Configurar una clave de OCI Hold Your Own Key con Thales CipherTrust Manager con OCI API Gateway

Introducción

En este tutorial se proporcionan instrucciones paso a paso para configurar Hold Your Own Key (HYOK) con Thales CipherTrust Manager (CTM) mediante la opción Oracle Cloud Infrastructure (OCI) API Gateway.

HYOK le permite conservar la propiedad y el control completos sobre sus claves de cifrado al alojarlas externamente, fuera de la infraestructura de Oracle, al tiempo que permite a los servicios de Oracle utilizarlas de forma segura. En esta configuración, el gateway de API de OCI desempeña un papel fundamental como puente seguro, manejable y escalable entre Oracle Cloud Infrastructure External Key Management Service (OCI External KMS) y su instancia de Thales CipherTrust Manager.

¿Por qué utilizar OCI API Gateway?

Al insertar un gateway de API de OCI entre OCI External KMS y Thales CipherTrust Manager, obtendrá:

• Control de acceso seguro: el gateway aplica la autenticación mediante OAuth2 mediante credenciales de cliente confidenciales, lo que garantiza que solo las solicitudes de confianza lleguen al gestor de claves.
• Gestión de certificados y terminación de TLS: gestione fácilmente los certificados SSL/TLS, lo que permite una comunicación cifrada segura entre OCI y Thales CipherTrust Manager.
• Aislamiento de red: OCI API Gateway abstrae el acceso directo a Thales CipherTrust Manager, lo que permite la exposición controlada en puntos finales privados y políticas de seguridad estrictas.
• Audibilidad y observabilidad: obtenga visibilidad sobre el uso de claves y los intentos de acceso mediante el registro y la supervisión integrados de llamadas de API.
• Escalabilidad y flexibilidad: prepara tu arquitectura para el futuro desacoplando la lógica de integración de OCI External KMS del backend de Thales CipherTrust Manager, facilitando el intercambio de componentes, la aplicación de actualizaciones o la adición de middleware si es necesario.

En el rest de este tutorial, configurará todos los componentes de infraestructura necesarios, incluidas las redes, el DNS, la gestión de certificados, la federación de identidades y, por último, la integración con OCI Vault y OCI Object Storage mediante claves externas.

Este tutorial se basa en technical foundation establecido en el tutorial: Configuración de dos dispositivos de gestor de claves en la nube de CipherTrust de Thales en OCI, Creación de un cluster entre ellos y Configuración de uno como autoridad de certificación.

Si desea implantar Hold Your Own Key (HYOK) con Thales CipherTrust Manager sin la opción OCI API Gateway, siga este tutorial: Configuración de OCI Hold Your Own Key (HYOK) con CipherTrust Manager sin API Gateway.

Nota: En este tutorial, los términos Thales CipherTrust Cloud Key Manager (CCKM) y Thales CipherTrust Manager (CTM) se utilizan indistintamente. Ambos se refieren al mismo producto.

Objetivos

• Tarea 1: Revisar la arquitectura de red en la nube.
• Tarea 2: Configurar el servicio de nombres de dominio (DNS) de OCI para todas las ubicaciones.
• Tarea 3: Crear un certificado para el gateway de API de OCI.
• Tarea 4: Cargar el certificado firmado de OCI API Gateway con el grupo de autoridades de certificación.
• Tarea 5: Asegúrese de que el punto final privado puede comunicarse con el gateway de API de OCI desde la perspectiva del firewall, la lista de seguridad o el grupo de seguridad de red.
• Tarea 6: Crear un gateway de API de OCI.
• Tarea 7: Crear un despliegue de API con detalles de FQDN.
• Tarea 8: Crear una aplicación de recursos confidencial y las aplicaciones de cliente confidenciales asociadas (integraciones de aplicaciones) y recopilar el cliente y los secretos en OCI.
• Tarea 9: Recopile la URL del dominio de identidad de OCI.
• Tarea 10: Crear proveedores de identidad en Thales CipherTrust Manager.
• Tarea 11: Agregar arrendamientos de Oracle en Thales CipherTrust Manager.
• Tarea 12: Crear un punto final privado para el servicio de gestor de claves externo de OCI.
• Tarea 13: Agregar almacenes externos en Thales CipherTrust Manager.
• Tarea 14: Crear un almacén de OCI External Key Management Service.
• Tarea 15: Agregar claves externas en Thales CipherTrust Manager.
• Tarea 16: Crear referencias clave en OCI.
• Tarea 17: Crear un cubo de OCI Object Storage con claves gestionadas por el cliente.
• Tarea 18: Bloquee y desbloquee las claves de Oracle y pruebe la accesibilidad del cubo de almacenamiento de objetos en Thales CipherTrust Manager y OCI.

En la siguiente imagen se muestran los componentes y la configuración de todos los pasos de este tutorial.

Tarea 1: Revisión de la arquitectura de red en la nube

Antes de profundizar en los pasos técnicos de configuración de Hold Your Own Key (HYOK) con Thales CipherTrust Manager, es esencial comprender la arquitectura de red en la nube en la que reside esta configuración.

En este escenario, se utilizan tres regiones de OCI:

• Dos regiones de OCI simulan centros de datos locales. Estas regiones están conectadas a OCI a través de túneles VPN, que representan entornos híbridos.
• La tercera región de OCI representa el entorno de OCI principal y sigue una arquitectura de red virtual en la nube (VCN) de dos radios. En este diseño:
  • La VCN de hub aloja servicios de red compartidos, como firewalls.
  • Varias VCN de radios se conectan al hub y alojan varias cargas de trabajo.

La conectividad entre los dos centros de datos locales simulados se establece mediante conexiones de intercambio de tráfico remoto (RPC). Sin embargo, para este tutorial, los detalles de la configuración de VPN, la configuración de RPC y la arquitectura de VCN de hub y radios se consideran fuera del alcance y no se tratarán.

