Aperçu des chambres fortes, de la gestion des clés et de la gestion des clés secrètes

Comprendre les concepts relatifs à la gestion des chambres fortes et des clés pour accéder aux chambres fortes, aux clés et aux clés secrètes et les gérer.

Chambres fortes

Les chambres fortes sont des entités logiques où le service Key Management crée et stocke durablement des clés et des clés secrètes de chambre forte. Le type de chambre forte détermine les caractéristiques telles que le degré d'isolement du stockage, l'accès à la gestion et au chiffrement, l'extensibilité et la capacité de sauvegarde. Le type de chambre forte dont vous disposez a également une incidence sur la tarification. Vous ne pouvez pas modifier le type d'une chambre forte après la création de celle-ci.

Le service Key Management offre différents types de chambre forte pour répondre aux besoins de votre organisation tout en respectant le budget. Tous les types de chambre forte garantissent la sécurité et l'intégrité des clés de chiffrement et des clés secrètes stockées par les chambres fortes. Une chambre forte privée virtuelle est une partition isolée sur un module de sécurité matériel (HSM). Les chambres fortes partagent les partitions du HSM avec d'autres chambres fortes.

Les chambres fortes privées virtuelles incluent 1 000 versions de clé par défaut. Si vous n'avez pas besoin du plus grand degré d'isolement ou de la capacité de sauvegarder la chambre forte, vous n'avez pas besoin d'une chambre forte privée virtuelle. Sans chambre forte privée virtuelle, vous pouvez gérer les coûts en payant les versions de clé individuellement, selon vos besoins. (Les versions de clé sont prises en compte dans le calcul des limites et des coûts. Une clé de chambre forte contient toujours au moins une version de clé active. De même, une clé secrète possède toujours au moins une version de clé secrète. Toutefois, les limites des clés secrètes s'appliquent à la location plutôt qu'à une chambre forte.)

Pour les clients qui respectent les réglementations concernant le stockage des clés en dehors du nuage Oracle ou de tout nuage local de tierce partie, le service de gestion des clés OCI offre désormais une fonctionnalité appelée service de gestion des clés externes (système de gestion des clés externe). Dans un système de gestion des clés externe, vous pouvez stocker et contrôler les clés de chiffrement principales (en tant que clés externes) sur un système de gestion des clés de tierce partie hébergé en dehors d'OCI. Vous pouvez ensuite utiliser ces clés pour chiffrer vos données dans Oracle. Vous pouvez également désactiver vos clés à tout moment. Avec les clés réelles résidant dans le système de gestion des clés de tierce partie, vous ne créez que des références de clé (associées au matériel de clé) dans OCI.

OCI KMS offre le service de gestion des clés dédié, qui est une ressource de partition de module de sécurité matériel à locataire unique gérée par le client et hautement disponible en tant que service. Il vous permet d'avoir un plus grand contrôle en possédant la partition HSM et les clés cryptées et les utilisateurs dans la partition. Dans une configuration Dedicated KMS, le cluster HSM est livré avec trois partitions HSM par défaut, qui sont synchronisées automatiquement. Vous pouvez gérer les clés et les utilisateurs dans les modules de sécurité matériel intégrés aux instances de calcul OCI au moyen des utilitaires client et des bibliothèques PKCS #11. Dedicated KMS prend en charge uniquement les clés protégées par le module de sécurité matériel et ne prend pas en charge les clés protégées par le logiciel. Pour les opérations cryptographiques, la solution prend en charge à la fois le chiffrement symétrique et asymétrique à l'aide d'algorithmes AES, RSA et ECDSA.

Le service de chambre forte désigne les chambres fortes en tant que ressource Oracle Cloud Infrastructure.

