Introducción a las claves de cifrado gestionadas por los clientes

Obtenga información sobre las claves de cifrado gestionadas por el cliente para entornos dedicados.

Visión General de las Claves de Cifrado Gestionadas por el Cliente

Oracle NoSQL Database Cloud Service (NDCS) protege los datos frente a infracciones de seguridad mediante el cifrado de datos estáticos mediante claves de cifrado de datos. A continuación, las claves de cifrado de datos se cifran mediante una clave de cifrado maestra. Por defecto, NDCS utiliza una clave de cifrado maestra gestionada por Oracle.

NDCS también le permite cifrar claves de cifrado de datos con su propia clave de cifrado maestra, denominada clave de cifrado gestionada por el cliente (CMEK). Las CMEK deben estar activadas en un entorno dedicado antes de utilizar esta funcionalidad. Al crear un entorno dedicado configurado para CMEK, Oracle NoSQL Database utiliza volúmenes en bloque de OCI para almacenar y cifrar datos de base de datos mediante una clave de cifrado maestra que controle. Además, las copias de seguridad de los datos de su entorno residen en OCI Object Storage y también se cifran con su clave maestra. Para emitir un ticket de servicio, consulte Solicitud de un entorno alojado dedicado.

Puede crear y gestionar sus propias claves de cifrado maestras. NDCS utiliza el servicio de gestión de claves (KMS) de OCI para almacenar la clave de cifrado maestra en almacenes y gestionar sus estados operativos.

Terminologías

• Clave de cifrado gestionada por el cliente (CMEK): clave de cifrado maestra utilizada para cifrar y descifrar las claves de Block Volume y Object Storage.

• Datos estáticos: hace referencia a los datos almacenados en Oracle NoSQL Database.

• Entorno dedicado para CMEK: entorno de Oracle NoSQL dedicado a su arrendamiento y configurado para utilizar claves de cifrado gestionadas por el cliente.

• Servicio de gestión de claves (KMS): servicio de OCI que almacena y gestiona claves en almacenes. KMS proporciona gestión centralizada y control de claves de cifrado.

• Rotación de claves: proceso de sustitución de una clave de cifrado antigua por una nueva clave para mitigar los riesgos si la clave se ve comprometida alguna vez.

• Servicio Block Volume: servicio OCI, que le permite aprovisionar y gestionar dinámicamente el almacenamiento de bloques para cumplir con los requisitos de aplicación necesarios.

• Servicio de almacenamiento de objetos: un servicio de OCI que proporciona un almacenamiento en la nube totalmente programable, escalable y duradero para datos.

• Servicio OCI Vault: servicio OCI que proporciona una ubicación segura y centralizada para gestionar secretos y claves de cifrado.

¿Cómo funciona CMEK?

El servicio OCI Vault le permite crear almacenes en su arrendamiento como contenedores para claves de cifrado. Al crear CMEK en un almacén, se le asigna un ID de Oracle Cloud (OCID) único.

Asigne una CMEK a su entorno dedicado a través de la consola de OCI. El servicio Block Volume y el servicio Object Storage utilizan CMEK para cifrar las claves de Block Volume y Object Storage.

NDCS admite la rotación de claves al permitirle asignar una nueva CMEK. Primero debe crear una nueva clave en el almacén. Para disparar una rotación, actualice la nueva clave en su entorno dedicado desde la consola de OCI. Al rotar en una nueva CMEK, no se vuelve a cifrar ningún dato almacenado en los volúmenes en bloque ni en Object Storage. Solo vuelve a cifrar las claves de Block Volume y Object Storage.

El servicio Block Volume y el servicio Object Storage gestionan todas las operaciones de datos.

Creación de CMEK

Oracle NoSQL Database Cloud Service soporta la integración exclusivamente con el servicio OCI Vault para crear almacenes y utiliza KMS para crear, almacenar y gestionar CMEK en almacenes. Para obtener más información sobre el almacén, consulte el tema OCI Vault en la documentación de Oracle Cloud Infrastructure.

Primero debe crear un almacén desde la consola de OCI y, a continuación, crear CMEK en el almacén.

