Claves de cifrado maestras en la base de datos de IA autónoma en la infraestructura de Exadata dedicada

Por defecto, la base de datos de IA autónoma en una infraestructura de Exadata dedicada crea y gestiona todas las claves de cifrado maestras que se utilizan para proteger los datos, almacenándolas en un almacén de claves PKCS 12 seguro en los mismos sistemas Exadata en los cuales residen las bases de datos. Estas claves se denominan claves de cifrado gestionadas por Oracle.

Mediante el uso de claves gestionadas por Oracle, Oracle garantiza el ciclo de vida completo de las claves como metadatos gestionados por Oracle. En los despliegues de Exadata Cloud@Customer, el acceso a las copias de seguridad es una responsabilidad compartida y el cliente debe garantizar la accesibilidad del entorno de base de datos y el archivo de copia de seguridad para que las API de Oracle funcionen con las operaciones internas del ciclo de vida de gestión de claves.

Si las políticas de seguridad de su compañía lo requieren, Autonomous AI Database puede utilizar las claves que crea y gestiona mediante el almacén de claves de Oracle en su lugar. Para despliegues de Oracle Public Cloud, también puede utilizar el servicio Oracle Cloud Infrastructure Vault para crear y gestionar claves. Los clientes con conformidad normativa para almacenar claves fuera de Oracle Cloud o de cualquier entorno local en la nube de terceros pueden utilizar un servicio de gestión de claves externo (KMS externo).

Al crear una clave gestionada por el cliente mediante el servicio OCI Vault, también puede importar su propio material de claves (Bring Your Own Key o BYOK) en lugar de permitir que el servicio Vault genere el material de claves internamente.

Atención:

Dado que las claves gestionadas por el cliente almacenadas en Oracle Key Vault (OKV) son externas al host de la base de datos, cualquier cambio o interrupción de configuración que haga que OKV sea inaccesible para la base de datos mediante sus claves hace que sus datos sean inaccesibles.

Además, independientemente de si utiliza claves gestionadas por Oracle o por el cliente, puede rotar las claves que se utilizan en las bases de datos existentes cuando sea necesario para cumplir las políticas de seguridad de la compañía. Consulte Rotate the Encryption Keys para obtener más información.

Antes de empezar: mejores prácticas de jerarquía de compartimentos

Oracle recomienda crear una jerarquía de compartimentos para el despliegue de la base de datos de IA autónoma en la infraestructura dedicada de la siguiente manera:
  • Un compartimento "principal" para todo el despliegue
  • Compartimentos "secundarios" para cada uno de los distintos tipos de recursos:
    • Base de datos de IA autónoma
    • Recursos de infraestructura y de bases de datos de contenedores autónomas (infraestructuras de Exadata y clusters de VM de Exadata autónomos)
    • La VCN (red virtual en la nube) y sus subredes
    • Almacenes que contienen sus claves gestionadas por el cliente

Seguir esta práctica recomendada es especialmente importante cuando las claves gestionadas por el cliente se utilizan porque la sentencia de política que crea para otorgar a Autonomous AI Database acceso a sus claves se debe agregar a una política que sea más alta en su jerarquía del compartimento que en el compartimento que contiene sus almacenes y las claves.

Temas relacionados

Uso de Claves Gestionadas por el Cliente en el Servicio Vault

Para utilizar claves gestionadas por los clientes almacenadas en el servicio Vault, debe realizar diversas tareas de configuración preparatorias para crear un almacén y claves del cifrado maestras y, a continuación, hacer que ese almacén y sus claves estén disponibles de Autonomous AI Database; en concreto:

