Clés de chiffrement principales dans le service de base de données autonome sur une infrastructure Exadata dédiée

Par défaut, Autonomous Database sur une infrastructure Exadata dédiée crée et gère toutes les clés de chiffrement principales utilisées pour protéger vos données, en les stockant dans un magasin de clés PKCS 12 sécurisé sur les systèmes Exadata où résident les bases de données. Ces clés sont appelées clés de chiffrement gérées par Oracle.

À l'aide des clés gérées par Oracle, Oracle garantit le cycle de vie complet des clés en tant que métadonnées gérées par Oracle. Dans les déploiements Exadata Cloud@Customer, l'accès aux sauvegardes est une responsabilité partagée et le client doit s'assurer que l'environnement de base de données et l'accessibilité des fichiers de sauvegarde permettent aux API Oracle de travailler avec les opérations de cycle de vie de gestion des clés internes.

Si les politiques de sécurité de votre société l'exigent, Autonomous Database peut utiliser les clés que vous créez et gérez à l'aide du magasin de clés Oracle. Pour les déploiements Oracle Public Cloud, vous pouvez également utiliser le service de chambre forte pour Oracle Cloud Infrastructure pour créer et gérer des clés. Les clients conformes aux règlements pour stocker des clés en dehors d'Oracle Cloud ou de tout nuage de tierce partie peuvent utiliser un service de gestion de clés externe (système de gestion de clés externe).

Lorsque vous créez une clé gérée par le client à l'aide du service de chambre forte OCI, vous pouvez également importer votre propre matériel de clé (Utiliser votre propre clé ou BYOK) au lieu de laisser le service de chambre forte générer le matériel de clé en interne.

Attention :

Comme les clés gérées par le client stockées dans Oracle Key Vault (OKV) sont externes à l'hôte de la base de données, toute modification ou interruption de configuration qui rend l'OKV inaccessible pour la base de données qui utilise ses clés rend ses données inaccessibles.

De plus, que vous utilisiez des clés gérées par Oracle ou gérées par le client, vous pouvez effectuer une rotation des clés utilisées dans les bases de données existantes, lorsque les politiques de sécurité de votre entreprise l'exigent. Pour plus de détails, voir Effectuer la rotation des clés de chiffrement.

Avant de commencer : Meilleures pratiques pour créer une hiérarchie de compartiments

Oracle recommande de créer une hiérarchie de compartiments pour votre déploiement d'Autonomous Database sur une infrastructure dédiée, comme suit :
  • Compartiment "parent" pour l'ensemble du déploiement
  • Compartiments "enfants" pour chacun des différents types de ressource :
    • Bases de données autonomes
    • Bases de données conteneur autonomes et ressources d'infrastructure (infrastructures Exadata et grappes de machines virtuelles Exadata autonomes)
    • Réseau en nuage virtuel et ses sous-réseaux
    • Chambres fortes contenant vos clés gérées par le client

Il est particulièrement important de suivre ces meilleures pratiques lors de l'utilisation de clés gérées par le client, car l'énoncé de politique que vous créez pour accorder à Autonomous Database l'accès à vos clés doit être ajouté à une politique qui est plus élevée dans la hiérarchie de compartiment que le compartiment contenant vos chambres fortes et leurs clés.

Utiliser des clés gérées par le client dans le service de chambre forte

Pour pouvoir utiliser des clés gérées par le client stockées dans le service de chambre forte, vous devez effectuer un certain nombre de tâches de configuration préparatoires pour créer une chambre forte et des clés de chiffrement principales, puis rendre cette chambre forte et ses clés disponibles pour la base de données autonome, notamment :

