Présentation des clés de chiffrement gérées par le client

En savoir plus sur les clés de chiffrement gérées par le client pour les environnements dédiés.

Aperçu des clés de chiffrement gérées par le client

Oracle NoSQL Database Cloud Service (NDCS) protège les données contre les violations de sécurité en chiffrant les données au repos à l'aide de clés de chiffrement des données. Les clés de chiffrement des données sont ensuite chiffrées à l'aide d'une clé de chiffrement principale. Par défaut, NDCS utilise une clé de chiffrement principale gérée par Oracle.

NDCS vous permet également de chiffrer les clés de chiffrement des données avec votre propre clé de chiffrement principale, appelée clé de chiffrement gérée par le client (CMEK). Les CMEK doivent être activés dans un environnement dédié avant d'utiliser cette fonctionnalité. Lorsque vous créez un environnement dédié configuré pour les CMEK, Oracle NoSQL Database utilise des volumes par blocs OCI pour stocker et chiffrer les données de base de données à l'aide d'une clé de chiffrement principale que vous contrôlez. En outre, les sauvegardes des données de votre environnement résident dans le stockage d'objets OCI et sont également chiffrées à l'aide de votre clé principale. Pour soumettre un ticket de service, voir Demande d'un environnement hébergé dédié.

Vous créez et gérez vos propres clés de chiffrement principales. NDCS utilise le service de gestion des clés pour OCI pour stocker votre clé de chiffrement principale dans des chambres fortes et gérer leur état opérationnel.

Terminologies

Comment fonctionne CMEK?

Le service de chambre forte OCI permet de créer des chambres fortes dans votre location en tant que conteneurs pour les clés de chiffrement. Lorsque vous créez CMEK dans une chambre forte, un ID Oracle Cloud (OCID) unique lui est affecté.

Vous affectez un CMEK à votre environnement dédié au moyen de la console OCI. Le service de volume par blocs et le service de stockage d'objets utilisent CMEK pour chiffrer les volumes par blocs et les clés de stockage d'objets.

NDCS prend en charge la rotation des clés en vous permettant d'affecter un nouveau CMEK. Vous devez d'abord créer une nouvelle clé dans votre chambre forte. Pour déclencher une rotation, vous mettez à jour la nouvelle clé dans votre environnement dédié à partir de la console OCI. La rotation vers un nouveau CMEK ne rechiffre pas les données stockées dans des volumes par blocs ou dans le stockage d'objets. Il rechiffre uniquement les clés du service de volume par blocs et du service de stockage d'objets.

Le service de volume par blocs et le service de stockage d'objets gèrent toutes les opérations de données.

Création CMEK

Oracle NoSQL Database Cloud Service prend en charge l'intégration exclusive au service de chambre forte OCI pour créer des chambres fortes et utilise KMS pour créer, stocker et gérer les CMEK dans les chambres fortes. Pour plus de détails sur la chambre forte, voir la rubrique sur le service Chambre forte OCI dans la documentation sur Oracle Cloud Infrastructure.

Vous devez d'abord créer une chambre forte à partir de la console OCI, puis créer CMEK dans la chambre forte.

Pour plus de détails, voir la rubrique Création d'une chambre forte dans la documentation sur Oracle Cloud Infrastructure.

Figure - Chambre forte OCI

Description de l'image ci-dessous

Description de l'illustration vault.png

Création CMEK :

Lors de la création d'un CMEK, vous spécifiez son mode de protection, son algorithme et sa longueur.

Suivez ces étapes pour créer un CMEK. Pour plus de détails, voir la rubrique Création d'une clé de chiffrement principale dans la documentation sur Oracle Cloud Infrastructure.

Conditions requises

Procédure

  1. Se connecter à la console OCI.

  2. Ouvrez le menu de navigation situé dans le coin supérieur gauche, sélectionnez Identité et sécurité, puis Chambre forte.

  3. Sélectionnez le compartiment qui contient la chambre forte.

  4. Sélectionnez le nom de la chambre forte dans laquelle vous souhaitez créer un CMEK.

  5. Sous Ressources, sélectionnez Clés de chiffrement principales, puis Créer une clé. Notez que les clés peuvent être créées dans un compartiment différent de celui de la chambre forte.

  6. Pour Mode de protection, sélectionnez l'une des options suivantes : Module de sécurité matériel ou Logiciel.

  7. Entrez un nom pour identifier CMEK.

  8. Pour Forme de clé : Algorithme, sélectionnez l'algorithme AES (Advanced Encryption Standard). KMS prend en charge les algorithmes AES, RSA et ECDSA. Toutefois, NDCS n'autorise qu'une forme de clé symétrique pour CMEK. Vous devez donc sélectionner l'option AES, qui génère une clé symétrique.