• Para configurar conexiones VPN a OCI donde se simula un centro de datos, consulte Configuración de una VPN de sitio a sitio de Oracle Cloud Infrastructure Site-to-Site VPN con enrutamiento estático entre dos regiones de OCI.

• Para configurar conexiones RPC entre regiones de OCI, consulte Configuración de conexión RPC entre dos inquilinos y sus gateways de enrutamiento dinámico.

• Para configurar un hub de OCI y una arquitectura de red VNC radial, consulte Route Hub and Spoke VCN con pfSense Firewall en la VCN del hub.

Este tutorial se centra estrictamente en la configuración de HYOK mediante Thales CipherTrust Manager desplegado en la región de Ámsterdam (AMS), que es uno de los centros de datos locales simulados. Todas las operaciones de gestión de claves se realizarán desde esta instancia de Thales CipherTrust Manager.

El gestor de claves externo privado permite a OCI comunicarse de forma segura con el gestor externo CipherTrust de Thales y se desplegará en una de las VCN radiales de la región principal de OCI. Esto garantiza una ruta de comunicación segura y directa entre los servicios de OCI y el gestor de claves externo sin exponer el tráfico a la red pública de Internet.

Esta arquitectura admite sólidas posturas de seguridad y cumplimiento para cargas de trabajo confidenciales en OCI al aislar la gestión de claves dentro de un límite de red bien definido y seguro.

La siguiente imagen ilustra la arquitectura completa.

Tarea 2: Configuración de OCI DNS para todas las ubicaciones

Para garantizar una comunicación adecuada entre OCI, el gateway de API y Thales CipherTrust Manager, debe configurar la resolución de DNS para todos los componentes relevantes mediante zonas de DNS privadas en la consola de OCI.

En la siguiente imagen se muestran los componentes y la configuración de esta tarea.

La configuración de OCI DNS para AMS y ASH ya se realizó en este tutorial. Consulte Configuración de dos dispositivos de gestor de claves en la nube CipherTrust de Thales en OCI, Creación de un cluster entre ellos y Configuración de uno como autoridad de certificación. Utilice el mismo tutorial para configurar el DNS en la VCN de hub de FRA.

• La vista privada de la VCN de hub en FRA debe tener este aspecto:

  

Tenemos dos opciones para activar la resolución de DNS desde la VCN radial, configurar una vista privada independiente para el radio A o asociar la vista privada de la VCN de hub con el radio A.

En esta configuración, utilizaremos este último enfoque mediante la asociación de la vista privada de hub con la VCN radial A.

• Conéctese a la consola de OCI, vaya a Redes virtuales en la nube y seleccione Escuchar una VCN.

  

• Haga clic en Solucionador de DNS.

  

• Desplazar hacia abajo.

  

• Haga clic en Gestionar vistas privadas.

  

• Seleccione la vista privada de la VCN de hub y haga clic en Guardar cambios.

  

• Tenga en cuenta que la vista privada de la VCN de hub ahora está asociada a la VCN radial A. Si no ve el cambio, actualice el explorador.

  

La configuración correcta de DNS es una base fundamental para la autenticación TLS mutua, OAuth y la conectividad fiable entre OCI y Thales CipherTrust Manager.

Vuelva a comprobar la asociación de la zona DNS y la resolución de nombres antes de continuar con la configuración del certificado.

Tarea 3: Creación de un certificado para OCI API Gateway

Para activar la comunicación TLS segura entre OCI y Thales CipherTrust Manager, el gateway de API de OCI debe presentar un certificado SSL protegido. En esta configuración, el certificado se creará generando primero una solicitud de firma de certificado (CSR) en la autoridad de certificación (CA) CTM1y, a continuación, firmándola con la misma CA.

Una vez que se firme el certificado, se cargará en OCI y se asociará al gateway de API de OCI, lo que le permitirá servir tráfico cifrado de confianza en sus sistemas internos. En la siguiente imagen se muestran los pasos para crear el certificado firmado para el gateway de API de OCI.

Realice estos pasos solo en AMS CTM.

• Inicie sesión en la consola de AMS de Thales CipherTrust Manager, vaya a CA y haga clic en CSR Generator.

  

• Introduzca la siguiente información y haga clic en Generar CSR y descargar la clave privada.

  • Seleccione RSC genérica.
  • Nombre común (CN): introduzca el FQDN del mánager de Thales CipherTrust. Por ejemplo, oci-api-gw.oci-thales.lab.
    • Nombre mostrado: introduzca un nombre. Por ejemplo, OCI API Gateway.
    • Algoritmo: seleccione RSA.
    • Tamaño: seleccione 2048.
  • Nombre alternativo de tema (SAN): incluya también el FQDN aquí. Por ejemplo, oci-api-gw.oci-thales.lab.

  

• Tenga en cuenta que la clave privada se descargará automáticamente.

  

• Haga clic en Descargar CSR para descargar y guardar el archivo .csr generado.

  

• Asegúrese de que la CSR y la clave privada se almacenan en una carpeta.

  

• Cambie el nombre de la CSR y la clave privada.

  

• Vaya a CA, haga clic en Local y seleccione la CA.

  

• Haga clic en Upload CSR (Cargar CSR).

  

• En Cargar CSR generado externamente, introduzca la siguiente información.

  • Nombre mostrado: introduzca el FQDN de OCI API Gateway. Por ejemplo, oci-api-gw.oci-thales.lab.
  • Copie el contenido de la CSR generada en el campo CSR.
  • Finalidad del certificado: seleccione Servidor.
  • Haga clic en Problema de certificado.

  

• Haga clic en los tres puntos al final de la entrada de certificado firmado y, a continuación, haga clic en Descargar para descargar el certificado firmado para OCI API Gateway.

  

• Asegúrese de que el certificado firmado esté almacenado en las mismas carpetas de CSR y clave privada.

  

• Cambie el nombre del certificado firmado.