Clés

Les clés sont des entités logiques qui représentent une ou plusieurs versions de clé, chacune contenant du matériel cryptographique. Le matériel cryptographique d'une clé de chambre forte est généré pour un algorithme spécifique qui vous permet d'utiliser la clé pour le chiffrement ou la signature numérique. Lorsqu'elle est utilisée pour le chiffrement, une clé ou une paire de clés chiffre et déchiffre les données, protégeant les données là où elles sont stockées ou pendant qu'elles sont en transit. Avec une clé symétrique AES, la même clé chiffre et déchiffre les données. Avec une clé asymétrique RSA, la clé publique chiffre les données et la clé privée déchiffre les données.

Vous pouvez utiliser des clés AES dans le chiffrement et le déchiffrement, mais pas dans la signature numérique. Toutefois, les clés RSA peuvent être utilisées non seulement pour chiffrer et déchiffrer les données, mais aussi pour signer numériquement les données et vérifier l'authenticité des données signées. Vous pouvez utiliser des clés ECDSA dans la signature numérique, mais pas pour chiffrer ou déchiffrer les données.

Lors du traitement dans le cadre d'un algorithme de chiffrement, une clé précise comment transformer le texte brut en texte chiffré lors du chiffrement et comment transformer le texte chiffré en texte brut lors du déchiffrement. Lorsqu'elle est traitée dans le cadre d'un algorithme de signature, la clé privée d'une clé asymétrique et un message produisent ensemble une signature numérique qui va avec le message en transit. Lorsqu'il est traité dans le cadre d'un algorithme de vérification de signature par le destinataire du message signé, le message, la signature et la clé publique de la même clé asymétrique confirment ou refusent l'authenticité et l'intégrité du message.

Conceptuellement, le service Key Management reconnaît trois types de clé de chiffrement : clés de chiffrement principales, clés d'emballage et clés de chiffrement des données.

Les algorithmes de chiffrement pris en charge par le service Key Management pour les clés de chiffrement principales de chambre forte comprennent AES, RSA et ECDSA. Vous pouvez créer des clés de chiffrement principales AES, RSA ou ECDSA à l'aide de la console, de la CLI ou de l'API. Lorsque vous créez une clé de chiffrement principale, le service Key Management peut générer le matériel clé en interne ou vous pouvez l'importer dans le service à partir d'une source externe. (La prise en charge de l'importation de matériel de clé dépend de l'algorithme de chiffrement du matériel de clé.) Lorsque vous créez des clés de chiffrement principales de chambre forte, vous les créez dans une chambre forte, mais l'endroit où une clé est stockée et traitée dépend de son mode de protection.

Les clés de chiffrement principales de chambre forte peuvent avoir l'un des deux modes de protection suivants : HSM ou logiciel. Une clé de chiffrement principale protégée par un module de sécurité matériel est stockée sur un module de sécurité matériel et ne peut pas être exportée à partir du module de sécurité matériel. Toutes les opérations cryptographiques impliquant la clé se produisent également sur le HSM. Pendant ce temps, une clé de cryptage maître protégée par un logiciel est stockée sur un serveur et, par conséquent, peut être exportée à partir du serveur pour effectuer des opérations cryptographiques sur le client plutôt que sur le serveur. Au repos, la clé protégée par logiciel est chiffrée par une clé racine du module de sécurité matériel. Pour une clé protégée par un logiciel, tout traitement lié à la clé se produit sur le serveur. Le mode de protection d'une clé affecte la tarification et ne peut pas être modifié après la création de la clé.

Après avoir créé votre première clé de chiffrement principale symétrique, vous pouvez utiliser l'API pour générer les clés de chiffrement des données retournées par le service de gestion des clés. Notez qu'une clé de chiffrement des données doit avoir une force de chiffrement égale ou supérieure à la clé de chiffrement principale utilisée pour la créer. Certains services peuvent utiliser une clé de chiffrement principale symétrique pour générer leurs propres clés de chiffrement des données.

