Configurar una clave de OCI Hold Your Own Key con Thales CipherTrust Manager sin OCI API Gateway

Introducción

Este tutorial proporciona instrucciones paso a paso para configurar Hold Your Own Key (HYOK) con Thales CipherTrust Manager (CTM) sin utilizar la opción Oracle Cloud Infrastructure (OCI) API Gateway. Este enfoque le permite controlar sus claves de cifrado por completo, al tiempo que permite la integración con los servicios de OCI que soportan la gestión de claves externas.

image

Repasaremos toda la configuración, empezando por revisar la arquitectura de red y configurar integraciones de aplicaciones en OCI y, a continuación, configurando Thales CipherTrust Manager para que se comunique directamente con Oracle Cloud Infrastructure External Key Management Service (OCI External Key Management Service) a través de un punto final privado. El tutorial también incluye la creación y el registro de proveedores de identidad, arrendamientos de OCI, almacenes externos y claves, así como la prueba del acceso al almacenamiento de objetos gestionado por el cliente mediante estas claves externas.

Al final de este tutorial, tendrá una configuración de HYOK totalmente operativa, capaz de cifrar y controlar el acceso a los recursos de OCI mediante claves gestionadas externamente alojadas en Thales CipherTrust Manager sin la necesidad de un gateway de API de OCI intermedio.

image

Nota: En este tutorial, los términos Thales CipherTrust Cloud Key Manager (CCKM) y Thales CipherTrust Manager (CTM) se utilizan indistintamente. Ambos se refieren al mismo producto.

Este tutorial se basa en technical foundation establecido en el tutorial: Configuración de dos dispositivos de gestor de claves en la nube de CipherTrust de Thales en OCI, Creación de un cluster entre ellos y Configuración de uno como autoridad de certificación.

Si desea implantar Retener su propia clave (HYOK) mediante Thales CipherTrust Manager con la opción OCI API Gateway, siga este tutorial: Configuración de OCI Hold Your Own Key con CipherTrust Manager con OCI API Gateway.

Objetivos

image

En la siguiente imagen se muestran los componentes y la configuración de todos los pasos de este tutorial.

image

Tarea 1: Revisión de la arquitectura de red en la nube

Antes de profundizar en los pasos técnicos de configuración de Hold Your Own Key (HYOK) con Thales CipherTrust Manager, es esencial comprender la arquitectura de red en la nube en la que reside esta configuración.

En este escenario, se utilizan tres regiones de OCI:

La conectividad entre los dos centros de datos locales simulados se establece mediante conexiones de intercambio de tráfico remoto (RPC). Sin embargo, para este tutorial, los detalles de la configuración de VPN, la configuración de RPC y la arquitectura de VCN de hub y radios se consideran fuera del alcance y no se tratarán.

Este tutorial se centra estrictamente en la configuración de HYOK mediante Thales CipherTrust Manager desplegado en la región de Ámsterdam (AMS), que es uno de los centros de datos locales simulados. Todas las operaciones de gestión de claves se realizarán desde esta instancia de Thales CipherTrust Manager.

El gestor de claves externo privado permite a OCI comunicarse de forma segura con el gestor externo CipherTrust de Thales y se desplegará en una de las VCN radiales de la región principal de OCI. Esto garantiza una ruta de comunicación segura y directa entre los servicios de OCI y el gestor de claves externo sin exponer el tráfico a la red pública de Internet.

Esta arquitectura admite sólidas posturas de seguridad y cumplimiento para cargas de trabajo confidenciales en OCI al aislar la gestión de claves dentro de un límite de red bien definido y seguro.

La siguiente imagen ilustra la arquitectura completa.

image

Tarea 2: Creación de una aplicación de recursos confidenciales y asociación de aplicaciones de cliente confidenciales (integraciones de aplicaciones) y recopilación del cliente y los secretos en OCI

Para activar la integración de HYOK con Thales CipherTrust Manager, debe establecer la confianza entre OCI y el gestor de claves externo.

Para ello, se registran dos componentes clave en OCI Identity and Access Management (OCI IAM): una aplicación de recursos confidencial y una aplicación de cliente confidencial. Estos son esenciales para autenticar y autorizar la comunicación entre OCI y Thales CipherTrust Manager.

Esta configuración permite a Thales CipherTrust Manager autenticarse con OCI IAM a través de OAuth 2.0. El cliente confidencial actúa en nombre del gestor de claves externo, mientras que el recurso confidencial define el ámbito de acceso y la configuración de confianza. OCI no puede validar ni comunicarse de forma segura con el origen de clave externa sin estos componentes.