Para obtener más información, consulte el tema Creación de un almacén en la documentación de Oracle Cloud Infrastructure.

Figura - OCI Vault

Descripción de la ilustración vault.png

Creación de CMEK:

Al crear una CMEK, especifique su modo de protección, algoritmo y longitud.

Siga estos pasos para crear una CMEK. Para obtener más información, consulte el tema Creación de una clave de cifrado maestra en la documentación de Oracle Cloud Infrastructure.

Requisitos

• Crear un almacén.

Procedimiento

1. Conectarse a la consola de OCI.

2. Abra el menú de navegación ubicado en la esquina superior izquierda, seleccione Identity & Security y, a continuación, seleccione Vault.

3. Seleccione el compartimento que contiene el almacén.

4. Seleccione el nombre del almacén en el que desea crear una CMEK.

5. En Recursos, seleccione Claves de cifrado maestras y, a continuación, seleccione Crear clave. Tenga en cuenta que las claves se pueden crear en un compartimento diferente al del almacén.

6. Para Protection Mode (Modo de protección), seleccione una de las siguientes opciones: HSM o Software.

7. Introduzca un nombre para identificar la CMEK.

8. En Key Shape: Algorithm (Unidad de clave: algoritmo), seleccione el algoritmo Advanced Encryption Standard (AES). KMS admite algoritmos AES, RSA y ECDSA. Sin embargo, NDCS solo permite una unidad de clave simétrica para CMEK. Por lo tanto, debe seleccionar la opción AES, que genera una clave simétrica.

9. En Unidad de Clave: longitud, seleccione la longitud de clave como 256 bits.

10. Si desea importar una clave externa, seleccione la casilla de control Importar clave externa y proporcione los siguientes detalles:

    • Algoritmo de ajuste: seleccione RSA_OAEP_AES_SHA256. OCI soporta este algoritmo para importar una clave encapsulada públicamente.

    • Origen de datos de clave externa: cargue el archivo que contiene el material de claves RSA ajustado.

11. Seleccione Create Key.

Figura - Creación de CMEK en Vault

Descripción de la ilustración createkey.png

Nota: Oracle NoSQL Database Cloud Service solo soporta claves de versión única.

Acceso CMEK:

Después de crear una CMEK, se asigna a su entorno dedicado. El servicio de volúmenes de bloques y el servicio de almacenamiento de objetos del entorno dedicado acceden a CMEK internamente mediante el OCID de CMEK.

Figura - Detalles de CMEK

Descripción de la ilustración key_ocid.png

Ciclo de vida de CMEK en Vault:

Un almacén admite las siguientes operaciones:

• Creación: crea una CMEK en un almacén.

• Desactivación/activación: puede desactivar/activar una CMEK para controlar su uso.

• Supresión: puede suprimir una CMEK del almacén. La eliminación es un proceso de dos pasos con un período de espera para evitar la eliminación accidental.

Nota: El estado de la CMEK está desactivado durante este período de espera.

Para obtener más información sobre la activación, desactivación y supresión de CMEK, consulte Flujo de trabajo de gestión de claves de CMEK.

Operaciones de gestión de CMEK

Oracle NoSQL Database Cloud Service gestiona las operaciones de CMEK en entornos dedicados. Esto incluye la asignación de CMEK a un entorno dedicado, la rotación de CMEK, la eliminación, la desactivación en el almacén, la reactivación y la supresión.

En la siguiente tabla, se describen las tareas relacionadas con la gestión de CMEK. Para obtener más información sobre las tareas de gestión de claves CMEK, consulte Flujo de trabajo de gestión de claves CMEK.