Une clé d'encapsulation est fournie par défaut avec chaque chambre forte. Une clé d'encapsulation est une clé de chiffrement asymétrique de 4096 bits basée sur l'algorithme RSA. La paire de clés publique et privée ne compte pas dans les limites de service. Ils n'entraînent pas non plus de frais de service. La clé publique est utilisée comme clé de chiffrement lorsque vous devez encapsuler le matériel de la clé pour l'importer dans le service Key Management. Vous ne pouvez pas créer, supprimer ni effectuer la rotation des clés d'encapsulation.

Le service de gestion de clés reconnaît les clés principales de chiffrement en tant que ressources Oracle Cloud Infrastructure.

Versions et rotations de clé

Une version de clé est affectée automatiquement à chaque clé principale de chiffrement. Lorsque vous effectuez la rotation d'une clé, le service Key Management génère une nouvelle version de clé. Le service Key Management peut générer le matériel clé pour la nouvelle version de clé ou vous pouvez l'importer.

Une rotation régulière permet de limiter le volume des données chiffrées ou signées avec une version de clé. Si une clé est compromise, la rotation réduit donc les risques. Un identificateur unique de clé affecté par Oracle, appelé ID Oracle Cloud (OCID), reste identique pour toutes les rotations, mais la version de clé permet au service Key Management d'effectuer une rotation transparente des clés pour répondre à toutes les exigences de conformité que vous pourriez avoir.

Bien que vous ne puissiez pas utiliser une ancienne version de clé pour le chiffrement après avoir effectué une rotation de clé, celle-ci reste disponible pour le chiffrement des données. Si vous effectuez la rotation d'une clé asymétrique, la clé publique ne peut plus être utilisée pour chiffrer les données, mais la clé privée reste disponible pour déchiffrer les données chiffrées par la clé publique. Lorsque vous effectuez la rotation d'une clé asymétrique utilisée dans la signature numérique, vous ne pouvez plus utiliser la version de clé privée pour signer des données, mais la version de clé publique reste disponible pour vérifier la signature numérique des données précédemment signées par l'ancienne version de clé privée.

Pour les clés symétriques, vous n'avez pas besoin d'effectuer le suivi de la version de clé qui a été utilisée pour chiffrer les données, car le texte chiffré de la clé contient les informations dont le service a besoin à des fins de déchiffrement. Toutefois, au moyen de rotations de clés asymétriques, vous devez suivre quelle version de clé a été utilisée pour chiffrer ou signer quelles données. Avec les clés asymétriques, le texte chiffré de la clé ne contient pas les informations requises par le service pour le déchiffrement ou la vérification.

Avec les clés symétriques AES, chaque version de clé compte pour une version de clé lors du calcul de l'utilisation des limites de service. Toutefois, avec les clés asymétriques RSA et ECDSA, chaque version de clé compte pour deux lors du calcul de l'utilisation par rapport aux limites de service, car une clé asymétrique comporte à la fois une clé publique et une clé privée. (Les clés asymétriques sont également appelées paires de clés.)

Rotation automatique des clés

Note

Cette fonction est disponible uniquement pour les chambres fortes privées.

Le service de gestion des clés d'OCI vous permet de programmer la rotation automatique des clés pour une clé de chiffrement dans une chambre forte privée virtuelle. Lorsque vous configurez la rotation automatique, vous définissez la fréquence de rotation et la date de début du programme de rotation. Pour la fréquence, vous avez choisi un intervalle de rotation entre 60 jours et 365 jours. KMS prend en charge la rotation automatique des clés pour le module de sécurité matériel et les clés logicielles, et prend en charge la rotation automatique des clés symétriques et asymétriques. Notez qu'une clé doit avoir l'état "activé" pour configurer la rotation automatique.

Caractéristiques et exigences de la rotation automatique des clés :

• Vous pouvez mettre à jour le programme de rotation d'une clé après avoir activé la rotation automatique, au besoin.
• Vous pouvez effectuer une rotation d'une clé sur demande (effectuer une rotation manuelle) lorsque la rotation automatique des clés est activée pour la clé.
• Vous pouvez effectuer le suivi des activités de rotation automatique des clés pour une clé, notamment le statut et le message d'état de la dernière rotation, les mises à jour de l'intervalle de rotation et la date de début de la rotation suivante.
• Vous pouvez envoyer un avis d'événement en cas d'échec de la rotation des clés.