  1. Créez une chambre forte dans le service de chambre forte en suivant les instructions sous Pour créer une chambre forte dans la documentation sur Oracle Cloud Infrastructure. Lorsque vous suivez ces instructions, Oracle recommande de créer la chambre forte dans un compartiment créé spécifiquement pour contenir les chambres fortes contenant des clés gérées par le client, comme décrit dans Meilleures pratiques pour créer une hiérarchie de compartiments.
    Après avoir créé la chambre forte, vous pouvez créer au moins une clé de chiffrement principale dans celle-ci en suivant les instructions Pour créer une clé de chiffrement principale dans la documentation sur Oracle Cloud Infrastructure. Lorsque vous suivez ces instructions, sélectionnez les options suivantes :
    • Créer dans le compartiment : Oracle recommande de créer la clé de chiffrement principale dans le même compartiment que sa chambre forte, c'est-à-dire le compartiment créé spécifiquement pour contenir les chambres fortes contenant des clés gérées par le client.
    • Mode de protection : Sélectionnez une valeur appropriée dans la liste déroulante :
      • HSM pour créer une clé de chiffrement principale stockée et traitée dans un module de sécurité matériel.
      • Logiciel pour créer une clé de chiffrement principale stockée dans un système de fichiers logiciel du service de chambre forte. Les clés protégées par logiciel sont protégées au repos à l'aide d'une clé racine basée sur HSM. Vous pouvez exporter des clés logicielles vers d'autres appareils de gestion des clés ou vers une autre région OCI en nuage. Contrairement aux clés HSM, les clés protégées par logiciel sont gratuites.
    • Algorithme de forme de clé : AES
    • Forme de la clé : Longueur : 256 bits

    Note :

    Vous pouvez également ajouter une clé de chiffrement à une chambre forte existante.
  2. Utilisez le service de réseau pour créer une passerelle de service, une règle de routage et une règle de sécurité de trafic sortant vers le VCN (réseau en nuage virtuel) et les sous-réseaux où résident vos ressources Autonomous Database.
  3. Utilisez le service IAM pour créer un groupe dynamique identifiant vos ressources Autonomous Database et un énoncé de politique accordant à ce groupe dynamique l'accès aux clés de chiffrement principales que vous avez créées.

Conseil :

Pour une alternative "try it out" qui montre ces instructions, voir Laboratoire 17 : Clés de chiffrement de base de données contrôlées par le client dans Oracle Autonomous Database dédiées aux administrateurs de la sécurité.

Après avoir configuré la clé gérée par le client à l'aide des étapes ci-dessus, vous pouvez la configurer lors du provisionnement d'une base de données conteneur autonome ou en effectuant une rotation de la clé de chiffrement existante à partir de la page Détails d'une base de données conteneur autonome ou d'Autonomous Database. Les bases de données autonomes provisionnées dans cette base de données conteneur autonome hériteront automatiquement de ces clés de chiffrement. Pour plus de détails, voir Créer une base de données conteneur autonome ou Roter la clé de chiffrement d'une base de données conteneur autonome.

Si vous voulez activer Autonomous Data Guard inter-régions, vous devez d'abord répliquer la chambre forte OCI dans la région où vous voulez ajouter la base de données de secours. Pour plus de détails, voir Réplication des chambres fortes et des clés.

Note :

Les chambres fortes virtuelles créées avant l'introduction de la fonction de réplication de chambre forte inter-région ne peuvent pas être répliquées entre les régions. Créez une chambre forte et de nouvelles clés si vous avez une chambre forte que vous devez répliquer dans une autre région et que la réplication n'est pas prise en charge pour cette chambre forte. Toutefois, toutes les chambres fortes privées prennent en charge la réplication inter-région. Pour plus de détails, voir Réplication inter-région de la chambre forte virtuelle.

Utiliser ses propres clés (BYOK) dans le service de chambre forte

S'applique à : Applicable Oracle Public Cloud seulement

Lorsque vous créez une clé gérée par le client à l'aide du service de chambre forte OCI, vous pouvez également importer votre propre matériel de clé (Utiliser votre propre clé ou BYOK) au lieu de laisser le service de chambre forte générer le matériel de clé en interne.

