Service de gestion de clés externe
Avec Oracle Cloud Infrastructure External Key Management Service (EKMS), vous pouvez créer et gérer des clés de chiffrement hébergées en dehors d'OCI. EKMS s'intègre aux systèmes de gestion de clés tiers pris en charge pour effectuer des opérations cryptographiques sans importer de matériel de clé dans OCI.
Le service de gestion de clés (KMS) natif d'OCI utilise un module de sécurité matériel hébergé dans le centre de données Oracle pour stocker et gérer les clés principales afin de chiffrer les données au repos. Pour améliorer la sécurité des données et pour les clients qui ont des règles de conformité réglementaire qui nécessitent le stockage de clés dans une plate-forme de gestion des clés située en dehors d'OCI, KMS offre le service de gestion des clés externes (KMS externe), un service qui intègre votre location OCI à une plate-forme de gestion des clés de tierce partie hébergée en dehors d'OCI.
Dans External KMS, vous pouvez stocker et contrôler les clés de chiffrement principales (en tant que clés externes) dans le système de gestion des clés de tierce partie. Vous pouvez ensuite utiliser ces clés pour chiffrer vos données dans Oracle. Vous pouvez désactiver vos clés à tout moment. Avec les clés réelles résidant dans le système de gestion des clés de tierce partie, vous créez et stockez uniquement des références de clé (métadonnées associées au matériel de clé) dans OCI.
Avantages
EKMS offre les avantages suivants :
- Provenance de la clé : Vous créez et gérez l'utilisation des clés créées à l'externe dans votre plate-forme de gestion des clés externes. Les clés externes ne sont jamais mises en mémoire cache ou stockées nulle part dans OCI, et le service de gestion des clés pour OCI n'a aucun contrôle sur vos clés. Au lieu de cela, le service de gestion des clés pour OCI interagit directement avec le système de gestion des clés de tierce partie pour les opérations cryptographiques (chiffrer et déchiffrer).
- Sécurité améliorée : EKMS protège les données au repos avec une sécurité maximale à l'aide d'un système de gestion des clés de tierce partie
- Gestion centralisée des clés : La gestion de vos clés dans un système de gestion des clés de tierce partie vous permet de gérer dans un seul emplacement les clés de chiffrement que vous utilisez OCI et ailleurs.
Cas d'utilisation
EKMS peut faire partie de la sécurité globale des données dans les cas d'utilisation suivants :
- Les banques et les organisations du secteur public qui ont des réglementations en matière de conformité peuvent avoir besoin de stocker des clés de chiffrement sur place, séparées physiquement des données stockées dans OCI.
- Les clients bancaires qui ont des réglementations de sécurité exigeant qu'ils effectuent des opérations cryptographiques dans leur module de sécurité matériel sur place peuvent utiliser EKMS pour répondre à cette exigence.
- Les clients qui utilisent plus d'un fournisseur de services infonuagiques (par exemple, les clients multicloud d'Oracle) peuvent avoir besoin de bases de données dans OCI pour se connecter à des services de chiffrement situés dans un autre nuage. EKMS rend ces types d'intégrations possibles.
Terminologie
Familiarisez-vous avec les terminologies suivantes pour comprendre la fonctionnalité External Key Management (EKMS) :
| Terminologie | Description |
|---|---|
| Gestionnaire de clés externes | Un module de sécurité matériel appartenant au client et hébergé par celui-ci, ou une plate-forme de gestion des clés qui réside en dehors d'OCI. Il s'agit également d'un système de gestion des clés de tierce partie. |
| Chambre forte externe | Chambre forte créée dans le système de gestion des clés de tierce partie qui est utilisée pour stocker des clés à l'externe. |
| Clé externe | Clés créées dans le système de gestion des clés de tierce partie qui contiennent une ou plusieurs versions de clé externe. |
| Versions de clé externe | Une version de clé est affectée automatiquement à chaque clé externe. Lorsque vous effectuez la rotation d'une clé externe, le gestionnaire de clés externes génère une nouvelle version de clé. |
| FastConnect | FastConnect est un moyen de créer une connexion privée entre les locaux du client et Oracle Cloud Infrastructure (OCI). |
| Point d'extrémité privé (PE) | Un point d'extrémité privé est une adresse IP privée dans le VCN du client qui peut être utilisée pour accéder à un service dans OCI. |
| Clé de chiffrement de données (DEK) | Clé de chiffrement dont la fonction est de chiffrer et de déchiffrer les données. |
Services pris en charge
La gestion des clés externes peut être utilisée avec les services OCI suivants :
| Service | Notes |
|---|---|
| Volume par blocs | |
| Calcul | Prend en charge le chiffrement du volume de démarrage et le chiffrement des autres types de stockage répertoriés dans ce tableau. |
| Stockage de fichiers | |
| Moteur Kubernetes (OKE) | |
| Stockage d'objets | |
| Oracle Autonomous Database sur une infrastructure Exadata dédiée | |
| Base de données Oracle Autonomous Database sans serveur | |
| Base de données de base Oracle | |
| Service Oracle Exadata Database sur une infrastructure dédiée | |
| Flux |