  1. Cree un almacén en el servicio Vault siguiendo las instrucciones de Para crear un almacén nuevo en la Documentación de Oracle Cloud Infrastructure. Cuando siga estas instrucciones, Oracle recomienda crear el almacén en un compartimento creado específicamente para contener los almacenes que contienen claves gestionadas por el cliente, como se describe en Mejores prácticas de jerarquía de compartimentos.
    Después de crear el almacén, puede crear al menos una clave de cifrado maestra en el almacén siguiendo las instrucciones de To create a new master encryption key en la Documentación de Oracle Cloud Infrastructure. Cuando siga estas instrucciones, elija estas opciones:
    • Crear en compartimento: Oracle recomienda crear la clave de cifrado maestra en el mismo compartimento que su almacén; es decir, el compartimento creado específicamente para contener almacenes que contienen claves gestionadas por el cliente.
    • Modo de protección: seleccione un valor adecuado en la lista desplegable:
      • HSM para crear una clave de cifrado maestra que se almacena y procesa en un módulo de seguridad de hardware (HSM).
      • Software para crear una clave de cifrado maestra que se almacena en un sistema de archivos de software en el servicio Vault. Las claves protegidas por software se protegen en reposo mediante una clave raíz basada en HSM. Puede exportar claves de software a otros dispositivos de gestión de claves o a una región de OCI en la nube diferente. A diferencia de las claves HSM, las claves protegidas por software son gratuitas.
    • Algoritmo de unidad de clave: AES
    • Unidad de clave: longitud: 256 bits

    Note:

    También puede agregar una clave de cifrado a un almacén existente.
  2. Utilice el servicio Networking para crear un gateway de servicio, una regla de ruta y una regla de seguridad de salida a la VCN (red virtual en el nube) y a las subredes en las cuales residen sus recursos de Autonomous AI Database.
  3. Utilice el servicio IAM para crear un grupo dinámico que identifique sus recursos de la base de datos de IA autónoma y una sentencia del política que otorgue a dicho grupo dinámico acceso a las claves del cifrado maestras que ha creado.

Sugerencia:

Como alternativa de "prueba" para comprobar estas instrucciones, consulte el laboratorio 17 sobre claves de cifrado del cliente de Oracle Autonomous AI Database Dedicated for Security Administrators.

Después de configurar la clave gestionada por el cliente mediante los pasos anteriores, puede configurarla al aprovisionar una base de datos de contenedores autónoma (ACD) o rotando la clave de cifrado existente desde la página Detalles de ACD o Autonomous AI Database. Las base de datos de IA autónoma aprovisionadas en esta ACD heredarán automáticamente estas claves de cifrado. Consulte Create an Autonomous Container Database o Rotate the Encryption Key of an Autonomous Container Database para obtener más información.

Si desea activar Autonomous Data Guard entre regiones, primero debe replicar el almacén de OCI en la región en la que desea agregar la base de datos en espera. Consulte Replicación de almacenes y claves para obtener más información.

Note:

Los almacenes virtuales creados antes de que se introdujera la función de replicación de almacén entre regiones no se pueden replicar entre regiones. Cree un nuevo almacén y nuevas claves si tiene un almacén que necesita replicar en otra región y la replicación no está soportada para ese almacén. Sin embargo, todos los almacenes privados admiten la replicación entre regiones. Consulte Replicación de almacén virtual entre regiones para obtener más información.

Uso de Bring Your Own Keys (BYOK) en el servicio Vault

Se aplica a: Aplicable Oracle Public Cloud solo

Al crear una clave gestionada por el cliente mediante el servicio OCI Vault, también puede importar su propio material de claves (Bring Your Own Key o BYOK) en lugar de permitir que el servicio Vault genere el material de claves internamente.