Avant de pouvoir utiliser vos propres clés dans le service de chambre forte, vous devez effectuer le nombre de tâches de configuration préparatoire pour créer une chambre forte et importer la clé de chiffrement principale, puis mettre cette chambre forte et ses clés à la disposition d'Autonomous Database; en particulier :
  1. Créez une chambre forte dans le service de chambre forte en suivant les instructions sous Pour créer une chambre forte dans la documentation sur Oracle Cloud Infrastructure. Lorsque vous suivez ces instructions, Oracle recommande de créer la chambre forte dans un compartiment créé spécifiquement pour contenir les chambres fortes contenant des clés gérées par le client, comme décrit dans Meilleures pratiques pour créer une hiérarchie de compartiments.
    Après avoir créé la chambre forte, vous pouvez créer au moins une clé de chiffrement principale dans celle-ci en suivant les instructions Pour créer une clé de chiffrement principale dans la documentation sur Oracle Cloud Infrastructure. Vous pouvez également importer une clé de chiffrement de client dans une chambre forte existante. Lorsque vous suivez ces instructions, sélectionnez les options suivantes :
    • Créer dans le compartiment : Oracle recommande de créer la clé de chiffrement principale dans le même compartiment que sa chambre forte, c'est-à-dire le compartiment créé spécifiquement pour contenir les chambres fortes contenant des clés gérées par le client.
    • Mode de protection : Sélectionnez une valeur appropriée dans la liste déroulante :
      • HSM pour créer une clé de chiffrement principale stockée et traitée dans un module de sécurité matériel.
      • Logiciel pour créer une clé de chiffrement principale stockée dans un système de fichiers logiciel du service de chambre forte. Les clés protégées par logiciel sont protégées au repos à l'aide d'une clé racine basée sur HSM. Vous pouvez exporter des clés logicielles vers d'autres appareils de gestion des clés ou vers une autre région OCI en nuage. Contrairement aux clés HSM, les clés protégées par logiciel sont gratuites.
    • Algorithme de forme de clé : AES
    • Forme de la clé : Longueur : 256 bits
    • Importer une clé externe : Pour utiliser une clé de chiffrement de client (BYOK), sélectionnez Importer une clé externe et fournissez les détails suivants :
      • Informations sur la clé d'encapsulation. Cette section est en lecture seule, mais vous pouvez voir les détails de la clé d'encapsulation publique.
      • Algorithme d'encapsulation. Sélectionnez un algorithme d'encapsulation dans la liste déroulante.
      • Source de données de clé externe. Chargez le fichier contenant le matériel de clé RSA encapsulé.

    Note :

    Vous pouvez importer le matériel de clé en tant que nouvelle version de clé externe ou cliquer sur le nom d'une clé de chiffrement principale existante et la faire pivoter vers une nouvelle version de clé.

    Pour plus de détails, voir Importation du matériel de clé en tant que version de clé externe.

  2. Utilisez le service de réseau pour créer une passerelle de service, une règle de routage et une règle de sécurité de trafic sortant vers le VCN (réseau en nuage virtuel) et les sous-réseaux où résident vos ressources Autonomous Database.
  3. Utilisez le service IAM pour créer un groupe dynamique identifiant vos ressources Autonomous Database et un énoncé de politique accordant à ce groupe dynamique l'accès aux clés de chiffrement principales que vous avez créées.

Après avoir configuré le BYOK géré par le client à l'aide des étapes ci-dessus, vous pouvez l'utiliser en faisant pivoter la clé de chiffrement existante à partir de la page Détails de la base de données conteneur autonome ou d'Autonomous Database. Pour plus de détails, voir Roter la clé de chiffrement d'une base de données conteneur autonome.

Utiliser des clés externes du service de gestion des clés externes OCI (SGC OCI)

S'APPLIQUE À : Applicable Oracle Public Cloud seulement

Avant de pouvoir utiliser des clés externes du service de gestion des clés électroniques pour OCI, vous devez effectuer le nombre de tâches de configuration préparatoire pour créer une chambre forte, puis rendre cette chambre forte et ses clés disponibles pour Autonomous Database.