Avis d'événement de rotation automatique : Pour recevoir des avis d'événement de rotation automatique de clés, vous devez configurer le service d'événements OCI. Après chaque rotation de clé, KMS envoie une notification concernant l'état de rotation et les messages d'erreur, le cas échéant. Le service d'événements OCI vous permet d'utiliser des règles d'événement pour appeler une fonction, que vous pouvez utiliser pour l'automatisation. Par exemple, vous pouvez utiliser des fonctions pour automatiser les tâches suivantes :

• Rechiffrer les données avec une nouvelle version de clé
• Supprimer une ancienne version de clé
• Distribuer la partie publique des clés asymétriques pour la signature ou la vérification des données

Pour plus d'informations, voir Création d'une règle d'événement et Aperçu des fonctions.

Modules de sécurité matériels

Lorsque vous créez une clé de chiffrement principale symétrique AES avec le mode de protection réglé à HSM, le service Key Management stocke la version de la clé dans un module de sécurité matériel pour fournir une couche de sécurité physique. (Lorsque vous créez une clé secrète, les versions de clé secrète sont encodées par base64 et chiffrées par une clé de chiffrement principale, mais ne sont pas stockées dans le module de sécurité matériel.) Après avoir créé les ressources, le service tient à jour des copies de toute version de clé ou de clé secrète indiquée dans l'infrastructure de service afin d'assurer la résilience contre les pannes matérielles. Les versions de clé des clés protégées par le module de sécurité matériel ne sont autrement stockées nulle part ailleurs et ne peuvent pas être exportées à partir d'un module de sécurité matériel.

Lorsque vous créez une clé de chiffrement principale asymétrique RSA ou ECDSA avec le mode de protection réglé à HSM, le service Key Management stocke la clé privée dans un module de sécurité matériel et n'autorise pas son exportation à partir du module de sécurité matériel. Cependant, vous pouvez télécharger la clé publique.

Le service Key Management utilise des modules de sécurité matériels conformes aux normes fédérales de traitement des informations 140-2 Certification de sécurité de niveau 3. Cette certification signifie que le matériel HSM est inviolable, comporte des protections physiques contre l'inviolabilité, requiert une authentification basée sur l'identité et supprime les clés lorsqu'il détecte une altération.

Chiffrement d'enveloppe

La clé de chiffrement des données utilisée pour chiffrer les données est, elle-même, chiffrée avec une clé principale de chiffrement. Ce concept est connu en tant que chiffrement d'enveloppe. Les services Oracle Cloud Infrastructure n'ont pas accès aux données en texte brut sans interagir avec le service Key Management et sans accéder à la clé de chiffrement principale protégée par le service Oracle Cloud Infrastructure Identity and Access Management (IAM). Pour le déchiffrement, les services intégrés tels que le service de stockage d'objets, le service de volume par blocs et le service de stockage de fichiers stockent uniquement la forme chiffrée de la clé de chiffrement des données.

Clés secrètes

Les clés secrètes sont des données d'identification telles que des mots de passe, des certificats, des clés SSH ou des jetons d'authentification que vous utilisez avec les services Oracle Cloud Infrastructure. Le stockage des clés secrètes dans une chambre forte offre une sécurité supérieure à celle fournie par d'autres emplacements, tels que du code ou des fichiers de configuration. Vous pouvez extraire les clés secrètes du service Key Management lorsque vous en avez besoin pour accéder aux ressources ou à d'autres services.

Vous pouvez créer des clés secrètes à l'aide de la console, de l'interface de ligne de commande ou de l'API. Le contenu d'une clé secrète est importé dans le service à partir d'une source externe. Le service de chambre forte stocke les clés secrètes dans des chambres fortes.