Para poder introducir sus propias claves en el servicio Vault, debe realizar diversas tareas de configuración preparatorias para crear un almacén y importar la clave de cifrado maestra y, a continuación, hacer que ese almacén y sus claves estén disponibles para Autonomous AI Database; en concreto:
  1. Cree un almacén en el servicio Vault siguiendo las instrucciones de Para crear un almacén nuevo en la Documentación de Oracle Cloud Infrastructure. Cuando siga estas instrucciones, Oracle recomienda crear el almacén en un compartimento creado específicamente para contener los almacenes que contienen claves gestionadas por el cliente, como se describe en Mejores prácticas de jerarquía de compartimentos.
    Después de crear el almacén, puede crear al menos una clave de cifrado maestra en el almacén siguiendo las instrucciones de To create a new master encryption key en la Documentación de Oracle Cloud Infrastructure. También puede importar una clave de cifrado de cliente en un almacén existente. Cuando siga estas instrucciones, elija estas opciones:
    • Crear en compartimento: Oracle recomienda crear la clave de cifrado maestra en el mismo compartimento que su almacén; es decir, el compartimento creado específicamente para contener almacenes que contienen claves gestionadas por el cliente.
    • Modo de protección: seleccione un valor adecuado en la lista desplegable:
      • HSM para crear una clave de cifrado maestra que se almacena y procesa en un módulo de seguridad de hardware (HSM).
      • Software para crear una clave de cifrado maestra que se almacena en un sistema de archivos de software en el servicio Vault. Las claves protegidas por software se protegen en reposo mediante una clave raíz basada en HSM. Puede exportar claves de software a otros dispositivos de gestión de claves o a una región de OCI en la nube diferente. A diferencia de las claves HSM, las claves protegidas por software son gratuitas.
    • Algoritmo de unidad de clave: AES
    • Unidad de clave: longitud: 256 bits
    • Importar clave externa: para utilizar una clave de cifrado de cliente (BYOK), seleccione Importar clave externa y proporcione los siguientes detalles:
      • Información básica de encapsulado. Esta sección es de solo lectura, pero puede ver los detalles de la clave de ajuste pública.
      • Algoritmo de encapsulado. Seleccione un algoritmo de ajuste de la lista desplegable.
      • Origen de datos de clave externa. Cargue el archivo que contiene el material de claves RSA encapsulado.

    Note:

    Puede importar el material de claves como una nueva versión de clave externa o hacer clic en el nombre de una clave de cifrado maestra existente y rotarlo a una nueva versión de clave.

    Consulte Importing Key Material as an External Key Version para obtener más información.

  2. Utilice el servicio Networking para crear un gateway de servicio, una regla de ruta y una regla de seguridad de salida a la VCN (red virtual en el nube) y a las subredes en las cuales residen sus recursos de Autonomous AI Database.
  3. Utilice el servicio IAM para crear un grupo dinámico que identifique sus recursos de la base de datos de IA autónoma y una sentencia del política que otorgue a dicho grupo dinámico acceso a las claves del cifrado maestras que ha creado.

Después de configurar el BYOK gestionado por el cliente mediante los pasos anteriores, puede utilizarlo rotando la clave de cifrado existente desde la página Detalles de la base de datos de contenedores autónoma o la base de datos de IA autónoma. Consulte Rotate the Encryption Key of an Autonomous Container Database para obtener más información.

Uso de claves externas desde OCI External Key Management Service (OCI EKMS)

Se aplica solo a: Aplicable Oracle Public Cloud

Para utilizar claves externas de OCI EKMS, debe realizar diversas tareas de configuración preparatorias para crear un almacén y, a continuación, hacer que ese almacén y sus claves estén disponibles para la base de datos de IA autónoma.