En la siguiente imagen se muestran los componentes y la configuración de este paso.

image

Nota:

Tarea 3: Recopilación de la URL del dominio de identidad de OCI

Para activar la comunicación basada en OAuth entre OCI y Thales CipherTrust Manager, debe proporcionar la URL de dominio de identidad durante la configuración del proveedor de identidad en Thales CipherTrust Manager.

Tarea 4: Creación de proveedores de identidad en Thales CipherTrust Manager

En esta tarea, configurará el proveedor de identidad en el gestor CipherTrust de Thales. Esta configuración permite a Thales CipherTrust Manager autenticarse con OCI mediante las credenciales OAuth 2.0 creadas en la tarea 3.

En la siguiente imagen se muestran los componentes y la configuración de esta tarea.

image

Tarea 5: Adición de arrendamientos de OCI en Thales CipherTrust Manager

Después de configurar el proveedor de identidad en Thales CipherTrust Manager, la siguiente tarea es registrar su arrendamiento de OCI. Esto permite a Thales CipherTrust Manager gestionar almacenes y claves externos en nombre de su entorno de OCI mediante las credenciales OAuth configuradas anteriormente.

En la siguiente imagen se muestran los componentes y la configuración configurados en esta tarea.

image

Tarea 6: Creación de un punto final privado para el servicio de gestor de claves externo en OCI

Para conectar de forma segura OCI al gestor CipherTrust de Thales sin exponer el tráfico a la red pública de Internet, debe crear un punto final privado para el servicio OCI External Key Management.

Esto garantiza que toda la comunicación entre OCI y Thales CipherTrust Manager se realice a través de una ruta de red privada y controlada.

Asegúrese de que se cumplen los siguientes requisitos previos:

En la siguiente imagen se muestran los componentes y la configuración de esta tarea.

image

Tarea 7: Agregar almacenes externos en el gestor CipherTrust de Thales

Con el arrendamiento de OCI y el punto final privado en su lugar, la siguiente tarea es agregar un almacén externo en Thales CipherTrust Manager. Un almacén externo en Thales CipherTrust Manager es un contenedor lógico que se asigna al almacén de gestión de claves externas en OCI, lo que permite al gestor CipherTrust de Thales gestionar las claves utilizadas para el cifrado HYOK.

En la siguiente imagen se muestran los componentes y la configuración de esta tarea.

image

Una vez configurado, este almacén se convierte en la ubicación de destino para almacenar las claves externas a las que harán referencia los servicios de OCI. Conecta su entorno de OCI y las claves gestionadas por CipherTrust, lo que permite un control completo de las operaciones de cifrado en un modelo HYOK.

Tarea 8: Creación de un almacén de servicio de gestión de claves externo de OCI

Ahora que el almacén externo se ha definido en Thales CipherTrust Manager, la siguiente tarea es crear un almacén de gestión de claves externo correspondiente en la consola de OCI.

Este almacén de OCI se enlazará a su gestor CipherTrust de Thales y lo utilizarán los servicios de OCI para realizar operaciones de cifrado y descifrado mediante claves externas.

En la siguiente imagen se muestran los componentes y la configuración de esta tarea.

image

OCI ahora se conectará a Thales CipherTrust Manager mediante el punto final privado especificado. Una vez que este almacén está activo, se convierte en la interfaz a través de la cual OCI interactúa con claves externas gestionadas por CCKM, lo que permite el soporte de HYOK para servicios de OCI como OCI Object Storage, OCI Block Volumes y más. Posteriormente, realizaremos algunas pruebas con OCI Object Storage.

Tarea 9: Agregar claves externas en Thales CipherTrust Manager

Con el almacén externo configurado en Thales CipherTrust Manager y enlazado a OCI, la siguiente tarea es crear o importar las claves de cifrado externas que OCI utilizará para los servicios activados para HYOK.

Estas claves residen de forma segura en Thales CipherTrust Manager y OCI hace referencia a ellas a través de la interfaz de gestión de claves externa. Según los requisitos de la organización, puede generar una nueva clave directamente en Thales CipherTrust Manager o importar una existente.

En la siguiente imagen se muestran los componentes y la configuración de esta tarea.

image

Una vez agregada, la clave pasa a estar disponible para OCI a través del almacén de gestión de claves externo. Sin embargo, para permitir que los servicios de OCI utilicen la clave, debe crear una referencia de clave en la consola de OCI, que trataremos en la siguiente tarea.

Nota:

Tarea 10: Creación de referencias clave en OCI

Una vez que la clave externa se ha creado o importado en Thales CipherTrust Manager, la siguiente tarea es crear una referencia de clave en la consola de OCI. Una referencia de clave actúa como un puntero que permite a los servicios de OCI acceder a la clave externa almacenada en Thales CipherTrust Manager y utilizarla mediante el almacén de gestión de claves externo.

