Implantación del cifrado de nivel de mensaje en Oracle Integration mediante OCI Vault
El cifrado de nivel de mensaje (MLE) es una técnica de seguridad utilizada para proteger la confidencialidad e integridad de un mensaje durante la transmisión. Implica el uso de algoritmos de cifrado para codificar el contenido de un mensaje para que solo el destinatario deseado, con las claves de descifrado, pueda leerlo.
La API Rest no tiene estado por arquitectura, lo que significa que el servidor no mantiene una sesión y no tiene información sobre el cliente. En la solicitud, el cliente necesita enviar toda la información para permitir que el servidor responda. Al trabajar con Rest API y seguridad, el enfoque se centra en la autenticación, autorización y confidencialidad.
Para la autenticación y autorización, existen protocolos y mejores prácticas que varían desde claves de API, autenticación básica, token de JWT hasta oAuth. Para garantizar la confidencialidad, puede activar la seguridad de nivel de transporte (TLS), el proceso de protección de la comunicación a través de una red mediante el cifrado del tráfico. Esta es la razón por la que la mayoría de las API de Rest aplican HTTPS en lugar de HTTP simple. Todos ellos tienen sus propias ventajas y desventajas, y están soportados por Oracle Integration listos para usar.
Si bien la seguridad a nivel de red cumple con los requisitos la mayor parte del tiempo, hay ocasiones en las que se requiere la aplicación de cifrado a nivel de mensaje o carga útil (por ejemplo, cuando incluye información confidencial, como: información de identificación personal [PII], números de tarjeta de crédito, detalles de cuenta bancaria, registros médicos, etc.). Esta es la razón por la que muchas pasarelas de pago (visado, MasterCard, entidades gubernamentales) aplican MLE para las API Rest que contienen datos confidenciales.
Oracle Integration proporciona funciones listas para usar para cumplir con la autenticación, autorización y TLS. La MLE se puede lograr mediante OCI Vault.
Arquitectura
Esta arquitectura de referencia demuestra cómo utilizar OCI Vault para lograr MLE en Oracle Integration.
OCI Vault es un servicio de gestión de cifrado que almacena y gestiona claves de cifrado y secretos para acceder de forma segura a los recursos. Proporciona API para permitir la gestión de claves, así como la firma, el cifrado y el descifrado de datos mediante estas claves.
Al trabajar con criptografía, hay dos tipos fundamentales de sistemas para proteger los datos.
- La criptografía simétrica utiliza la misma clave (privada) para el cifrado y el descifrado. El remitente y el receptor deben tener la misma clave secreta que utilizan para cifrar y descifrar los datos. Esto significa que si alguien intercepta la clave, puede descifrar los datos.
- Por otro lado, la criptografía asimétrica utiliza dos claves diferentes: una clave pública y una clave privada. El remitente utiliza la clave pública del destinatario para cifrar los datos y el destinatario utiliza su clave privada para descifrarlos. La clave privada se mantiene en secreto y nunca se comparte, lo que la hace mucho más segura que la criptografía simétrica.
La criptografía simétrica tiene la ventaja de la velocidad, pero es menos segura, ya que utiliza la misma clave tanto para el cifrado como para el descifrado. La criptografía asimétrica, aunque más lenta, es más segura porque la clave privada utilizada para el descifrado nunca se comparte y solo el destinatario puede acceder a ella.
OCI Vault soporta estos algoritmos de unidad de clave.
| Unidad de clave: algoritmo | Descripción |
|---|---|
| estándar de cifrado avanzado (AES) | Las claves AES son claves simétricas que puede utilizar para cifrar datos. |
| Rivest-Shamir-Adleman (RSA) | Las claves RSA son claves asimétricas, también conocidas como pares de claves, que constan de una clave pública y una clave privada que puede utilizar para cifrar datos en tránsito, firmar datos y verificar la integridad de los datos firmados. |
| Algoritmo de firma digital de criptografía de curva elíptica (ECDSA) | Las claves ECDSA son claves asimétricas que puede utilizar para firmar datos y verificar la integridad de los datos firmados. |
A veces, debe usar tanto simétrico como asimétrico. Por ejemplo, un cliente comparte su clave pública RSA con usted; genera y utiliza una clave privada AES para cifrar los datos; y cifra la clave privada con la clave pública RSA del cliente, que envía en la carga útil. Como el cliente no ha compartido su clave privada RSA, solo puede descifrar los datos, primero descifrando la clave AES y luego usándola para descifrar la carga útil. Esto se hace cuando el tamaño de la carga útil es mayor que el que puede cifrar una clave RSA.