Dans le service EKMS pour OCI, vous pouvez stocker et contrôler les clés de chiffrement principales (en tant que clés externes) sur un système de gestion des clés de tierce partie hébergé en dehors d'OCI. Vous pouvez l'utiliser pour une sécurité renforcée des données ou si vous disposez d'une conformité réglementaire vous permettant de stocker des clés en dehors d'Oracle Public Cloud ou de tout autre environnement en nuage de tierce partie. Avec les clés réelles résidant dans le système de gestion des clés de tierce partie, vous ne créez que des références de clé dans OCI.
  1. Vous pouvez créer et gérer une chambre forte contenant des références de clé dans le service EKMS OCI. Vous pouvez utiliser les clés du service de gestion des clés électroniques pour OCI avec Autonomous Database sur une infrastructure Exadata dédiée déployée sur Oracle Public Cloud. Pour plus de détails, voir Création d'une chambre forte dans le service EKMS pour OCI. Lorsque vous suivez ces instructions, sélectionnez les options suivantes :
    • Créer dans le compartiment : Sélectionnez un compartiment pour la chambre forte EKMS pour OCI.
    • URL du nom du compte IDCS : Entrez l'URL d'authentification que vous utilisez pour accéder au service KMS. La console se redirige vers un écran de connexion.
    • Fournisseur de gestion des clés : Sélectionnez un fournisseur de tierce partie qui déploie le service de gestion des clés. Pour l'instant, le service de gestion des clés pour OCI prend uniquement en charge Thales en tant que fournisseur de gestion des clés externes.
    • ID application client : Entrez l'ID client du service de gestion des clés OCI généré lors de l'enregistrement de l'application client confidentielle dans le domaine d'identité Oracle.
    • Clé secrète d'application client : Entrez l'ID clé secrète de l'application client confidentielle enregistrée dans le domaine d'identité Oracle.
    • Point d'extrémité privé dans le compartiment : Sélectionnez le GUID du point d'extrémité privé de la gestion des clés externes.
    • URL de chambre forte externe : Entrez l'URL de chambre forte générée lors de la création de la chambre forte dans la gestion des clés externes.
  2. Utilisez le service de réseau pour créer une passerelle de service, une règle de routage et une règle de sécurité de trafic sortant vers le VCN (réseau en nuage virtuel) et les sous-réseaux où résident vos ressources Autonomous Database.
  3. Utilisez le service IAM pour créer un groupe dynamique identifiant vos ressources Autonomous Database et un énoncé de politique accordant à ce groupe dynamique l'accès aux clés de chiffrement principales que vous avez créées.

Créer une passerelle de service, une règle de routage et une règle de sécurité de trafic sortant

La passerelle de service d'Oracle Cloud Infrastructure (OCI) fournit un accès privé et sécurisé à plusieurs services Oracle Cloud simultanément à partir d'un réseau en nuage virtuel (VCN) ou sur place au moyen d'une seule passerelle sans passer par Internet.

Créez une passerelle de service dans le réseau en nuage virtuel où résident vos ressources de base de données autonome en suivant les instructions sous Tâche 1 : Créer la passerelle de service dans la documentation sur Oracle Cloud Infrastructure.

Après avoir créé la passerelle de service, ajoutez une règle de routage et une règle de sécurité de trafic sortant à chaque sous-réseau (dans le VCN) où résident les ressources Autonomous Database afin que ces ressources puissent utiliser la passerelle pour accéder au service de chambre forte :
  1. Allez à la page Détails du sous-réseau correspondante.
  2. Dans l'onglet Informations sur le sous-réseau, cliquez sur le nom de la table de routage du sous-réseau pour afficher la page Détails.
  3. Dans la table des règles de routage existantes, vérifiez s'il existe déjà une règle présentant les caractéristiques suivantes :
    • Destination : Tous les services IAD dans Oracle Services Network
    • Type de cible : passerelle de service
    • Target : Nom de la passerelle de service que vous venez de créer dans le VCN

    Si une telle règle n'existe pas, cliquez sur Ajouter des règles de routage et ajoutez une règle de routage avec ces caractéristiques.

  4. Retournez à la page Détails du sous-réseau.
  5. Dans la table Listes de sécurité du sous-réseau, cliquez sur le nom de la liste de sécurité du sous-réseau pour afficher la page Détails de la liste de sécurité.
  6. Dans le menu latéral, sous Ressources, cliquez sur Règles de trafic sortant.
  7. Dans la table des règles de trafic sortant existantes, vérifiez s'il existe déjà une règle présentant les caractéristiques suivantes :
    • Sans état : Non
    • Destination : Tous les services IAD dans Oracle Services Network
    • Protocole IP : TCP
    • Intervalle de ports sources : Tous
    • Intervalle de ports de destination : 443

    Si une telle règle n'existe pas, cliquez sur Ajouter des règles de trafic sortant et ajoutez une règle de trafic sortant avec ces caractéristiques.

Créer un groupe dynamique et un énoncé de politique

Pour accorder à vos ressources de base de données autonome l'autorisation d'accéder aux clés gérées par le client, vous créez un groupe dynamique GIA qui identifie ces ressources, puis vous créez une politique GIA qui permet à ce groupe dynamique d'accéder aux clés de chiffrement principales créées dans le service de chambre forte.