En la siguiente imagen se muestran los componentes y la configuración de esta tarea.

image

OCI ahora asociará esta referencia de clave a la clave externa gestionada en Thales CipherTrust Manager. Esto permite a los servicios de OCI, como OCI Object Storage, OCI Block Volumes y otros, enviar solicitudes criptográficas a la clave externa a través del punto final privado. Por el contrario, el material clave en sí permanece completamente bajo su control.

Probaremos la referencia de clave inmediatamente asociándola a un cubo de OCI Object Storage para verificar que la integración funciona según lo esperado.

Tarea 11: Creación de un cubo de OCI Object Storage con claves gestionadas por el cliente

Puede cifrar recursos mediante la clave externa a la que se hace referencia en OCI. En esta tarea, crearemos un cubo de OCI Object Storage que utilice la clave externa gestionada por el cliente alojada en el gestor CipherTrust de Thales a través del almacén de gestión de claves externo.

Esta configuración garantiza que todos los objetos almacenados en el cubo se cifren mediante una clave que usted controle por completo, cumpliendo con los estrictos requisitos de conformidad, soberanía o política interna.

En la siguiente imagen se muestran los componentes y la configuración de esta tarea.

image

Una vez creado el cubo, todos los datos almacenados en él se cifrarán mediante la clave externa gestionada por Thales CipherTrust Manager. Esto garantiza que OCI se base en su infraestructura de claves para el acceso y el control, lo que permite capacidades completas de retención de su propia clave (HYOK).

Supongamos que la clave externa deja de estar disponible (por ejemplo, desactivada o bloqueada en Thales CipherTrust Manager). En ese caso, se denegará el acceso al cubo y su contenido, lo que le proporcionará un potente punto de control para su estrategia de seguridad de datos. Esto es algo que vamos a probar en la siguiente tarea.

Tarea 12: Bloquear y desbloquear claves de Oracle y probar la accesibilidad del cubo de OCI Object Storage en Thales CipherTrust Manager y OCI

Una de las ventajas clave del modelo Hold Your Own Key (HYOK) es la capacidad de mantener un control operativo completo sobre sus claves de cifrado, incluida la capacidad de bloquearlas o desbloquearlas en cualquier momento. En esta sección se muestra cómo utilizar Thales CipherTrust Manager para controlar el acceso a un cubo de almacenamiento de objetos gestionado por Oracle mediante el bloqueo o desbloqueo de la clave externa.

El bloqueo de una clave restringe eficazmente el acceso a cualquier recurso de OCI cifrado con esa clave sin suprimir la clave ni los datos. Al desbloquear, se restaura el acceso.

image

image

Ahora, desbloqueemos la clave en Thales CipherTrust Manager nuevamente.

El siguiente diagrama ilustra los componentes y la configuración de esta tarea.

image

Esta capacidad proporciona un potente mecanismo para la respuesta de emergencia, el cumplimiento normativo y la aplicación de la soberanía de datos, lo que le garantiza un control total sobre cuándo y cómo se puede acceder a sus datos en OCI.

Pasos Siguientes

En este tutorial, hemos completado la configuración de OCI Hold Your Own Key con Thales CipherTrust Manager sin depender de la opción OCI API Gateway. Siguiendo los pasos que van desde la configuración de integraciones de identidad y redes hasta el despliegue de almacenes y claves externos, ha activado una arquitectura de gestión de claves segura y compatible en la que puede mantener un control total sobre las claves de cifrado.

Esta configuración garantiza que los servicios de OCI como OCI Object Storage utilicen sus claves gestionadas externamente para operaciones de cifrado, mientras que el material de claves permanece completamente bajo su gobernanza. También ha visto lo potente que puede ser HYOK, con la capacidad de bloquear y desbloquear el acceso a los recursos en la nube simplemente cambiando el estado de las claves en Thales CipherTrust Manager.

Al no utilizar OCI API Gateway, ha simplificado la arquitectura y sigue aplicando un límite de seguridad firme a través de redes privadas y confianza de identidad basada en OAuth.

Ahora tiene una implementación de HYOK lista para producción que admite políticas de seguridad empresarial, cumplimiento normativo y requisitos de soberanía de datos, lo que lo coloca en un control total de su estrategia de cifrado en la nube.

Acuses de recibo

Más recursos de aprendizaje

Explore otros laboratorios en docs.oracle.com/learn o acceda a más contenido de aprendizaje gratuito en el canal YouTube de Oracle Learning. Además, visite education.oracle.com/learning-explorer para convertirse en un explorador de Oracle Learning.

Para obtener documentación sobre el producto, visite Oracle Help Center.