Claves de cifrado maestras en Autonomous Database on Dedicated Exadata Infrastructure

Por defecto, Autonomous Database on Dedicated Exadata Infrastructure crea y gestiona todas las claves de cifrado maestras que se utilizan para proteger los datos, almacenarlas en un almacén de claves PKCS 12 seguro en los mismos sistemas de Exadata en los que residen las bases de datos. Estas se denominan claves de cifrado gestionadas por Oracle.

Mediante el uso de claves gestionadas por Oracle, Oracle garantiza el ciclo de vida completo de las claves como metadatos gestionados por Oracle. En los despliegues de Exadata Cloud@Customer, el acceso a las copias de seguridad es una responsabilidad compartida y el cliente debe garantizar la accesibilidad del entorno de base de datos y el archivo de copia de seguridad para que las API de Oracle funcionen con las operaciones internas del ciclo de vida de gestión de claves.

Si las políticas de seguridad de la compañía lo requieren, Autonomous Database puede utilizar las claves que cree y gestione mediante el almacén de claves de Oracle en su lugar. Para despliegues de Oracle Public Cloud, también puede utilizar el servicio Vault de Oracle Cloud Infrastructure para crear y gestionar claves. Los clientes que cumplan con las normativas para almacenar claves fuera de Oracle Cloud o de cualquier entorno local en la nube de terceros pueden utilizar un servicio de gestión de claves externo (KMS externo).

Al crear una clave gestionada por el cliente mediante el servicio OCI Vault, también puede importar su propio material de claves (Bring Your Own Key o BYOK) en lugar de permitir que el servicio Vault genere el material de claves internamente.

Atención:

Dado que las claves gestionadas por el cliente almacenadas en Oracle Key Vault (OKV) son externas al host de la base de datos, cualquier cambio o interrupción de configuración que haga que OKV sea inaccesible para la base de datos mediante sus claves hace que sus datos sean inaccesibles.

Además, independientemente de si utiliza claves gestionadas por Oracle o por el cliente, puede rotar las claves que se utilizan en las bases de datos existentes cuando sea necesario para cumplir las políticas de seguridad de la compañía. Consulte Rotate the Encryption Keys para obtener más información.

Antes de empezar: mejores prácticas de jerarquía de compartimentos

Oracle recomienda crear una jerarquía de compartimento para el despliegue de Autonomous Database en la infraestructura dedicada de la siguiente manera:
  • Un compartimento "principal" para todo el despliegue
  • Compartimentos "secundarios" para cada uno de los distintos tipos de recursos:
    • Instancias de Autonomous Database
    • Recursos de infraestructura y de bases de datos de contenedores autónomas (infraestructuras de Exadata y clusters de VM de Exadata autónomos)
    • La VCN (red virtual en la nube) y sus subredes
    • Almacenes que contienen sus claves gestionadas por el cliente

Seguir esta práctica recomendada es especialmente importante cuando se utilizan claves gestionadas por el cliente porque la sentencia de política que crea para otorgar a Autonomous Database acceso a sus claves se debe agregar a una política que en la jerarquía de compartimentos esté por encima del compartimento que contiene los almacenes y las claves.

Temas relacionados

Uso de Claves Gestionadas por el Cliente en el Servicio Vault

Para poder utilizar claves gestionadas por el cliente almacenadas en el servicio Vault, debe realizar diversas tareas de configuración preparatorias para crear un almacén y claves de cifrado maestras y, a continuación, poner ese almacén y sus claves a disposición de Autonomous Database; en concreto:

  1. Cree un almacén en el servicio Vault siguiendo las instrucciones de Para crear un almacén nuevo en la Documentación de Oracle Cloud Infrastructure. Cuando siga estas instrucciones, Oracle recomienda crear el almacén en un compartimento creado específicamente para contener los almacenes que contienen claves gestionadas por el cliente, como se describe en Mejores prácticas de jerarquía de compartimentos.
    Después de crear el almacén, puede crear al menos una clave de cifrado maestra en el almacén siguiendo las instrucciones de To create a new master encryption key en la Documentación de Oracle Cloud Infrastructure. Cuando siga estas instrucciones, elija estas opciones:
    • Crear en compartimento: Oracle recomienda crear la clave de cifrado maestra en el mismo compartimento que su almacén; es decir, el compartimento creado específicamente para contener almacenes que contienen claves gestionadas por el cliente.
    • Modo de protección: seleccione un valor adecuado en la lista desplegable:
      • HSM para crear una clave de cifrado maestra que se almacena y procesa en un módulo de seguridad de hardware (HSM).
      • Software para crear una clave de cifrado maestra que se almacena en un sistema de archivos de software en el servicio Vault. Las claves protegidas por software se protegen en reposo mediante una clave raíz basada en HSM. Puede exportar claves de software a otros dispositivos de gestión de claves o a una región de OCI en la nube diferente. A diferencia de las claves HSM, las claves protegidas por software son gratuitas.
    • Algoritmo de unidad de clave: AES
    • Unidad de clave: longitud: 256 bits

    Note:

    También puede agregar una clave de cifrado a un almacén existente.
  2. Utilice el servicio Networking para crear un gateway de servicio, una regla de ruta y una regla de seguridad de salida en la VCN (red virtual en la nube) y las subredes en las que residen los recursos de Autonomous Database.
  3. Utilice el servicio IAM para crear un grupo dinámico que identifique los recursos de Autonomous Database y una sentencia de política que otorgue a ese grupo dinámico acceso a las claves de cifrado maestras que ha creado.

Sugerencia:

Para obtener una alternativa de "prueba" que demuestre estas instrucciones, consulte el Laboratorio 17 sobre claves de cifrado de base de datos controladas por el cliente de Oracle Autonomous Database Dedicated for Security Administrators.

Después de configurar la clave gestionada por el cliente mediante los pasos anteriores, puede configurarla al aprovisionar una base de datos de contenedores autónoma (ACD) o rotando la clave de cifrado existente en la página Detalles de ACD o Autonomous Database. Las bases de datos autónomas aprovisionadas en esta ACD heredarán automáticamente estas claves de cifrado. Consulte Creación de una base de datos de contenedores autónoma o Rotación de la clave de cifrado de una base de datos de contenedores autónoma para obtener más información.

Si desea activar Autonomous Data Guard entre regiones, primero debe replicar el almacén de OCI en la región en la que desea agregar la base de datos en espera. Consulte Replicación de almacenes y claves para obtener más información.

Note:

Los almacenes virtuales creados antes de que se introdujera la función de replicación de almacén entre regiones no se pueden replicar entre regiones. Cree un nuevo almacén y nuevas claves si tiene un almacén que necesita replicar en otra región y la replicación no está soportada para ese almacén. Sin embargo, todos los almacenes privados admiten la replicación entre regiones. Consulte Replicación de almacén virtual entre regiones para obtener más información.

Uso de Bring Your Own Keys (BYOK) en el servicio Vault

Se aplica a: Aplicable Oracle Public Cloud solo

Al crear una clave gestionada por el cliente mediante el servicio OCI Vault, también puede importar su propio material de claves (Bring Your Own Key o BYOK) en lugar de permitir que el servicio Vault genere el material de claves internamente.

