de inicio de sesión.

   • Proveedor de Key Management: seleccione un proveedor de terceros que despliegue el servicio de gestión de claves. Por ahora, OCI KMS solo soporta Thales como proveedor de gestión de claves externo.

   • ID de aplicación de cliente: introduzca el ID de cliente de KMS de OCI generado al registrar la aplicación cliente confidencial en el dominio de identidad de Oracle.

   • Secreto de aplicación de cliente: introduzca el ID secreto de la aplicación de cliente confidencial registrada en el dominio de identidad de Oracle.

   • Punto final privado en compartimento: seleccione el GUID de punto final privado de la gestión de claves externas.

   • URL de almacén externo: introduzca la URL de almacén que se generó al crear el almacén en la gestión de claves externas.

2. Utilice el servicio Networking para crear un gateway de servicio, una regla de ruta y una regla de seguridad de salida a la VCN (red virtual en el nube) y a las subredes en las cuales residen sus recursos de base de datos de IA autónoma.

3. Utilice el servicio IAM para crear un grupo dinámico que identifique sus recursos de base de datos de IA autónoma y una sentencia que otorgue a dicho grupo dinámico acceso a las claves del cifrado maestras que ha creado.

Uso de claves gestionadas por el cliente en AWS KMS

En Autonomous AI Database on Oracle Database@AWS, puede utilizar AWS Key Management Service (AWS KMS) para gestionar las claves de cifrado maestras.

Antes de poder utilizar claves gestionadas por el cliente en el KMS de AWS, debe activar la gestión de claves de AWS a nivel de AVMC. Después de crear AVMC, tiene la opción de habilitar AWS KMS desde la página Detalles de AVMC. Mientras el AVMC esté vacío y no tenga ACD, tendrá la opción de desactivar la configuración de administración de claves de AWS KMS desde la página de detalles de AVMC. Durante la creación de ACD, puede elegir una clave de AWS KMS como tipo de clave.

Creación de un gateway de servicio, una regla de ruta y una regla de seguridad de salida

El gateway de servicios de Oracle Cloud Infrastructure (OCI) proporciona acceso privado y seguro a varios servicios de Oracle Cloud simultáneamente desde una red virtual en la nube (VCN) o una red local a través de un único gateway sin recorrer Internet.

Cree una puerta de enlace de servicio en la VCN (redes virtuales en la nube) donde residen los recursos de la base de datos de IA autónoma siguiendo las instrucciones del Tarea 1: creación de la puerta de enlace de servicio en la Documentación de Oracle Cloud Infrastructure.

Después de crear el gateway de servicio, agregue una regla de ruta y una regla de seguridad de salida a cada subred (en la VCN) donde residan las bases de datos de IA autónoma para que estos recursos puedan utilizar el gateway para acceder al servicio Vault:

1. Vaya a la página Detalles de la subred de la subred.

2. En el separador Información de subredes, haga clic en el nombre de la Tabla de ruta de la subredes para mostrar su página Detalles de tabla de ruta.

3. En la tabla de Reglas de Ruta existentes, compruebe si ya hay una regla con las siguientes características:

   • Destino: todos los servicios de IAD en Oracle Services Network

   • Tipo de destino: gateway de servicio

   • Destino: nombre del Gateway de servicio que acabará de crear en la VCN

   Si dicha regla no existe, haga clic en Agregar reglas de ruta y agregue una regla de ruta con estas características.

4. Vuelva a la página Detalles de la subred de la subred.

5. En la tabla Listas de seguridad de La subred, haga clic en el nombre de su lista de seguridad para mostrar su página Detalles de Lista de seguridad.

6. En el menú lateral, en Recursos, haga clic en Reglas de salida.

7. En la tabla de Reglas de salida existentes, compruebe si ya hay una regla con las siguientes características:

   • Sin estado: no

   • Destino: todos los servicios de IAD en Oracle Services Network

   • Protocolo IP: TCP

   • Source Port Range: todo

   • Rango de puertos de destino: 443

   Si dicha regla no existe, haga clic en Agregar reglas de entrada y agregue una regla de salida con estas características.