Le service Key Management prend en charge les clés secrètes en tant que ressource Oracle Cloud Infrastructure.

Versions de clé secrète

Une version de clé secrète est affectée automatiquement à chaque clé secrète. Lorsque vous effectuez la rotation de la clé secrète, vous fournissez un nouveau contenu de clé secrète au service Key Management pour qu'il génère une nouvelle version de clé secrète. La rotation périodique du contenu des clés secrètes permet de limiter l'incidence de l'exposition d'une clé secrète. L'ID Oracle Cloud (OCID) unique d'une clé secrète reste le même pour toutes les rotations, mais la version de clé secrète permet au service Key Management de faire pivoter le contenu de la clé secrète pour répondre à toutes les règles ou exigences de conformité que vous pourriez avoir. Bien que vous ne puissiez pas utiliser le contenu d'une ancienne version de clé secrète après la rotation, si une règle est configurée pour empêcher la réutilisation des clés secrètes, la version de clé secrète reste disponible et est identifiée par un état de rotation différent de "courant". Pour plus d'informations sur les versions de clé secrète et leurs états de rotation, voir Versions de clé secrète et états de rotation.

Offres groupées de clé secrète

Un ensemble de clé secrète de chambre forte est constitué du contenu de la clé secrète, des propriétés de la clé secrète et de la version de clé secrète (telles que le numéro de version ou l'état de rotation) et des métadonnées contextuelles fournies par l'utilisateur pour la clé secrète. Lorsque vous effectuez la rotation d'une clé secrète, vous créez une nouvelle version de clé secrète, qui inclut également une nouvelle version de l'ensemble de clé secrète.

Le service Chambre forte est disponible dans toutes les régions commerciales d'Oracle Cloud Infrastructure. Voir À propos des régions et des domaines de disponibilité pour obtenir la liste des régions disponibles, ainsi que les emplacements associés, les identificateurs de région, les clés de région et les domaines de disponibilité.

Toutefois, contrairement à d'autres services Oracle Cloud Infrastructure, le service de chambre forte n'a pas de point d'extrémité régional pour toutes les opérations d'API. Le service a un point d'extrémité régional pour le service de provisionnement qui traite les opérations de création, de mise à jour et de liste pour les chambres fortes. Pour créer, mettre à jour et lister des opérations pour les clés, les points d'extrémité de service sont répartis dans plusieurs grappes indépendantes. Les points d'extrémité de service des clés secrètes sont répartis entre plusieurs grappes indépendantes.

Le service de chambre forte contenant des points d'extrémité publics, vous pouvez utiliser directement les clés de chiffrement des données générées par le service pour des opérations cryptographiques dans vos applications. Toutefois, si vous voulez utiliser des clés de chiffrement principales avec un service avec lequel le service de chambre forte est intégré, vous ne pouvez le faire que lorsque le service et la chambre forte qui contient les clés existent dans la même région. Des points d'extrémité différents existent pour les opérations de gestion des clés, les opérations cryptographiques liées aux clés, les opérations de gestion des clés secrètes et les opérations d'extraction des clés secrètes. Pour plus d'informations, voir la documentation sur les API d'Oracle Cloud Infrastructure

Le service de chambre forte conserve les copies des chambres fortes et de leur contenu pour les conserver durablement et pour permettre au service de chambre forte de produire des clés ou des clés secrètes sur demande, même lorsqu'un domaine de disponibilité n'est pas disponible. Cette réplication est indépendante de toute réplication inter-région qu'un client peut configurer.

Pour les régions comportant plusieurs domaines de disponibilité, le service de chambre forte tient à jour les copies des clés de chiffrement dans tous les domaines de disponibilité de la région. Les régions comportant plusieurs domaines de disponibilité ont un bâti par domaine de disponibilité, ce qui signifie que la réplication a lieu sur trois bâtis au total dans ces régions, où chaque bâti appartient à un domaine de disponibilité différent. Dans les régions comportant un seul domaine de disponibilité, le service de chambre forte conserve les copies de clé de chiffrement dans les domaines d'erreur.