Para poder traer sus propias claves al servicio Vault, debe realizar el número de tareas de configuración preparatorias para crear un almacén e importar la clave de cifrado maestra y, a continuación, poner ese almacén y sus claves a disposición de Autonomous Database; en concreto:
  1. Cree un almacén en el servicio Vault siguiendo las instrucciones de Para crear un almacén nuevo en la Documentación de Oracle Cloud Infrastructure. Cuando siga estas instrucciones, Oracle recomienda crear el almacén en un compartimento creado específicamente para contener los almacenes que contienen claves gestionadas por el cliente, como se describe en Mejores prácticas de jerarquía de compartimentos.
    Después de crear el almacén, puede crear al menos una clave de cifrado maestra en el almacén siguiendo las instrucciones de To create a new master encryption key en la Documentación de Oracle Cloud Infrastructure. También puede importar una clave de cifrado de cliente en un almacén existente. Cuando siga estas instrucciones, elija estas opciones:
    • Crear en compartimento: Oracle recomienda crear la clave de cifrado maestra en el mismo compartimento que su almacén; es decir, el compartimento creado específicamente para contener almacenes que contienen claves gestionadas por el cliente.
    • Modo de protección: seleccione un valor adecuado en la lista desplegable:
      • HSM para crear una clave de cifrado maestra que se almacena y procesa en un módulo de seguridad de hardware (HSM).
      • Software para crear una clave de cifrado maestra que se almacena en un sistema de archivos de software en el servicio Vault. Las claves protegidas por software se protegen en reposo mediante una clave raíz basada en HSM. Puede exportar claves de software a otros dispositivos de gestión de claves o a una región de OCI en la nube diferente. A diferencia de las claves HSM, las claves protegidas por software son gratuitas.
    • Algoritmo de unidad de clave: AES
    • Unidad de clave: longitud: 256 bits
    • Importar clave externa: para utilizar una clave de cifrado de cliente (BYOK), seleccione Importar clave externa y proporcione los siguientes detalles:
      • Información básica de encapsulado. Esta sección es de solo lectura, pero puede ver los detalles de la clave de ajuste pública.
      • Algoritmo de encapsulado. Seleccione un algoritmo de ajuste de la lista desplegable.
      • Origen de datos de clave externa. Cargue el archivo que contiene el material de claves RSA encapsulado.

    Note:

    Puede importar el material de claves como una nueva versión de clave externa o hacer clic en el nombre de una clave de cifrado maestra existente y rotarlo a una nueva versión de clave.

    Consulte Importing Key Material as an External Key Version para obtener más información.

  2. Utilice el servicio Networking para crear un gateway de servicio, una regla de ruta y una regla de seguridad de salida en la VCN (red virtual en la nube) y las subredes en las que residen los recursos de Autonomous Database.
  3. Utilice el servicio IAM para crear un grupo dinámico que identifique los recursos de Autonomous Database y una sentencia de política que otorgue a ese grupo dinámico acceso a las claves de cifrado maestras que ha creado.

Después de configurar el BYOK gestionado por el cliente mediante los pasos anteriores, puede utilizarlo rotando la clave de cifrado existente desde la página Detalles de la base de datos de contenedores autónoma o Autonomous Database. Consulte Rotación de la clave de cifrado de una base de datos de contenedores autónoma para obtener más información.

Uso de claves externas desde OCI External Key Management Service (OCI EKMS)

Se aplica solo a: Aplicable Oracle Public Cloud

Para poder utilizar claves externas desde OCI EKMS, debe realizar el número de tareas de configuración preparatorias para crear un almacén y, a continuación, hacer que ese almacén y sus claves estén disponibles para Autonomous Database.