En OCI EKMS, puede almacenar y controlar claves de cifrado maestras (como claves externas) en un sistema de gestión de claves de terceros alojado fuera de OCI. Puede utilizarlo para mejorar la seguridad de los datos o si cumple las normativas para almacenar claves fuera de Oracle Public Cloud o de cualquier entorno local en la nube de terceros. Con las claves reales que residen en el sistema de gestión de claves de terceros, solo crea referencias de clave en OCI.
  1. Puede crear y gestionar un almacén que contenga referencias de clave en OCI EKMS. Puede utilizar las claves de OCI EKMS con la base de datos de IA autónoma en infraestructura de Exadata dedicada desplegada en Oracle Public Cloud. Consulte Creación de un almacén en OCI EKMS para obtener más información. Cuando siga estas instrucciones, elija estas opciones:
    • Crear en compartimento: seleccione un compartimento para el almacén de EKMS de OCI.
    • URL de nombre de cuenta de IDCS: introduzca la URL de autenticación que utiliza para acceder al servicio de KMS. La consola redirige a una pantalla de inicio de sesión.
    • Proveedor de gestión de claves: seleccione un proveedor de terceros que despliegue el servicio de gestión de claves. Por ahora, OCI KMS solo admite Thales como proveedor externo de gestión de claves.
    • ID de aplicación de cliente: introduzca el ID de cliente de KMS de OCI generado al registrar la aplicación de cliente confidencial en el dominio de identidad de Oracle.
    • Secreto de aplicación de cliente: introduzca el ID de secreto de la aplicación de cliente confidencial registrada en el dominio de identidad de Oracle.
    • Punto final privado en compartimento: seleccione el GUID de punto final privado de la gestión de claves externas.
    • URL de almacén externo: introduzca la URL de almacén que se generó al crear el almacén en la gestión de claves externas.
  2. Utilice el servicio Networking para crear un gateway de servicio, una regla de ruta y una regla de seguridad de salida a la VCN (red virtual en el nube) y a las subredes en las cuales residen sus recursos de Autonomous AI Database.
  3. Utilice el servicio IAM para crear un grupo dinámico que identifique sus recursos de la base de datos de IA autónoma y una sentencia del política que otorgue a dicho grupo dinámico acceso a las claves del cifrado maestras que ha creado.

Creación de un gateway de servicio, una regla de ruta y una regla de seguridad de salida

El gateway de servicios de Oracle Cloud Infrastructure (OCI) proporciona acceso privado y seguro a varios servicios de Oracle Cloud simultáneamente desde una red virtual en la nube (VCN) o una red local a través de un único gateway sin recorrer Internet.

Cree una puerta de enlace de servicio en la VCN (Red virtual en la nube) donde residan sus recursos de Autonomous AI Database siguiendo las instrucciones de la Tarea 1: creación del puerta de enlace de servicio en la documentación de Oracle Cloud Infrastructure.

Después de crear el gateway de servicio, agregue una regla de ruta y una regla de seguridad de salida a cada subred (en la VCN) donde residan el recurso de Autonomous AI Database para que estos recursos puedan utilizar el gateway para acceder al servicio Vault:
  1. Vaya a la página Detalles de subred de la subred.
  2. En el separador Información de Subred, haga clic en el nombre de la Tabla de Direcciones de la subred para mostrar su página Detalles de Tabla de Direcciones.
  3. En la tabla de Reglas de ruta existentes, compruebe si ya hay una regla con las siguientes características:
    • Destino: todos los servicios de IAD en Oracle Services Network
    • Tipo de destino: gateway de servicio
    • Destino: nombre del gateway de servicio que acaba de crear en la VCN

    Si dicha regla no existe, haga clic en Agregar reglas de ruta y agregue una regla de ruta con estas características.

  4. Vuelva a la página Detalles de subred de la subred.
  5. En la tabla Listas de seguridad de la subred, haga clic en el nombre de la lista de seguridad de la subred para mostrar su página Detalles de lista de seguridad.
  6. En el menú lateral, en Recursos, haga clic en Reglas de salida.
  7. En la tabla de Reglas de salida existentes, compruebe si ya hay una regla con las siguientes características:
    • Sin estado: no
    • Destino: todos los servicios de IAD en Oracle Services Network
    • Protocolo IP: TCP
    • Rango de puertos de origen: Todo
    • Rango de puertos de destino: 443

    Si dicha regla no existe, haga clic en Agregar Reglas de Salida y agregue una regla de salida con estas características.

Creación de un grupo dinámico y una sentencia de política

Para otorgar permiso a los recursos de la base de datos de IA autónoma para acceder a claves gestionadas por los clientes, cree un grupo dinámico de la instancia de IAM que identifique estos recursos y, luego, cree una política de IAM que otorgue acceso a este grupo dinámico a las claves de cifrado maestras creadas en el servicio Vault.