  9. Pour Forme de la clé : Longueur, sélectionnez la longueur de la clé en tant que 256 bits.

  10. Si vous voulez importer une clé externe, cochez la case Importer la clé externe et fournissez les détails suivants :

    • Algorithme d'encapsulation : Sélectionnez RSA_OAEP_AES_SHA256. OCI prend en charge cet algorithme pour l'importation d'une clé encapsulée publiquement.

    • Source de données de clé externe : Chargez le fichier qui contient le matériel de clé RSA encapsulé.

  11. Sélectionnez Créer une clé.

Figure - Création de CMEK dans la chambre forte

Description de l'image ci-dessous

Description de l'illustration createkey.png

Note : Oracle NoSQL Database Cloud Service ne prend en charge que les clés à version unique.

Accès CMEK :

Après avoir créé un CMEK, vous l'affectez à votre environnement dédié. Le service de volume par blocs et le service de stockage d'objets dans l'environnement dédié accèdent au CMEK en interne à l'aide de l'OCID du CMEK.

Figure - Détails CMEK

Description de l'image ci-dessous

Description de l'illustration key_ocid.png

Cycle de vie de CMEK dans la chambre forte :

Une chambre forte prend en charge les opérations suivantes :

Note : Le statut de CMEK est désactivé pendant cette période d'attente.

Pour plus de détails sur l'activation, la désactivation et la suppression de CMEK, voir Flux de travail de gestion des clés CMEK.

Opérations de gestion CMEK

Oracle NoSQL Database Cloud Service gère les opérations de CMEK dans des environnements dédiés. Cela inclut l'affectation de CMEK à un environnement dédié, la rotation CMEK, la suppression, la désactivation dans la chambre forte, la réactivation et la suppression.

Le tableau suivant décrit les tâches impliquées dans la gestion CMEK. Pour plus de détails sur les tâches de gestion des clés CMEK, voir Flux de travail de gestion des clés CMEK.

Tableau - Tâches de gestion CMEK

Tâches de l'utilisateur Tâches NDCS
Affectation CMEK : Vous affectez un CMEK à votre environnement dédié à partir de la console OCI.
  • Déclenche le chiffrement des clés dans les volumes par blocs et le stockage d'objets de l'environnement dédié.
  • Affiche un avis sur le lancement et l'achèvement de l'affectation CMEK.
Rotation CMEK : Vous mettez à jour CMEK dans votre environnement dédié.
  • Déclenche le rechiffrement des clés dans les volumes par blocs et le stockage d'objets de l'environnement dédié.
  • Affiche un avis sur le lancement et l'achèvement du processus de mise à jour.
CMEK disable : Vous désactivez CMEK à partir de la chambre forte.
  • Vérifie les métadonnées et le statut courant de CMEK associé à l'environnement dédié.
  • Rend l'environnement dédié indisponible. Toutes les données ou ressources qui utilisent CMEK sont rendues inutilisables.
  • Désactive toutes les alarmes dans l'environnement dédié.
  • Affiche l'avis approprié pour informer que CMEK a été désactivé dans la chambre forte.
Réactivation de CMEK : Vous réactivez le CMEK désactivé à partir de la chambre forte.
  • La restauration automatique du service n'est pas possible. Vous devez lever un ticket CAM demandant la restauration du service.
  • La restauration du service n'est possible qu'en le demandant explicitement via un ticket CAM.
Suppression CMEK : Vous supprimez CMEK de la chambre forte.
  • Prend en charge un processus de suppression en deux étapes. L'état de suppression en attente est affecté à CMEK, ce qui équivaut à l'état désactivé. Une fois la date de suppression atteinte, CMEK est définitivement supprimé.
  • Rend l'environnement dédié indisponible. Toutes les données cryptées avec CMEK supprimé deviennent définitivement inaccessibles après la date de suppression.
  • Affiche l'avis approprié pour informer la suppression de CMEK dans la chambre forte.
Suppression de CMEK : Vous annulez l'affectation de CMEK à votre environnement dédié.
  • Rétablit l'environnement dédié aux clés gérées par Oracle et déclenche le rechiffrement des clés dans les volumes par blocs et le stockage d'objets de l'environnement dédié.
  • Affiche un avis sur le lancement et l'achèvement de la suppression de CMEK.

Contrôle d'accès CMEK

Oracle NoSQL Database Cloud Service utilise Oracle Cloud Infrastructure Identity and Access Management (IAM) pour fournir un accès sécurisé au nuage d'Oracle. OCI IAM vous permet de mettre en oeuvre le contrôle d'accès pour utiliser la fonctionnalité KMS.