En OCI EKMS, puede almacenar y controlar claves de cifrado maestras (como claves externas) en un sistema de gestión de claves de terceros alojado fuera de OCI. Puede utilizarlo para mejorar la seguridad de los datos o si cumple las normativas para almacenar claves fuera de Oracle Public Cloud o de cualquier entorno local en la nube de terceros. Con las claves reales que residen en el sistema de gestión de claves de terceros, solo crea referencias de clave en OCI.
  1. Puede crear y gestionar un almacén que contenga referencias clave en OCI EKMS. Puede utilizar las claves de OCI EKMS con Autonomous Database on Dedicated Exadata Infrastructure desplegada en Oracle Public Cloud. Consulte Creación de un almacén en OCI EKMS para obtener más información. Cuando siga estas instrucciones, elija estas opciones:
    • Crear en compartimento: seleccione un compartimento para el almacén de EKMS de OCI.
    • URL de nombre de cuenta de IDCS: introduzca la URL de autenticación que utiliza para acceder al servicio de KMS. La consola redirige a una pantalla de inicio de sesión.
    • Proveedor de gestión de claves: seleccione un proveedor de terceros que despliegue el servicio de gestión de claves. Por ahora, OCI KMS solo admite Thales como proveedor externo de gestión de claves.
    • ID de aplicación de cliente: introduzca el ID de cliente de KMS de OCI generado al registrar la aplicación de cliente confidencial en el dominio de identidad de Oracle.
    • Secreto de aplicación de cliente: introduzca el ID de secreto de la aplicación de cliente confidencial registrada en el dominio de identidad de Oracle.
    • Punto final privado en compartimento: seleccione el GUID de punto final privado de la gestión de claves externas.
    • URL de almacén externo: introduzca la URL de almacén que se generó al crear el almacén en la gestión de claves externas.
  2. Utilice el servicio Networking para crear un gateway de servicio, una regla de ruta y una regla de seguridad de salida en la VCN (red virtual en la nube) y las subredes en las que residen los recursos de Autonomous Database.
  3. Utilice el servicio IAM para crear un grupo dinámico que identifique los recursos de Autonomous Database y una sentencia de política que otorgue a ese grupo dinámico acceso a las claves de cifrado maestras que ha creado.

Creación de un gateway de servicio, una regla de ruta y una regla de seguridad de salida

El gateway de servicios de Oracle Cloud Infrastructure (OCI) proporciona acceso privado y seguro a varios servicios de Oracle Cloud simultáneamente desde una red virtual en la nube (VCN) o una red local a través de un único gateway sin recorrer Internet.

Cree un gateway de servicio en la VCN (red virtual en la nube) en la que residan los recursos de Autonomous Database siguiendo las instrucciones de la Tarea 1: creación del gateway de servicio de la Documentación de Oracle Cloud Infrastructure.

Después de crear el gateway de servicio, agregue una regla de ruta y una regla de seguridad de salida a cada subred (en la VCN) donde residan los recursos de Autonomous Database para que estos recursos puedan utilizar el gateway para acceder al servicio Vault:
  1. Vaya a la página Detalles de subred de la subred.
  2. En el separador Información de Subred, haga clic en el nombre de la Tabla de Direcciones de la subred para mostrar su página Detalles de Tabla de Direcciones.
  3. En la tabla de Reglas de ruta existentes, compruebe si ya hay una regla con las siguientes características:
    • Destino: todos los servicios de IAD en Oracle Services Network
    • Tipo de destino: gateway de servicio
    • Destino: nombre del gateway de servicio que acaba de crear en la VCN

    Si dicha regla no existe, haga clic en Agregar reglas de ruta y agregue una regla de ruta con estas características.

  4. Vuelva a la página Detalles de subred de la subred.
  5. En la tabla Listas de seguridad de la subred, haga clic en el nombre de la lista de seguridad de la subred para mostrar su página Detalles de lista de seguridad.
  6. En el menú lateral, en Recursos, haga clic en Reglas de salida.
  7. En la tabla de Reglas de salida existentes, compruebe si ya hay una regla con las siguientes características:
    • Sin estado: no
    • Destino: todos los servicios de IAD en Oracle Services Network
    • Protocolo IP: TCP
    • Rango de puertos de origen: Todo
    • Rango de puertos de destino: 443

    Si dicha regla no existe, haga clic en Agregar Reglas de Salida y agregue una regla de salida con estas características.

Creación de un grupo dinámico y una sentencia de política

Para otorgar permiso a los recursos de Autonomous Database para acceder a claves gestionadas por el cliente, cree un grupo dinámico de IAM que identifique estos recursos y, a continuación, cree una política de IAM que otorgue a este grupo dinámico acceso a las claves de cifrado maestras creadas en el servicio Vault.