Pour les clés secrètes, dans les régions comportant plusieurs domaines de disponibilité, le service de chambre forte distribue des copies de clé secrète dans deux domaines de disponibilité différents. Dans les régions comportant un seul domaine de disponibilité, le service de chambre forte répartit les copies entre deux domaines d'erreur différents.

Chaque domaine de disponibilité comporte trois domaines d'erreur. Les domaines d'erreur permettent d'assurer une haute disponibilité et une tolérance aux pannes en permettant au service de chambre forte de répartir les ressources entre différents matériels physiques dans un domaine de disponibilité donné. Le matériel physique lui-même dispose également d'alimentations électriques indépendantes et redondantes qui empêchent une panne de courant dans un domaine d'erreur d'affecter les autres domaines d'erreur.

Tout cela permet au service de chambre forte de produire des clés et des clés secrètes sur demande, même lorsqu'un domaine de disponibilité n'est pas disponible dans une région avec plusieurs domaines de disponibilité ou lorsqu'un domaine d'erreur n'est pas disponible dans une région avec un seul domaine de disponibilité.

Le service de chambre forte prend en charge l'accès privé à partir des ressources Oracle Cloud Infrastructure d'un réseau en nuage virtuel (VCN) au moyen d'une passerelle de service. La configuration et l'utilisation d'une passerelle de service sur un VCN permettent aux ressources (par exemple, les instances auxquelles les volumes chiffrés sont attachés) d'accéder aux services Oracle Cloud Infrastructure publics tels que le service de chambre forte sans les exposer sur le réseau Internet public. Aucune passerelle Internet n'est requise et les ressources peuvent se trouver dans un sous-réseau privé et utiliser uniquement des adresses IP privées. Pour plus d'informations, voir Accès aux services Oracle : Passerelle de service.

Le service de chambre forte prend en charge les chambres fortes, les clés et les clés secrètes en tant que ressources Oracle Cloud Infrastructure. La plupart des types de ressource Oracle Cloud Infrastructure ont un identifiant unique affecté par Oracle, appelé OCID (identificateur Oracle Cloud). Pour des informations sur le format des OCID et sur les autres moyens d'identifier vos ressources, voir Identificateurs de ressource..

Vous pouvez accéder à Oracle Cloud Infrastructure en entrant votre compte en nuage.

Vous pouvez accéder à Oracle Cloud Infrastructure (OCI) à l'aide de la console (interface basée sur un navigateur), de l'API REST ou de l'interface de ligne de commande OCI. Les instructions relatives à la console, à l'API et à l'interface de ligne de commande sont incluses dans les rubriques de cette documentation. Pour la liste des trousses SDK disponibles, voir Trousses SDK et interface de ligne de commande.

Pour accéder à la console, vous devez utiliser un explorateur pris en charge. Pour accéder à la page de connexion de la console, ouvrez le menu de navigation en haut de cette page et sélectionnez Console Infrastructure. Vous êtes invité à entrer votre location Oracle Cloud, votre nom d'utilisateur et votre mot de passe.

Connaissez la limitation du service de chambre forte et son utilisation des ressources avant de commencer à les utiliser.

Pour une liste des limites applicables et des instructions pour demander l'augmentation d'une limite, voir Limites de service. Pour définir des limites propres à un compartiment pour une ressource ou une famille de ressources, les administrateurs peuvent utiliser des quotas de compartiment.

Pour apprendre à consulter votre niveau d'utilisation par rapport aux limites de ressources de la location, voir Consultation des limites de service, des quotas et de l'utilisation. Vous pouvez également obtenir l'utilisation de chaque chambre forte individuelle par rapport aux limites des clés en visualisant le nombre de clés et de versions de clé dans les détails de la chambre forte.