Tabla - Tareas de gestión de CMEK

Tareas de usuario	Tareas de NDCS
Asignación de CMEK: asigna una CMEK a su entorno dedicado desde la consola de OCI.	Dispara el cifrado de claves en los volúmenes en bloque y el almacenamiento de objetos del entorno dedicado. Muestra una notificación sobre el inicio y la finalización de la asignación de CMEK.
Rotación de CMEK: actualiza CMEK en su entorno dedicado.	Los disparadores vuelven a cifrar las claves en los volúmenes en bloque y el almacenamiento de objetos del entorno dedicado. Muestra una notificación sobre el inicio y la finalización del proceso de actualización.
CMEK disable: desactiva CMEK del almacén.	Comprueba los metadatos y el estado actual de CMEK asociados al entorno dedicado. Hace que el entorno dedicado no esté disponible. Los datos o recursos que utilizan CMEK se vuelven inutilizables. Desactiva todas las alarmas en el entorno dedicado. Muestra la notificación adecuada para informar que la CMEK se ha desactivado en el almacén.
CMEK re-enable: vuelve a activar el CMEK desactivado desde el almacén.	La restauración automática del servicio no es posible. Debe generar un ticket CAM que solicite la restauración del servicio. La restauración del servicio solo es posible solicitándolo explícitamente a través de un ticket CAM.
Supresión de CMEK: suprime CMEK del almacén.	Admite un proceso de eliminación en dos pasos. A CMEK se le asigna el estado de supresión pendiente, que es equivalente al estado desactivado. Una vez alcanzada la fecha de supresión, CMEK se suprime permanentemente. Hace que el entorno dedicado no esté disponible. Todos los datos cifrados con CMEK eliminado se vuelven permanentemente inaccesibles después de la fecha de eliminación. Muestra la notificación adecuada para informar la supresión de CMEK en el almacén.
Eliminación de CMEK: anula la asignación de CMEK de su entorno dedicado.	Revierte el entorno dedicado en claves gestionadas por Oracle y dispara el nuevo cifrado de claves en los volúmenes en bloque y el almacenamiento de objetos del entorno dedicado. Muestra una notificación sobre el inicio y la finalización de la eliminación de CMEK.

Control de acceso CMEK

Oracle NoSQL Database Cloud Service utiliza Oracle Cloud Infrastructure Identity and Access Management (IAM) para proporcionar acceso seguro a la nube de Oracle. OCI IAM le permite implantar el control de acceso para utilizar la funcionalidad de KMS.

Debe crear políticas para acceder a CMEK en el almacén, los volúmenes en bloque y el almacenamiento de objetos para todas las operaciones necesarias. Para obtener más información sobre las políticas, consulte Cómo funcionan las políticas en la documentación de Oracle Cloud Infrastructure.

A continuación, se muestran los requisitos básicos de la política de IAM en su arrendamiento para el uso de CMEK:

1. Para otorgar acceso a los volúmenes en bloque para utilizar CMEK en el compartimento necesario:

   allow service blockstorage to use keys in compartment <name_of_compartment> where target.key.id = <key-ocid>

   donde,

   name_of_compartment: Nombre de compartimento en su entorno dedicado.

   OCID key-ocid: de su CMEK.

2. Para otorgar acceso a Object Storage en una región y un compartimento para utilizar CMEK:

   allow service objectstorage-<region> to use keys in compartment <name_of_compartment> where target.key.id = <key-ocid>

   donde,

   Región region: en la que reside Object Storage.

   name_of_compartment: Nombre de compartimento en su entorno dedicado.

   OCID key-ocid: de su CMEK.

3. Para otorgar acceso a Oracle NoSQL Database Cloud Service a la CMEK delegada de claves:

   Agregue un permiso de delegación de claves cuando desee permitir que un servicio integrado, como NDCS, utilice una clave en un compartimento específico.

   allow service nosql-database-cloud to use key-delegate in compartment <name_of_compartment> where target.key.id = <key-ocid>

   donde,

   name_of_compartment: Nombre de compartimento en su entorno dedicado.

   OCID key-ocid: de su CMEK.

4. Para otorgar acceso a Oracle NoSQL Database Cloud Service para leer CMEK:

   allow service nosql-database-cloud to read keys in compartment <name_of_compartment> where target.key.id = <keyocid>

   donde,

   name_of_compartment: Nombre de compartimento en su entorno dedicado.

   OCID key-ocid: de su CMEK. Figura - Políticas de CMEK

Descripción de la ilustración cmek_policy.png

Supervisión y registro de CMEK

Oracle NoSQL Database Cloud Service soporta el registro de todos los eventos relacionados con CMEK en el entorno dedicado y las alertas con las notificaciones adecuadas.