  

Además de firmar los certificados individuales de Thales CipherTrust Manager, el certificado raíz de CA es una parte crítica de la cadena de confianza. Este certificado raíz establece la base de confianza para todos los certificados emitidos por su Thales CipherTrust Manager, que actúa como la autoridad de certificación (CA).

• Vaya a CA y haga clic en Local. Haga clic en los tres puntos que aparecen al final de la CA de CTM AMS y, a continuación, haga clic en Descargar para descargar el certificado de CA raíz de la CA de CTM AMS.

  

• Almacene el certificado raíz descargado en la misma carpeta.

  

• Cambie el nombre del certificado raíz.

  

Posteriormente, este certificado se asociará al despliegue de OCI API Gateway, lo que permite a OCI comunicarse de forma segura con Thales CipherTrust Manager a través de HTTPS mediante un certificado emitido y protegido en su entorno.

Tarea 4: Carga del certificado de gateway de API de OCI firmado con el grupo de autoridades de certificación

Después de generar y firmar el certificado de gateway de API de OCI mediante la CTM1 Certificate Authority (CA), la siguiente tarea es cargar este certificado en OCI para asociarlo al despliegue de gateway de API de OCI.

Esto garantiza que cualquier comunicación con el gateway de API de OCI, como las solicitudes de OCI External KMS, se produzca a través de una conexión TLS cifrada y de confianza mediante su autoridad de certificación interna.

Empecemos por cargar el certificado de CA raíz.

• Vaya a la consola de OCI, vaya a Identidad y seguridad y haga clic en Paquetes de CA.

  

• Haga clic en Crear grupo de autoridades de certificación.

  

• En Crear grupo de autoridades de certificación, introduzca la siguiente información.

  • Introduzca un nombre. Por ejemplo, thales-ca.
  • Seleccione un archivo PEM.

  

• Seleccione Root CA Certificate (Certificado de CA raíz) de la CA CTM1 de AMS y haga clic en Open (Abrir).

  

• Observe el contenido del certificado de CA raíz de la CA CTM1 de AMS y haga clic en Crear.

  

• Tenga en cuenta que se ha creado el grupo de CA.

  

Ahora, carguemos el certificado firmado de OCI API Gateway.

• Vaya a la consola de OCI, vaya a Identidad y seguridad y haga clic en Certificados.

  

• Haga clic en Crear certificado.

  

• En Información básica, introduzca la siguiente información.

  • Seleccione Tipo de certificado como Importado.
  • Introduzca el nombre del certificado. Por ejemplo, 8-oci-api-gw.oci-thales.lab.
  • Haga clic en Siguiente.

  

• Haga clic en Siguiente.

  

• Haga clic en Cargar archivo y cargue el archivo de certificado firmado del gateway de API de OCI.

• Haga clic en Cargar archivo y cargue el archivo de certificado raíz de CTM1 en AMS.

  

• Haga clic en Cargar archivo y cargue el archivo de clave privada correspondiente del gateway de API de OCI firmado.

• Haga clic en Siguiente.

  

• Haga clic en Siguiente.

  

• Revise la sección Resumen y haga clic en Crear certificado.

  

• Revise el resumen y haga clic en Ver detalles de certificado.

  

• Tenga en cuenta que el certificado está activo.

  

Nota: Si la carga del certificado falla, puede deberse al algoritmo utilizado al generar la CSR. OCI no aceptó los certificados que utilizan el algoritmo ECDSA. Para resolver esto, regeneramos la CSR mediante el algoritmo RSA, que funcionó correctamente.

Una vez cargado, este certificado estará disponible para asociarse a su despliegue de gateway de API, lo que le permitirá presentar una identidad de confianza en servicios de OCI como OCI External KMS. Esta tarea es fundamental para permitir una confianza segura basada en certificados entre Oracle y su gestor de claves externo.

Tarea 5: Asegúrese de que el punto final privado se puede comunicar con el gateway de API de OCI desde el firewall, la lista de seguridad o el grupo de seguridad de red

Antes de desplegar el gateway de API de OCI o probar la integración entre OCI y Thales CipherTrust Manager, es esencial garantizar que se establezca la conectividad de red entre el punto final privado que utilizan OCI External KMS y OCI API Gateway.

Nota:

• El tráfico dentro de la misma subred no se permite automáticamente en OCI. Incluso si el punto final privado y el gateway de API de OCI residen en la misma subred, debe permitir explícitamente el tráfico entre ellos en la lista de seguridad o el grupo de seguridad de red.

• Por ejemplo, para permitir el tráfico HTTPS entre recursos de la misma subred, debe crear una regla de entrada que permita el tráfico en el puerto TCP 443 desde el bloque CIDR de la subred.

• Vaya a la consola de OCI, vaya a Networking y haga clic en Virtual Cloud Networks.

  

• Haga clic en Spoke A VCN.

  

• Desplazar hacia abajo.

  

• Haga clic en la subred privada de la VCN radial A. Esta es la VCN donde estará el punto final privado del KMS externo de OCI y la dirección IP del gateway de API de OCI.

  

• Desplazar hacia abajo.

  

• Haga clic en la lista de seguridad por defecto asociada a la subred.

  

• Haga clic en Agregar reglas de entrada.

  

• Para configurar la regla de entrada 1, introduzca la siguiente información y haga clic en Agregar reglas de entrada.

  • Tipo de origen: seleccione CIDR.
  • Source CIDR: introduzca 172.16.1.0/24.
  • Protocolo IP: seleccione Todos los protocolos.

  

• Tenga en cuenta que la regla de la lista de seguridad de entrada se ha agregado a la lista de seguridad.

  

Nota: Si un gateway de API de OCI no puede acceder al gestor CipherTrust de Thales a través de su FQDN durante el despliegue, puede que no se active. Por lo tanto, garantizar una ruta de red clara y segura entre el punto final privado y el gateway de API de OCI es un requisito previo fundamental para una integración correcta de HYOK.

Tarea 6: Creación de un gateway de API de OCI

Con el certificado TLS firmado cargado, la siguiente tarea es crear un gateway de API de OCI que sirva como punto de entrada seguro para que OCI se comunique con Thales CipherTrust Manager.