Creación de un grupo dinámico y una sentencia de política

Para otorgar permiso a los recursos de la base de datos de IA autónoma para acceder a claves gestionadas por los clientes, cree un grupo dinámico de la instancia de IAM que identifique estos recursos y, luego, cree una política de IAM que otorgue acceso a este grupo dinámico a las claves de cifrado maestras creadas en el servicio Vault.

Al definir el grupo dinámico, identificará los recursos de la base de datos de IA autónoma especificando el OCID del compartimento que contiene el recurso de infraestructura deExadata.

1. Copie el OCID del compartimento que contiene el recurso de infraestructura de Exadata. Puede encontrar este OCID en la página Detalles del compartimiento del compartimento.

2. Cree un grupo dinámico siguiendo las instrucciones de Para crear un grupo dinámico en la Documentación de Oracle Cloud Infrastructure. Al seguir estas instrucciones, introduzca una regla de coincidencia con este formato:

    ALL {resource.compartment.id ='<compartment-ocid>'}
   

   donde <compartment-ocid> es el OCID del compartimento que contiene el recurso de cluster de VM de Exadata autónomo.

Después de crear el grupo dinámico, desplácese hasta (o cree) una política de IAM de un compartimento de la jerarquía de compartimentos que esté por encima del compartimento que contiene sus almacenes y claves. A continuación, agregue una sentencia de política con este formato:

allow dynamic-group <dynamic-group-name>
to manage keys
in compartment <vaults-and-keys-compartment>
where all {
target.key.id='<key_ocid>',
request.permission!='KEY_MOVE',
request.permission!='KEY_IMPORT'
}

Si utiliza un almacén virtual replicado o un almacén virtual privado replicado para el despliegue de Autonomous Data Guard, agregue una sentencia de política adicional con este formato:

allow dynamic-group <dynamic-group>
to read vaults
in tenancy | compartment <vaults-and-keys-compartment>

donde <dynamic-group> es el nombre del grupo dinámico que ha creado y <vaults-and-keys-compartment> es el nombre del compartimento en el que ha creado el almacén y las claves de cifrado maestras.

Uso de claves gestionadas por la cliente en Oracle Key Vault

Oracle Key Vault (OKV) es un dispositivo de software de pila completa, reforzada y de seguridad diseñado para centralizar la gestión de las claves y de los objetos de seguridad en su empresa. Puede integrar su despliegue de OKV local con Oracle Autonomous AI Database en una infraestructura de Exadata dedicada para crear y gestionar sus propias claves maestras.

Para poder utilizar claves gestionadas por el cliente almacenadas en OKV, debe realizar una serie de tareas de configuración preparatorias, como se describe en Prepare to Use Oracle Key Vault.

Después de completar las tareas de configuración preparatorias, puede asociar las claves de gestor de clientes en OKV al aprovisionar una base de datos de contenedores autónoma (ACD) y todas las bases de datos de IA autónomas aprovisionadas en esta ACD heredarán automáticamente estas claves de cifrado. Consulte la sección sobre creación de una base de datos de contenedores autónoma para obtener más información.

Nota: Si desea activar Autonomous Data Guard entre regiones, asegúrese de que ha agregado direcciones IP de conexión para el cluster de OKV en el almacén de claves.

Visión general de los puntos finales de OKV:

Los puntos finales de Oracle Key Vault son sistemas informáticos como servidores de aplicaciones o bases de datos, en los que se utilizan claves y credenciales para acceder a los datos. Debe registrar e inscribir un punto final para comunicarse con Oracle Key Vault. Posteriormente, las claves del punto final se pueden cargar en Oracle Key Vault y compartir con otros puntos finales y, a continuación, descargar desde estos puntos finales para que los usuarios puedan acceder a sus datos.

Solo un usuario con el rol Administrador del sistema o el privilegio Crear punto final puede agregar un punto final a Oracle Key Vault. Después de agregar el punto final, el administrador del punto final puede inscribir el punto final descargando e instalando el software del punto final en el punto final. A continuación, el punto final puede utilizar las utilidades empaquetadas con el software de punto final para cargar y descargar objetos de seguridad en Oracle Key Vault y desde este.

Contenido relacionado

Funciones clave de seguridad