Logs de OCI Audit

Oracle NoSQL Database Cloud Service utiliza los servicios de auditoría de OCI para registrar todos los cambios de estado clave. La información del log de auditoría incluye:

• Registro de hora de cuándo se detectó el cambio de estado.

• Estados anteriores y nuevos de CMEK. Para obtener más información sobre la gestión del ciclo de vida de CMEK, consulte Flujo de trabajo de gestión de claves de CMEK.

• Punto final afectado.

• Medidas especiales adoptadas.

Alarmas de OCI

Oracle NoSQL Database Cloud Service utiliza el servicio OCI Monitoring para supervisar de forma activa y pasiva los recursos en la nube mediante las funciones de métricas y alarmas. Puede configurar alarmas de OCI en función de estas métricas:

Tabla - Métricas y alarmas de CMEK

Métrica	Mostrar nombre	Unidad	Descripción
EncryptionKeyStatus	Estado de clave de cifrado	integer	Estado de la clave de cifrado tal y como lo ve Oracle NoSQL Database Cloud Service. Si el valor es 0, la clave de cifrado se desactiva. Si el valor es 1, la clave de cifrado está activada y puede realizar el cifrado/descifrado. Las claves gestionadas por Oracle siempre devuelven 1.
Tipo de clave de cifrado	Tipo de Clave de Cifrado	integer	Tipo actual de clave de cifrado asignada a Oracle NoSQL Database Cloud Service. Si el valor es 0, se está utilizando una clave gestionada por Oracle. Si el valor es 1, se utiliza una CMEK en su lugar.

Consola de OCI

Oracle NoSQL Database Cloud Service utiliza el servicio OCI Notification para mostrar alertas críticas en la consola de OCI para el entorno dedicado afectado.

Se le notificará para los siguientes eventos relacionados con CMEK:

• El nuevo CMEK se asigna a un entorno dedicado.

• CMEK se cambia en un entorno dedicado.

• CMEK se elimina de un entorno dedicado.

• CMEK se está suprimiendo del almacén y está en un período de espera.

• CMEK se suprime del almacén.

• CMEK se vuelve a activar en el almacén.

• El proceso de cifrado se inicia en un entorno dedicado.

• El proceso de cifrado se ha completado en un entorno dedicado.

Las alertas incluyen lo siguiente:

• Estado actual de la CMEK.

• Si un entorno dedicado no está disponible, motivo de la falta de disponibilidad.

Disponibilidad del servicio CMEK

Oracle NoSQL Database Cloud Service supervisa la disponibilidad del servicio CMEK en el almacén y aplica las acciones adecuadas cuando se desactiva o suprime CMEK. NDCS proporciona mensajes de error y logs claros cuando el entorno dedicado deja de estar disponible o es irrecuperable debido a problemas de CMEK.

Si se desactiva una CMEK, Oracle NoSQL Database Cloud Service dispara las siguientes acciones:

• Inmediatamente desactiva todo el acceso al entorno dedicado.

• Cierra las instancias en el entorno dedicado.

• Desactiva toda la supervisión en el entorno dedicado.

• Garantiza que no se pueda acceder a los datos de los volúmenes en bloque y el almacenamiento de objetos del entorno dedicado.

Para obtener detalles sobre la desactivación de CMEK, consulte CMEK Disable.

Si se suprime una CMEK, Oracle NoSQL Database Cloud Service dispara las siguientes acciones:

• Inmediatamente marca el entorno dedicado como irrecuperable.

• Cierra las instancias en el entorno dedicado.

• Desactiva toda la supervisión en el entorno dedicado.

• Programa el entorno dedicado para la terminación permanente.

Para obtener detalles sobre la supresión de CMEK, consulte CMEK Delete.

Si se vuelve a activar una CMEK, Oracle NoSQL Database Cloud Service sugiere las siguientes acciones:

• Debe emitir un ticket CAM para volver a poner el entorno en línea después de que su CMEK se haya vuelto a activar en el almacén.

Para obtener detalles sobre cómo volver a activar CMEK, consulte CMEK Restore.

Temas relacionados

• Entorno alojado dedicado
• Solicitud de un entorno alojado dedicado