Posteriormente, este gateway de API de OCI se configurará para enrutar solicitudes al CTM mediante su nombre de dominio completo (FQDN) y aplicar una comunicación segura mediante el certificado TLS cargado.

En la siguiente imagen se muestran los componentes y la configuración de esta tarea.

• Vaya a la consola de OCI, vaya a Developer Services y haga clic en Gateways.

  

• Haga clic en Crear gateway.

  

• En Crear gateway, introduzca la siguiente información.

  • Introduzca un nombre. Por ejemplo, API-GW.
  • Tipo: seleccione Privado.
  • VCN: seleccione la VCN desde la que se puede acceder al gestor de CipherTrust de Thales.
  • Subred: seleccione subred privada con acceso al gestor CipherTrust de Thales.

  

• Seleccione el certificado que hemos cargado anteriormente (8-oci-api-gw.oci-thales.lab) y haga clic en Crear gateway.

  

• Tenga en cuenta que se ha creado OCI API Gateway.

  

Nota: El despliegue de OCI API Gateway puede fallar si no puede acceder al gestor CipherTrust de Thales a través de la URL de backend configurada. Para evitarlo, asegúrese de que:

• El enrutamiento está configurado correctamente entre la subred privada del gateway de API de OCI y Thales CipherTrust Manager.
• Las listas de seguridad o los grupos de seguridad de red (NSG) permiten el tráfico HTTPS (puerto TCP 443) desde la subred de gateway de API hasta el CTM.
• El FQDN del gestor CipherTrust de Thales se resuelve correctamente mediante el DNS privado configurado.

Los backends inaccesibles durante el despliegue provocarán un fallo en las comprobaciones del sistema, lo que provocará errores de despliegue o un estado inactivo.

Este gateway de API de OCI se utilizará más adelante en un despliegue para exponer un punto final al que puede llamar el KMS externo de OCI. El gateway actúa como un proxy autenticado y seguro entre OCI y Thales CipherTrust Manager, lo que aplica TLS y la validación de identidad.

Tarea 7: Creación de un despliegue de API con detalles de FQDN

Ahora que se crea el gateway de API de OCI y el certificado está en su lugar, la siguiente tarea es crear un despliegue de API. Esto define el comportamiento de enrutamiento del gateway específicamente, cómo las solicitudes entrantes de OCI External KMS se reenvían a Thales CipherTrust Manager mediante su FQDN interno.

El despliegue une OCI y Thales CipherTrust Manager, gestionando el enrutamiento basado en rutas y la terminación de TLS para las solicitudes entrantes.

En la siguiente imagen se muestran los componentes y la configuración de esta tarea.

• Vaya a la consola de OCI, navegue por Developer Services y haga clic en Gateways.

  

• Haga clic en el gateway de API.

  

• Haga clic en Create deployment.

  

• En Crear despliegue, introduzca la siguiente información.

  • Seleccione Desde cero.
  • Introduzca un nombre. Por ejemplo, API-GW-DEPLOYMENT.
  • Prefijo de ruta: introduzca /api/v1/cckm/oci/ekm/v1.
  • Haga clic en Siguiente.

  

• Autenticación: seleccione Sin autenticación.

• Haga clic en Siguiente.

  

• En la sección Ruta 1, introduzca la siguiente información y haga clic en Siguiente.

  • Ruta: introduzca /{path*}.
  • Métodos: seleccione GET, POST.
  • Tipo de backend: seleccione el tipo de backend como HTTP y especifique la URL como https://**<your-ctm-fqdn>**/api/v1/cckm/oci/ekm/v1/${request.path[path]}.

  

• Haga clic en Crear.

  

• Tenga en cuenta que se ha creado el despliegue de API. Haga clic en el mismo.

  

• Tenga en cuenta que el despliegue de API es ACTIVE.

  

Una vez que el despliegue esté activo, OCI API Gateway puede reenviar de forma segura solicitudes autenticadas desde OCI a Thales CipherTrust Manager. La configuración del FQDN es fundamental aquí, asegúrese de que coincida con el nombre común (CN) o el SAN en el certificado Thales CipherTrust Manager y se resuelva correctamente mediante DNS.

Este despliegue actuará como punto final clave al que el KMS externo de OCI llama para interactuar con las claves externas alojadas en Thales CipherTrust Manager.

Tarea 8: Crear una aplicación de recursos confidenciales, asociar aplicaciones de cliente confidenciales (integraciones de aplicaciones) y recopilar el cliente y los secretos en OCI

Para activar la integración de HYOK con Thales CipherTrust Manager, debe establecer la confianza entre OCI y el gestor de claves externo.

Para ello, se registran dos componentes clave en OCI Identity and Access Management (OCI IAM): una aplicación de recursos confidencial y una aplicación de cliente confidencial. Estos son esenciales para autenticar y autorizar la comunicación entre OCI y Thales CipherTrust Manager.

Esta configuración permite a Thales CipherTrust Manager autenticarse con OCI IAM a través de OAuth 2.0. El cliente confidencial actúa en nombre del gestor de claves externo, mientras que el recurso confidencial define el ámbito de acceso y la configuración de confianza. OCI no puede validar ni comunicarse de forma segura con el origen de clave externa sin estos componentes.

En la siguiente imagen se muestran los componentes y la configuración de este paso.

• Conéctese a la consola de OCI, vaya a Identidad y seguridad y haga clic en Dominios.

  

• Haga clic en el dominio que desea utilizar para la autenticación.

  

• Haga clic en Aplicaciones integradas y Agregar aplicación.

  

• Seleccione Aplicación confidencial y haga clic en Iniciar flujo de trabajo.

  

• Introduzca el nombre de la aplicación (Resource_App) y haga clic en Siguiente.

  

• En la sección Configuración del servidor de recursos, introduzca la siguiente información.