OCI Vault permite importar o crear sus propias claves de cifrado maestras. Al utilizar material de claves importado, sigue siendo responsable del material de claves y, al mismo tiempo, permite a OCI Vault utilizar una copia del mismo. Consulte Explorar más para obtener información sobre la importación de claves.
OCI Vault proporciona una serie de API que puede utilizar Oracle Integration. Consulte Exploración para obtener más información sobre la API de gestión de claves de almacén. Estas son algunas de las API que se utilizan normalmente en escenarios de cifrado de nivel de mensaje.
| API | Descripción |
|---|---|
| Cifrar | Cifra los datos mediante los detalles de cifrado proporcionados como parte de la solicitud. |
| Descifrar | Descifra los datos mediante los detalles de descifrado proporcionados como parte de la solicitud. |
| Sign | Crea una firma digital para un resumen de mensaje o mensaje mediante la clave privada de un par de claves pública y privada, también conocida como clave asimétrica. |
| Verificar | Verifica una firma digital generada por la operación de firma mediante la clave pública de la misma clave asimétrica que se utilizó para firmar los datos. Si desea validar la firma digital fuera del servicio, puede hacerlo mediante la clave pública de la clave asimétrica. |
Al trabajar en Oracle Integration y tiene que cifrar la carga útil antes de enviar la solicitud a una API de Rest, puede utilizar OCI Vault. Si está trabajando con criptografía simétrica, puede recibir la clave privada AES, cargarla en OCI Vault y utilizar las API de OCI Vault para cifrar los datos y enviar estos datos cifrados a la API Rest. Si necesita criptografía asimétrica, puede recibir la clave pública RSA, cargarla en OCI Vault y utilizar las API de OCI Vault para cifrar los datos y enviar estos datos cifrados a la API Rest. Del mismo modo, si desea aplicar las API de Rest en Oracle Integration para que tengan una carga útil cifrada, puede crear claves, compartirlas con sus clientes y utilizar las API de OCI Vault para descifrar los datos y verificarlos. También puede combinar ambas claves cuando necesite usar criptografía asimétrica y simétrica.
El siguiente diagrama ilustra esta arquitectura de referencia.
oci-vault-architecture-oracle.zip
La arquitectura tiene los siguientes componentes:
- Oracle Integration
Oracle Integration proporciona un conjunto completo de herramientas y servicios para ayudar a las organizaciones a integrar sus diversas aplicaciones, servicios y orígenes de datos, tanto locales como en la nube. Oracle Integration ofrece una gama de funciones que incluyen conectores predefinidos para la integración con varias aplicaciones populares, como Oracle Fusion, Salesforce, SAP, Workday y muchas más, así como conectores personalizados para la integración con otras aplicaciones y servicios. También proporciona una interfaz visual intuitiva para diseñar, probar e implementar integraciones, lo que facilita a los usuarios la creación de flujos de trabajo de integración complejos sin necesidad de contar con habilidades de codificación.
- Oracle Cloud Infrastructure Vault
OCI Vault es un servicio de gestión de claves seguro y escalable que ofrece Oracle Cloud Infrastructure (OCI). Proporciona una ubicación centralizada para gestionar claves criptográficas y secretos utilizados para proteger los recursos y aplicaciones de OCI. OCI Vault ofrece una gama de funciones, incluidas la generación y el almacenamiento de claves, la distribución segura de claves, el cifrado y el descifrado. Permite a los usuarios gestionar sus propias claves o utilizar claves gestionadas por OCI. Los usuarios también pueden rotar sus claves regularmente para garantizar la máxima seguridad.
OCI Vault también ofrece un amplio juego de API Rest para gestionar almacenes y claves.
Consideraciones
Tenga en cuenta los siguientes puntos al implantar esta arquitectura de referencia.
- Seguridad
Utilice las políticas de Oracle Cloud Infrastructure Identity and Access Management (IAM) para controlar quién puede acceder a sus recursos en la nube y qué operaciones se pueden realizar. Asigne acceso con privilegio mínimo para usuarios y grupos de IAM a los tipos de recursos.
- Límites de servicio
Tenga en cuenta los límites y las cuotas de los servicios de OCI utilizados en la topología. Consulte Explorar más.