Al definir el grupo dinámico, identifica los recursos de la base de datos de IA autónoma especificando el OCID del compartimento que contiene el recurso Exadata Infrastructure.
  1. Copie el OCID del compartimento que contiene el recurso de infraestructura de Exadata. Puede encontrar este OCID en la página Detalles del compartimento del compartimento.
  2. Cree un grupo dinámico siguiendo las instrucciones de Para crear un grupo dinámico en la Documentación de Oracle Cloud Infrastructure. Al seguir estas instrucciones, introduzca una regla de coincidencia con este formato:
    ALL {resource.compartment.id ='<compartment-ocid>'}

    donde <compartment-ocid> es el OCID del compartimento que contiene el recurso de cluster de VM de Exadata autónomo.

Después de crear el grupo dinámico, desplácese hasta (o cree) una política de IAM de un compartimento de la jerarquía de compartimentos que esté por encima del compartimento que contiene sus almacenes y claves. A continuación, agregue una sentencia de política con este formato:
allow dynamic-group <dynamic-group-name>
to manage keys
in compartment <vaults-and-keys-compartment>
where all {
target.key.id='<key_ocid>',
request.permission!='KEY_MOVE',
request.permission!='KEY_IMPORT'
}
Si utiliza un almacén virtual replicado o un almacén privado virtual replicado para el despliegue de Autonomous Data Guard, agregue una sentencia de política adicional con este formato:
allow dynamic-group <dynamic-group>
to read vaults
in tenancy | compartment <vaults-and-keys-compartment>

donde <dynamic-group> es el nombre del grupo dinámico que ha creado y <vaults-and-keys-compartment> es el nombre del compartimento en el que ha creado los almacenes y las claves de cifrado maestras.

Uso de Claves Gestionadas por el Cliente en Oracle Key Vault

Oracle Key Vault (OKV) es un dispositivo de software de pila completa, reforzada y de seguridad diseñado para centralizar la gestión de las claves y de los objetos de seguridad en su empresa. Puede integrar su despliegue de OKV local con Oracle Autonomous AI Database on Dedicated Exadata Infrastructure para crear y gestionar sus propias claves maestras.

Para poder utilizar claves gestionadas por el cliente almacenadas en OKV, debe realizar una serie de tareas de configuración preparatorias, como se describe en Preparación para utilizar Oracle Key Vault.

Después de completar las tareas de configuración preparatorias, puede asociar las claves de gestor de clientes en OKV al aprovisionar una base de datos de contenedores autónoma (ACD) y todas las base de datos de IA autónoma aprovisionadas en esta ACD heredarán automáticamente estas claves de cifrado. Consulte la sección sobre creación de una base de datos de contenedores autónoma para obtener más información.

Note:

Si desea activar Autonomous Data Guard entre regiones, asegúrese de que ha agregado direcciones IP de conexión para el cluster de OKV en el almacén de claves.

Puede actualizar el grupo de puntos finales de OKV desde la página Detalles de una ACD. Opcionalmente, también puede agregar un nombre de grupo de puntos finales de OKV con el almacén de claves de OKV al aprovisionar la ACD o una versión posterior.

Para actualizar el grupo de puntos finales de OKV en una ACD, debe asegurarse de que:
  • El nombre del grupo de puntos finales de OKV tiene acceso a la cartera de OKV correspondiente.
  • Los puntos finales de OKV correspondientes a la ACD forman parte del grupo de puntos finales de OKV.
  • El grupo de puntos finales de OKV tiene acceso de lectura a las carteras por defecto de los puntos finales.
Para actualizar el nombre del grupo de puntos finales de OKV:
  • Vaya a la página Detalles de ACD. Para obtener instrucciones, consulte Visualización de detalles de una base de datos de contenedores autónoma.
  • Haga clic en Editar junto al nombre del grupo de puntos finales de OKV en Cifrado.
  • Seleccione un almacén de claves de la lista e introduzca un nombre para el grupo de puntos finales de OKV. El nombre del grupo de puntos finales debe estar en mayúsculas y puede incluir números, guiones (-) y guiones bajos (_) y empezar por una letra mayúscula.
  • Haga clic en Guardar.