  • Seleccione Configurar esta aplicación como un servidor de recursos ahora.
  • En Destino principal, introduzca https://172.16.1.103/ (dirección IP del gateway de API).

  

• En Agregar ámbito, introduzca la siguiente información.

  • Seleccione Agregar ámbitos.
  • Haga clic en Agregar.
  • En Ámbito, introduzca oci_ekms.
  • Haga clic en Agregar.

  

• Observe el ámbito agregado oci_ekms y desplácese hacia abajo.

  

• En la sección Configuración de cliente, introduzca la siguiente información.

  • Seleccione Configurar esta aplicación como un cliente ahora.
  • Seleccione Credenciales de cliente.
  • Haga clic en Siguiente.

  

• Haga clic en Omitir y hacer más tarde para omitir la creación de la política de nivel web y hacer clic en Terminar.

  

• Vaya a la página Aplicaciones integradas.

  • Tenga en cuenta que se crea la aplicación de integración Resource_App.
  • Seleccione la aplicación de integración Resource_App.
  • Haga clic en el menú desplegable Actions (Acciones),
  • Haga clic en Activar.

  

• Haga clic en Activar aplicación.

  

• Haga clic en la aplicación de integración Resource_App.

  

• Desplazar hacia abajo.

  

• Copie el ID de Cliente y almacénelo en un bloc de notas. Haga clic en Mostrar secreto para mostrar el secreto de cliente.

  

• Haga clic en Copiar para copiar el secreto de cliente y almacenarlo en un bloc de notas. Haga clic en Cerrar.

  

• Haga clic en Agregar aplicación.

  

• Seleccione Aplicación confidencial y haga clic en Iniciar flujo de trabajo.

  

• Introduzca el nombre de la solicitud (Client_App) y haga clic en Siguiente.

  

• En Configuración del servidor de recursos, seleccione Omitir para más tarde.

• En Configuración de cliente, introduzca la siguiente información.

  • Seleccione Configurar esta aplicación como un cliente ahora.
  • Seleccione Credenciales de cliente.
  • Desplazar hacia abajo.

  

• En Agregar ámbito, introduzca la siguiente información.

  • Seleccione Agregar recursos.
  • Seleccione Agregar ámbitos.
  • En Ámbito, introduzca Resource_App.
  • Haga clic en Agregar.

  

• Observe el recurso agregado Resource_App y haga clic en Next (Siguiente).

  

• Haga clic en Omitir y hacer más tarde para omitir la creación de la política de nivel web y hacer clic en Terminar.

  

• Vaya a la página Aplicaciones integradas.

  • Tenga en cuenta que se crea la aplicación de integración Client_App.
  • Seleccione la aplicación de integración Client_App.
  • Haga clic en el menú desplegable Actions (Acciones),
  • Haga clic en Activar.

  

• Haga clic en Activar aplicación.

  

• Haga clic en la aplicación de integración Client_App.

  

• Desplazar hacia abajo.

  

• Copie el ID de Cliente y almacénelo en un bloc de notas. Haga clic en Mostrar secreto para mostrar el secreto de cliente.

  

• Haga clic en Copiar para copiar el secreto de cliente y almacenarlo en un bloc de notas. Haga clic en Cerrar.

  

Nota:

• Ha recopilado los ID de cliente y los secretos de cliente Resource_App y Client_App.
• No mezcle estos dos y configúrelos en los lugares adecuados.

Tarea 9: Recopilación de la URL del dominio de identidad de OCI

Para activar la comunicación basada en OAuth entre OCI y Thales CipherTrust Manager, debe proporcionar la URL de dominio de identidad durante la configuración del proveedor de identidad en Thales CipherTrust Manager.

• Vaya a la consola de OCI, vaya a Identidad y seguridad y haga clic en Dominios.

  

• Seleccione el dominio de identidad en el que se crearon las aplicaciones confidenciales.

  

• En la página de detalles del dominio, haga clic en Copiar para copiar la URL de dominio y almacenarla en un bloc de notas.

  

Tarea 10: Creación de proveedores de identidad en Thales CipherTrust Manager

En esta tarea, configurará el proveedor de identidad en el gestor CipherTrust de Thales. Esta configuración permite a Thales CipherTrust Manager autenticarse con OCI mediante las credenciales OAuth 2.0 creadas en la tarea 3.

En la siguiente imagen se muestran los componentes y la configuración de esta tarea.

• En Thales CipherTrust Manager, vaya a CTM1 en AMS y haga clic en Products y Cloud Key Manager.

  

• Haga clic en Contenedores de KMS, Almacenes de Oracle, seleccione Almacenes Externos y haga clic en Agregar Proveedor de Identidad.

  

• En Agregar proveedor de identidad, introduzca la siguiente información y haga clic en Agregar.

  • Introduzca el nombre (OCI).
  • Seleccione OpenID Configuration URL como Provider Verifier (Verificador de proveedor).
  • Introduzca la OpenID URL de configuración, URL de dominio copiada en la tarea 3.
    • Agregue el siguiente sufijo a la URL: .well-known/openid-configuration. Por lo tanto, la URL de configuración OpenID completa será: https://idcs-<xxx>.identity.oraclecloud.com:443/.well-known/openid-configuration.
  • Seleccione URL protegida de jwks.
  • Introduzca el ID de cliente y el secreto de cliente de la aplicación integrada Resource_App.

  

• Tenga en cuenta que se crea el proveedor de identidad.

  

Tarea 11: Adición de arrendamientos de OCI en Thales CipherTrust Manager

Después de configurar el proveedor de identidad en Thales CipherTrust Manager, la siguiente tarea es registrar su arrendamiento de OCI. Esto permite a Thales CipherTrust Manager gestionar almacenes y claves externos en nombre de su entorno de OCI mediante las credenciales OAuth configuradas anteriormente.

En la siguiente imagen se muestran los componentes y la configuración de esta tarea.

• Primero, debemos obtener el nombre y el OCID del inquilino de OCI. Haga clic en el perfil en la esquina superior derecha y haga clic en Arrendamiento.