Al definir el grupo dinámico, identifique los recursos de Autonomous Database especificando el OCID del compartimento que contiene el recurso de infraestructura de Exadata.
  1. Copie el OCID del compartimento que contiene el recurso de infraestructura de Exadata. Puede encontrar este OCID en la página Detalles del compartimento del compartimento.
  2. Cree un grupo dinámico siguiendo las instrucciones de Para crear un grupo dinámico en la Documentación de Oracle Cloud Infrastructure. Al seguir estas instrucciones, introduzca una regla de coincidencia con este formato:
    ALL {resource.compartment.id ='<compartment-ocid>'}

    donde <compartment-ocid> es el OCID del compartimento que contiene el recurso de cluster de VM de Exadata autónomo.

Después de crear el grupo dinámico, desplácese hasta (o cree) una política de IAM de un compartimento de la jerarquía de compartimentos que esté por encima del compartimento que contiene sus almacenes y claves. A continuación, agregue una sentencia de política con este formato:
allow dynamic-group <dynamic-group-name>
to manage keys
in compartment <vaults-and-keys-compartment>
where all {
target.key.id='<key_ocid>',
request.permission!='KEY_MOVE',
request.permission!='KEY_IMPORT'
}
Si utiliza un almacén virtual replicado o un almacén privado virtual replicado para el despliegue de Autonomous Data Guard, agregue una sentencia de política adicional con este formato:
allow dynamic-group <dynamic-group>
to read vaults
in tenancy | compartment <vaults-and-keys-compartment>

donde <dynamic-group> es el nombre del grupo dinámico que ha creado y <vaults-and-keys-compartment> es el nombre del compartimento en el que ha creado los almacenes y las claves de cifrado maestras.

Uso de Claves Gestionadas por el Cliente en Oracle Key Vault

Oracle Key Vault (OKV) es un dispositivo de software de pila completa y seguridad reforzada diseñado para centralizar la gestión de las claves y los objetos de seguridad dentro de su empresa. Puede integrar el despliegue de OKV local con Oracle Autonomous Database para crear y gestionar sus propias claves maestras.

Para poder utilizar claves gestionadas por el cliente almacenadas en OKV, debe realizar una serie de tareas de configuración preparatorias, como se describe en Preparación para utilizar Oracle Key Vault.

Después de completar las tareas de configuración preparatorias, puede asociar las claves de gestor de clientes en OKV al aprovisionar una base de datos de contenedores autónoma (ACD) y todas las instancias de Autonomous Database aprovisionadas en esta ACD heredarán automáticamente estas claves de cifrado. Consulte la sección sobre creación de una base de datos de contenedores autónoma para obtener más información.

Note:

Si desea activar Autonomous Data Guard entre regiones, asegúrese de que ha agregado direcciones IP de conexión para el cluster de OKV en el almacén de claves.

Puede actualizar el grupo de puntos finales de OKV desde la página Detalles de una ACD. Opcionalmente, también puede agregar un nombre de grupo de puntos finales de OKV con el almacén de claves de OKV al aprovisionar la ACD o una versión posterior.

Para actualizar el grupo de puntos finales de OKV en una ACD, debe asegurarse de que:
  • El nombre del grupo de puntos finales de OKV tiene acceso a la cartera de OKV correspondiente.
  • Los puntos finales de OKV correspondientes a la ACD forman parte del grupo de puntos finales de OKV.
  • El grupo de puntos finales de OKV tiene acceso de lectura a las carteras por defecto de los puntos finales.
Para actualizar el nombre del grupo de puntos finales de OKV:
  • Vaya a la página Detalles de ACD. Para obtener instrucciones, consulte Visualización de detalles de una base de datos de contenedores autónoma.
  • Haga clic en Editar junto al nombre del grupo de puntos finales de OKV en Cifrado.
  • Seleccione un almacén de claves de la lista e introduzca un nombre para el grupo de puntos finales de OKV. El nombre del grupo de puntos finales debe estar en mayúsculas y puede incluir números, guiones (-) y guiones bajos (_) y empezar por una letra mayúscula.
  • Haga clic en Guardar.