Lors de la définition du groupe dynamique, vous identifiez vos ressources de base de données autonome en spécifiant l'OCID du compartiment contenant votre ressource d'infrastructure Exadata.
  1. Copiez l'OCID du compartiment contenant votre ressource d'infrastructure Exadata. Vous pouvez trouver cet OCID dans la page Détails du compartiment.
  2. Créez un groupe dynamique en suivant les instructions dans Pour créer un groupe dynamique dans la documentation sur Oracle Cloud Infrastructure. Lorsque vous suivez ces instructions, entrez une règle de correspondance dans ce format :
    ALL {resource.compartment.id ='<compartment-ocid>'}

    <compartment-ocid> est l'OCID du compartiment contenant votre ressource de grappe de machines virtuelles Exadata autonome.

Après avoir créé le groupe dynamique, accédez à (ou créez) une politique GIA dans un compartiment de la hiérarchie de compartiments supérieur à celui qui contient vos chambres fortes et vos clés. Puis, ajoutez un énoncé de politique dans le format suivant :
allow dynamic-group <dynamic-group-name>
to manage keys
in compartment <vaults-and-keys-compartment>
where all {
target.key.id='<key_ocid>',
request.permission!='KEY_MOVE',
request.permission!='KEY_IMPORT'
}
Si vous utilisez une chambre forte virtuelle répliquée ou une chambre forte privée virtuelle répliquée pour le déploiement d' Autonomous Data Guard, ajoutez un énoncé de politique supplémentaire au format suivant :
allow dynamic-group <dynamic-group>
to read vaults
in tenancy | compartment <vaults-and-keys-compartment>

<dynamic-group> est le nom du groupe dynamique que vous avez créé et <vaults-and-keys-compartment> est le nom du compartiment dans lequel vous avez créé vos chambres fortes et vos clés de chiffrement principales.

Utiliser des clés gérées par le client dans Oracle Key Vault

Oracle Key Vault (OKV) est un boîtier applicatif de pile complète à la sécurité renforcée, qui centralise la gestion des clés et des objets de sécurité au sein de l'entreprise. Vous intégrez votre déploiement OKV sur place à Oracle Autonomous Database pour créer et gérer vos propres clés principales.

Avant de pouvoir utiliser des clés gérées par le client stockées dans OKV, vous devez effectuer un certain nombre de tâches de configuration préparatoires, comme décrit dans Préparer l'utilisation d'Oracle Key Vault.

Après avoir terminé les tâches de configuration préparatoire, vous pouvez associer les clés de gestionnaire de client dans OKV lors du provisionnement d'une base de données conteneur autonome. Toutes les bases de données Autonomous Database provisionnées dans cette base de données conteneur autonome hériteront automatiquement de ces clés de chiffrement. Pour plus de détails, voir Créer une base de données conteneur autonome.

Note :

Si vous voulez activer Autonomous Data Guard inter-régions, assurez-vous d'avoir ajouté des adresses IP de connexion pour votre grappe OKV dans le magasin de clés.

Vous pouvez mettre à jour le groupe de points d'extrémité OKV à partir de la page Détails d'une base de données conteneur autonome. Facultativement, vous pouvez également ajouter un nom de groupe de points d'extrémité OKV avec le magasin de clés OKV lors du provisionnement de la base de données conteneur autonome ou d'une version ultérieure.

Pour mettre à jour le groupe de points d'extrémité OKV sur une base de données conteneur autonome, vous devez vous assurer que :
  • Le nom du groupe de points d'extrémité OKV a accès au portefeuille OKV correspondant.
  • Les points d'extrémité OKV correspondant à la base de données conteneur autonome font partie du groupe de points d'extrémité OKV.
  • Le groupe de points d'extrémité OKV dispose d'un accès en lecture aux portefeuilles par défaut des points d'extrémité.
Pour mettre à jour le nom du groupe de points d'extrémité OKV :
  • Allez à la page Détails de la base de données conteneur autonome. Pour obtenir des instructions, voir Voir les détails d'une base de données conteneur autonome.
  • Cliquez sur Modifier à côté du nom du groupe de points d'extrémité OKV sous Chiffrement.
  • Sélectionnez un magasin de clés dans la liste et entrez un nom pour le groupe de points d'extrémité OKV. Le nom du groupe de points d'extrémité doit être en majuscules et peut inclure des chiffres, des tirets (-) et des traits de soulignement (_) et commencer par une lettre majuscule.
  • Cliquez sur Enregistrer.