  

• Copie el nombre del inquilino y el OCID del inquilino y almacene ambos en un bloc de notas.

  

• Vaya a la consola de Thales Cloud Key Manager.

  • Haga clic en Contenedores de KMS.
  • Haga clic en Oracle Vaults.
  • Haga clic en Arrendamiento.
  • Haga clic en Agregar arrendamiento.

  

• En Agregar arrendamiento, introduzca la siguiente información.

  • Seleccione Arrendamiento de Oracle (sin conexión) como método.
  • Introduzca el nombre del arrendamiento recopilado de OCI.
  • Introduzca el OCID de arrendamiento recopilado de OCI.
  • Haga clic en Agregar.

  

• Tenga en cuenta que el inquilino de OCI se agrega al gestor CipherTrust de Thales.

  

Tarea 12: Creación de un punto final privado para el servicio de gestor de claves externo en OCI

Para conectar de forma segura OCI al gestor CipherTrust de Thales sin exponer el tráfico a la red pública de Internet, debe crear un punto final privado para el servicio OCI External Key Management.

Esto garantiza que toda la comunicación entre OCI y Thales CipherTrust Manager se realice a través de una ruta de red privada y controlada.

Asegúrese de que se cumplen los siguientes requisitos previos:

• Se debe poder acceder a Thales CipherTrust Manager desde OCI a través de la configuración de red privada. Por ejemplo, a través de VPN.
• Asegúrese de que la subred tiene reglas de enrutamiento y seguridad que permiten el tráfico a la instancia de Thales CipherTrust Manager.

En la siguiente imagen se muestran los componentes y la configuración de esta tarea.

• En la consola de OCI, vaya a Identidad y seguridad y haga clic en Puntos finales privados.

  

• Vaya a Puntos finales privados y haga clic en Crear punto final privado.

  

• En Crear punto final privado, introduzca la siguiente información.

  • Introduzca el nombre del punto final privado (Private-Endpoint-For-Vault).
  • Seleccione una VCN y una subred en la que deba estar este punto final privado.
  • Introduzca Dirección IP privada del gestor de claves externas como 172.16.1.103 Dirección IP del gateway de API.
  • Introduzca Port como 443.
  • Cargue el grupo de autoridades de certificación de gestión de claves externas y haga clic en Examinar.

  

• Hemos seleccionado el certificado de cadena completa que se ha creado en este tutorial: Configuración de dos dispositivos de Cloud Key Manager CipherTrust de Thales en OCI, Creación de un cluster entre ellos y Configuración de uno como autoridad de certificación, pero también puede seleccionar solo el certificado raíz de CA. Haga clic en Abrir.

  

• Asegúrese de que el certificado, la CA raíz o los certificados de cadena completa de Thales CipherTrust Manager están seleccionados. Haga clic en Crear.

  

• Tenga en cuenta que se crea el punto final privado. Ahora, haga clic en el punto final privado.

  

• Tenga en cuenta que la dirección IP del punto final privado está configurada.

  

Tarea 13: Agregar almacenes externos en el gestor CipherTrust de Thales

Con el arrendamiento de OCI y el punto final privado en su lugar, la siguiente tarea es agregar un almacén externo en Thales CipherTrust Manager. Un almacén externo en Thales CipherTrust Manager es un contenedor lógico que se asigna al almacén de gestión de claves externas en OCI, lo que permite al gestor CipherTrust de Thales gestionar las claves utilizadas para el cifrado HYOK.

En la siguiente imagen se muestran los componentes y la configuración de esta tarea.

• Vaya a la consola de administración de claves de Thales Cloud.

  • Haga clic en Contenedores de KMS.
  • Haga clic en Oracle Vaults.
  • Seleccione Almacenes externos.
  • Haga clic en Agregar almacén externo.

  

• En Agregar almacén externo, introduzca la siguiente información.

  • Introduzca el nombre (OCI).
  • Seleccione Arrendamiento de Oracle (sin conexión) como Métodos.
  • Seleccione la creación del arrendamiento en la tarea 5.
  • Seleccione el emisor, el proveedor de identidad creado en la tarea 4.
  • Desplazar hacia abajo.

  

  • Introduzca el ID de cliente de la aplicación integrada Client_App.
  • Introduzca el nombre de host de URL de punto final como 172.16.1.103, la dirección IP del gateway de API.
  • Introduzca Port como 443.
  • Haga clic en Agregar.

  

• Tenga en cuenta que el almacén externo está configurado. Copie la URL del almacén externo y guárdela en un bloc de notas.

  

Una vez configurado, este almacén se convierte en la ubicación de destino para almacenar las claves externas a las que harán referencia los servicios de OCI. Conecta su entorno de OCI y las claves gestionadas por CipherTrust, lo que permite un control completo de las operaciones de cifrado en un modelo HYOK.

Tarea 14: Creación de un almacén de servicio de gestión de claves externo de OCI

Ahora que el almacén externo se ha definido en Thales CipherTrust Manager, la siguiente tarea es crear un almacén de gestión de claves externo correspondiente en la consola de OCI.

Este almacén de OCI se enlazará a su gestor CipherTrust de Thales y lo utilizarán los servicios de OCI para realizar operaciones de cifrado y descifrado mediante claves externas.

En la siguiente imagen se muestran los componentes y la configuración de esta tarea.

• Recupere la URL de dominio de la tarea 9, lo necesitará para configurar el almacén de claves externo en OCI.

  

• En la consola de OCI, vaya a Identidad y seguridad y haga clic en Gestión de claves externas.

  

• Haga clic en Crear almacén.

  

• En Crear almacén, introduzca la siguiente información.

  • Introduzca el nombre (OCI_EKMS_Vault).
  • Introduzca la URL de nombre de cuenta de IDCS, la URL de dominio copiada de la tarea 7. Así que la URL completa será: https://idcs-<xxx>.identity.oraclecloud.com:443/.
  • Introduzca el ID de cliente y el secreto de aplicación de cliente de la aplicación integrada Client_App.
  • Desplazar hacia abajo.