Vous devez créer des politiques pour accéder à CMEK dans la chambre forte, les volumes par blocs et le stockage d'objets pour toutes les opérations requises. Pour plus de détails sur les politiques, voir Fonctionnement des politiques dans la documentation sur Oracle Cloud Infrastructure.

Les exigences de base de la politique IAM de votre location pour l'utilisation de CMEK sont les suivantes :

  1. Pour accorder l'accès au service de volumes par blocs afin d'utiliser CMEK dans le compartiment requis :

    allow service blockstorage to use keys in compartment <name_of_compartment> where target.key.id = <key-ocid>

    où,

    Nom du compartiment name_of_compartment: dans votre environnement dédié.

    OCID key-ocid: de votre CMEK.

  2. Pour accorder l'accès au stockage d'objets dans une région et un compartiment pour utiliser CMEK :

    allow service objectstorage-<region> to use keys in compartment <name_of_compartment> where target.key.id = <key-ocid>

    où,

    region: Région où réside votre stockage d'objets.

    Nom du compartiment name_of_compartment: dans votre environnement dédié.

    OCID key-ocid: de votre CMEK.

  3. Pour accorder à Oracle NoSQL Database Cloud Service l'accès à CMEK délégué par clé :

    Vous ajoutez une autorisation de délégation de clé lorsque vous voulez autoriser un service intégré tel que NDCS à utiliser une clé dans un compartiment spécifique.

    allow service nosql-database-cloud to use key-delegate in compartment <name_of_compartment> where target.key.id = <key-ocid>

    où,

    Nom du compartiment name_of_compartment: dans votre environnement dédié.

    OCID key-ocid: de votre CMEK.

  4. Pour accorder à Oracle NoSQL Database Cloud Service l'accès à la lecture de CMEK :

    allow service nosql-database-cloud to read keys in compartment <name_of_compartment> where target.key.id = <keyocid>

    où,

    Nom du compartiment name_of_compartment: dans votre environnement dédié.

    OCID key-ocid: de votre CMEK. Figure - Politiques CMEK

Description de l'image ci-dessous

Description de l'illustration cmek_policy.png

Surveillance et journalisation CMEK

Oracle NoSQL Database Cloud Service prend en charge la journalisation de tous les événements CMEK dans votre environnement dédié et les alertes avec les avis appropriés.

Journaux du service de vérification OCI

Oracle NoSQL Database Cloud Service utilise les services de vérification OCI pour enregistrer toutes les modifications d'état de clé. Les informations du journal d'audit sont les suivantes :

Alarmes OCI

Oracle NoSQL Database Cloud Service utilise le service de surveillance OCI pour surveiller vos ressources en nuage, de manière active et passive, à l'aide des mesures et des fonctions d'alarme. Vous pouvez configurer des alarmes OCI en fonction des mesures suivantes :

Tableau - Mesures et alarmes CMEK

Mesure Nom d'affichage Unité Description
Statut de la clé de chiffrement Statut de la clé de chiffrement nombre entier

Statut de la clé de chiffrement tel qu'indiqué par Oracle NoSQL Database Cloud Service.

Si la valeur est 0, la clé de chiffrement est désactivée.

Si la valeur est 1, la clé de chiffrement est activée et peut effectuer le chiffrement/déchiffrement.

Les clés gérées par Oracle retournent toujours 1.

Type de clé de chiffrement Type de clé de chiffrement nombre entier

Type courant de clé de chiffrement affecté au service Oracle NoSQL Database Cloud Service.

Si la valeur est 0, une clé gérée par Oracle est utilisée.

Si la valeur est 1, un CMEK est utilisé à la place.

Console OCI

Oracle NoSQL Database Cloud Service utilise le service d'avis pour OCI afin d'afficher les alertes critiques sur la console OCI pour l'environnement dédié affecté.

Vous serez avisé des événements CMEK suivants :

Les alertes sont les suivantes :

Disponibilité du service CMEK

Oracle NoSQL Database Cloud Service surveille la disponibilité du service CMEK dans la chambre forte et applique les actions appropriées lorsque CMEK est désactivé ou supprimé. NDCS fournit des messages d'erreur et des journaux clairs lorsque votre environnement dédié devient indisponible ou irrécupérable en raison de problèmes CMEK.

Si un CMEK est désactivé, Oracle NoSQL Database Cloud Service déclenche les actions suivantes :

Pour plus de détails sur la désactivation de CMEK, voir Désactiver CMEK.

Si un CMEK est supprimé, Oracle NoSQL Database Cloud Service déclenche les actions suivantes :

Pour plus de détails sur la suppression de CMEK, voir Suppression de CMEK.

Si un CMEK est réactivé, Oracle NoSQL Database Cloud Service suggère les actions suivantes :

Pour plus de détails sur la réactivation de CMEK, voir Restauration CMEK.

Rubriques connexes