  

  • Seleccione el Punto final privado creado en la tarea 6.
  • Introduzca la URL de almacén externo copiada de la tarea 7 cuando creamos el almacén externo en CTM1.
  • Haga clic en Crear almacén.

  

• Tenga en cuenta que se ha creado el almacén. Ahora, haga clic en el almacén.

  

• Revise los detalles del almacén.

  

OCI ahora se conectará a Thales CipherTrust Manager mediante el punto final privado especificado. Una vez que este almacén está activo, se convierte en la interfaz a través de la cual OCI interactúa con claves externas gestionadas por CCKM, lo que permite el soporte de HYOK para servicios de OCI como OCI Object Storage, OCI Block Volumes y más. Posteriormente, realizaremos algunas pruebas con OCI Object Storage.

Tarea 15: Agregar claves externas en Thales CipherTrust Manager

Con el almacén externo configurado en Thales CipherTrust Manager y enlazado a OCI, la siguiente tarea es crear o importar las claves de cifrado externas que OCI utilizará para los servicios activados para HYOK.

Estas claves residen de forma segura en Thales CipherTrust Manager y OCI hace referencia a ellas a través de la interfaz de gestión de claves externa. Según los requisitos de la organización, puede generar una nueva clave directamente en Thales CipherTrust Manager o importar una existente.

En la siguiente imagen se muestran los componentes y la configuración de esta tarea.

• Vaya a la consola de Thales Cloud Key Manager.

  • Haga clic en Claves en la nube.
  • Haga clic en Oracle.
  • Haga clic en Add Key.

  

• En Agregar clave de Oracle, introduzca la siguiente información.

  • Seleccione Oracle External (HYOK).
  • Seleccione el almacén del gestor CipherTrust de Thales creado en la tarea 8.
  • Seleccione Source (Origen) para que sea CipherTrust (local).
  • Haga clic en Siguiente.

  

• En Clave de origen, introduzca la siguiente información.

  • Seleccione el Material de clave de origen que desea Crear nueva clave.
  • Introduzca el nombre de la clave (CM_Key).
  • Haga clic en Siguiente.

  

• En Configurar clave de Oracle, introduzca la siguiente información.

  • Introduzca el nombre de clave de Oracle (CM_Key).
  • Haga clic en Siguiente.

  

• Haga clic en Add Key.

  

• Haga clic en Cerrar.

  

• Observe la clave creada.

  

Una vez agregada, la clave pasa a estar disponible para OCI a través del almacén de gestión de claves externo. Sin embargo, para permitir que los servicios de OCI utilicen la clave, debe crear una referencia de clave en la consola de OCI, que trataremos en la siguiente tarea.

Nota:

• Estas claves nunca salen de Thales CipherTrust Manager.
• OCI solo envía solicitudes de cifrado/descifrado al gestor de claves externo, lo que garantiza que siempre mantenga el control total sobre el material de claves.

Tarea 16: Creación de referencias clave en OCI

Una vez que la clave externa se ha creado o importado en Thales CipherTrust Manager, la siguiente tarea es crear una referencia de clave en la consola de OCI. Una referencia de clave actúa como un puntero que permite a los servicios de OCI acceder a la clave externa almacenada en Thales CipherTrust Manager y utilizarla mediante el almacén de gestión de claves externo.

En la siguiente imagen se muestran los componentes y la configuración de esta tarea.

• Vaya a la consola de Thales Cloud Key Manager.

  • Haga clic en Claves en la nube.
  • Haga clic en Oracle.
  • Haga clic en Clave creada en la tarea 15.

  

• Tenga en cuenta que la clave tendrá un ID de clave externa; copie este ID.

  

• Vuelva al almacén de OCI creado en la tarea 9 y haga clic en el almacén.

  

• Desplazar hacia abajo.

  

• Haga clic en Crear referencia de clave.

  

• En Crear referencia de clave, introduzca la siguiente información.

  • Introduzca el nombre (OCI_Key_Reference).
  • Introduzca la clave copiada External Key ID (Thales CipherTrust Manager).
  • Haga clic en Crear referencia de clave.

  

• Tenga en cuenta que se ha creado la referencia de clave.

  

OCI ahora asociará esta referencia de clave a la clave externa gestionada en Thales CipherTrust Manager. Esto permite a los servicios de OCI, como OCI Object Storage, OCI Block Volumes y otros, enviar solicitudes criptográficas a la clave externa a través del punto final privado. Por el contrario, el material clave en sí permanece completamente bajo su control.

Probaremos la referencia de clave inmediatamente asociándola a un cubo de OCI Object Storage para verificar que la integración funciona según lo esperado.

Tarea 17: Creación de un cubo de OCI Object Storage con claves gestionadas por el cliente

Puede cifrar recursos mediante la clave externa a la que se hace referencia en OCI. En esta tarea, crearemos un cubo de OCI Object Storage que utilice la clave externa gestionada por el cliente alojada en el gestor CipherTrust de Thales a través del almacén de gestión de claves externo.

Esta configuración garantiza que todos los objetos almacenados en el cubo se cifren mediante una clave que controle por completo, que cumpla con los estrictos requisitos de conformidad, soberanía o política interna.

En la siguiente imagen se muestran los componentes y la configuración de esta tarea.

• Vaya a la consola de OCI, vaya a Almacenamiento y haga clic en Cubos.

  

• Haga clic en Crear cubo.

  

• En Crear cubo, introduzca la siguiente información.

  • Introduzca el nombre (OCI_EKMS_Test_Bucket).
  • Desplazar hacia abajo.

  

  • En Cifrar, seleccione Cifrar utilizando claves gestionadas por los clientes.
  • En Almacén, seleccione el Almacén de gestión de claves externo creado en la tarea 8.
  • En Clave, seleccione la referencia de clave creada en la tarea 16.
  • Haga clic en Crear.

  

• Tenga en cuenta que se ha creado el cubo. Haga clic en el cubo.

  

• Puede desplazarse hacia abajo para cargar archivos o dejarlos vacíos.

  

• Navegue a la pantalla inicial de la consola de OCI o a cualquier otra página.

  

Una vez creado el cubo, todos los datos almacenados en él se cifrarán mediante la clave externa gestionada por Thales CipherTrust Manager. Esto garantiza que OCI se base en su infraestructura de claves para el acceso y el control, lo que permite capacidades completas de retención de su propia clave (HYOK).

Supongamos que la clave externa deja de estar disponible (por ejemplo, desactivada o bloqueada en Thales CipherTrust Manager). En ese caso, se denegará el acceso al cubo y su contenido, lo que ofrece un potente punto de control para su estrategia de seguridad de datos. Esto es algo que vamos a probar en la siguiente tarea.

Tarea 18: Bloquear y desbloquear claves de Oracle y probar la accesibilidad del cubo de OCI Object Storage en Thales CipherTrust Manager y OCI

Una de las ventajas clave del modelo Hold Your Own Key (HYOK) es la capacidad de mantener un control operativo completo sobre sus claves de cifrado, incluida la capacidad de bloquearlas o desbloquearlas en cualquier momento. En esta sección se muestra cómo utilizar Thales CipherTrust Manager para controlar el acceso a un cubo de almacenamiento de objetos gestionado por Oracle mediante el bloqueo o desbloqueo de la clave externa.

El bloqueo de una clave restringe eficazmente el acceso a cualquier recurso de OCI cifrado con esa clave sin suprimir la clave ni los datos. Al desbloquear, se restaura el acceso.

• Vaya a la consola de Thales Cloud Key Manager.

  • Haga clic en Claves en la nube.
  • Haga clic en Oracle.
  • Haga clic en los tres puntos al final de la clave.
  • Seleccione Bloque.

  

• Seleccione Bloque.

  

• Tenga en cuenta que la clave ahora está Bloqueada en Thales CipherTrust Manager.

  

• Vaya a la consola de OCI, vaya a Almacenamiento y haga clic en Cubos.

  

• Haga clic en el cubo creado en la tarea 17.

  

• Tenga en cuenta que ahora tendrá un error y no podrá acceder al cubo ni a ningún archivo cargado en el cubo.

  

Ahora, desbloqueemos la clave en Thales CipherTrust Manager nuevamente.

El siguiente diagrama ilustra los componentes y la configuración de esta tarea.

• Vaya a la consola de Thales Cloud Key Manager.

  • Haga clic en Claves en la nube.
  • Haga clic en Oracle.
  • Haga clic en los tres puntos al final de la clave.
  • Seleccione Desbloquear.

  

• Seleccione Desbloquear.

  

• Tenga en cuenta que la clave ahora está desbloqueada en Thales CipherTrust Manager.

  

• Vuelva a la página Detalles de cubo o refresque el explorador si aún está en esa página.

  

• Tenga en cuenta que no puede volver a acceder al cubo de OCI Object Storage cuando se desbloquea.

  

Esta capacidad proporciona un potente mecanismo para la respuesta de emergencia, el cumplimiento normativo y la aplicación de la soberanía de datos, lo que garantiza que mantenga un control total sobre cuándo y cómo se puede acceder a sus datos en OCI.

Pasos Siguientes

Al completar este tutorial, ha configurado correctamente la solución OCI Hold Your Own Key mediante Thales CipherTrust Manager con la opción de integración de OCI API Gateway.

Tiene:

• Diseñado y validado la arquitectura de red de soporte.
• Despliegue y configuración del gateway de API de OCI con valores de DNS y TLS seguros.
• Establecimiento de la confianza mutua entre OCI y Thales CipherTrust Manager mediante aplicaciones confidenciales y proveedores de identidad.
• Las claves externas gestionadas por Thales CipherTrust Manager integradas con OCI Vault y el control de acceso probado mediante el bloqueo y desbloqueo de claves.

El uso de un gateway de API de OCI en esta configuración proporciona un punto de integración seguro y escalable que aplica la autenticación, mejora la observabilidad y abstrae al gestor de claves detrás de una interfaz controlada que garantiza el cumplimiento, el control y la flexibilidad.

Esta arquitectura posiciona a tu organización para cumplir con los estrictos requisitos de soberanía, cumplimiento y regulación de datos al garantizar que las claves de cifrado nunca se almacenen ni se gestionen en OCI, sino que aún estén disponibles para operaciones seguras cuando sea necesario.

Ahora está equipado con un plan detallado listo para la producción que permite la gestión de claves externas en OCI con total propiedad, visibilidad y control sobre sus activos criptográficos.

Enlaces relacionados

• Creación de una zona DNS privada

• Creación de una Vista Privada

• Adición de un registro a una zona DNS

• Creación de una aplicación de recurso confidencial

• Asociación de aplicación cliente confidencial

• Obtención de Detalles de un Dominio de Identidad

• Importación de un certificado

• Creación de un grupo de autoridades de certificación

• Creación de una CSR en la consola

• Firma de una solicitud de certificado con una CA local

• Creación del gateway de API

• Crear una VCN que utilizar con el gateway de API, si no existe ya una

Acuses de recibo

• Autor - Iwan Hoogendoorn (cinturón negro de redes en la nube)

Más recursos de aprendizaje

Explore otros laboratorios en docs.oracle.com/learn o acceda a más contenido de aprendizaje gratuito en el canal YouTube de Oracle Learning. Además, visite education.oracle.com/learning-explorer para convertirse en un explorador de Oracle Learning.

Para obtener documentación sobre el producto, visite Oracle Help Center.

---

Título e Información de Copyright

Set up an OCI Hold Your Own Key using Thales CipherTrust Manager with OCI API Gateway

G38191-03

Copyright ©2025, Oracle and/or its affiliates.