Service de gestion de clés externe
Aperçu de la fonctionnalité de gestion des clés externes avec son cas d'utilisation et ses avantages.
Le service de gestion de clés OCI (KMS) utilise un module de sécurité matériel hébergé dans le centre de données Oracle pour stocker et gérer des clés principales pour chiffrer les données au repos. Pour améliorer la sécurité des données et les clients qui respectent les règlements pour stocker des clés en dehors du nuage Oracle ou de tout autre environnement en nuage de tiers, le service de gestion des clés OCI offre maintenant une fonctionnalité appelée External Key Management Service (KMS externe).
Dans le service de gestion des clés externes, vous pouvez stocker et contrôler des clés de chiffrement principales (en tant que clés externes) sur un système de gestion des clés tiers hébergé à l'extérieur d'OCI. Vous pouvez ensuite utiliser ces clés pour chiffrer vos données dans Oracle. Vous pouvez également désactiver vos clés à tout moment. Avec les clés réelles qui résident dans le système de gestion des clés de tierce partie, vous ne créez que des références de clé (associées au matériel de clé) dans OCI.
Note
Dans le service de gestion des clés externes pour OCI, Thales est notre premier fournisseur tiers de gestion des clés externes et, tout au long de la documentation, Thales CipherTrust Manager (CM) est notre gestionnaire de clés externes.
Dans le service de gestion des clés externes pour OCI, Thales est notre premier fournisseur tiers de gestion des clés externes et, tout au long de la documentation, Thales CipherTrust Manager (CM) est notre gestionnaire de clés externes.
Avantages
Voici les avantages de l'offre de gestion de clés externes dans le service de gestion de clés OCI.
- Origine des clés - Vous pouvez gérer l'utilisation des clés créées à l'externe. Les clés externes ne sont jamais mises en mémoire cache ou stockées nulle part dans Oracle et KMS n'a aucun contrôle sur ces clés. Au lieu de cela, le service de gestion des clés OCI interagit directement avec le système de gestion des clés de tierce partie pour les opérations cryptographiques (chiffrement/décryptage).
- Sécurité améliorée - Protège les données au repos avec une sécurité maximale grâce à un système de gestion des clés tiers. Offre un haut niveau de sécurité pour le stockage des clés en dehors du nuage Oracle.
- Gestion centralisée des clés - Vous pouvez gérer vos clés dans un système tiers de gestion des clés. Vous bénéficiez ainsi d'un meilleur contrôle sur les clés de chiffrement qui protègent vos données dans le nuage Oracle.
Cas d'utilisation
Voici les cas d'utilisation où vous pouvez mettre en oeuvre la fonctionnalité de gestion des clés externes.
- Les banques et les secteurs publics qui respectent la réglementation préfèrent stocker les clés de chiffrement sur place qui sont physiquement séparées de leurs données dans Oracle Cloud.
- Client bancaire ayant une conformité en matière de sécurité pour effectuer des opérations cryptographiques en dehors d'Oracle et dans son module de sécurité matériel sur place pour une sécurité exclusive avec le fournisseur de services infonuagiques pour l'accès aux clés.
- Les clients qui choisissent un déploiement multinuage ont besoin de bases de données dans OCI pour se connecter à des services de chiffrement auprès d'un autre fournisseur de nuage. La fonctionnalité de système de gestion des clés externe est un facteur clé de la réussite de la stratégie multinuage d'OCI.
Terminologie
Familiarisez-vous avec les terminologies suivantes pour comprendre la fonctionnalité du système de gestion des clés externe :
| Terminologie | Description |
|---|---|
| Gestionnaire de clés externes | HSM détenu et hébergé par le client. |
| Chambre forte externe | Chambre forte créée dans le système de gestion des clés de tierce partie pour stocker les clés externes. |
| Clé externe | Clés créées dans le système de gestion des clés de tierce partie qui contient une ou plusieurs versions de clé externe. |
| Versions de clé externe | Une version de clé est affectée automatiquement à chaque clé externe. Lorsque vous effectuez la rotation d'une clé externe, le gestionnaire de clés externes génère une nouvelle version de clé. |
| Système de gestion des clés de tierce partie | HSM détenu et hébergé par le client. |
| Connexion rapide | FastConnect est un moyen de créer une connexion privée entre un client sur place et Oracle Cloud Infrastructure. |
| Points d'extrémité privés (PE) | Un point d'extrémité privé est une adresse IP privée dans le VCN du client que l'on peut utiliser pour accéder à un service donné dans Oracle Cloud Infrastructure. |
| Clé de chiffrement de données (DEK) | Clé de chiffrement dont la fonction est de chiffrer et de déchiffrer les données. |
| Thales CipherTrust Gestionnaire (CM) | Gère les clés de chiffrement de manière centralisée, fournit un contrôle d'accès granulaire et configure des politiques de sécurité qui s'intègrent au Thales Luna conforme à la norme FIPS 140-2 ou aux modules de sécurité matériel de tierce partie pour stocker les clés en toute sécurité à la racine de confiance la plus élevée. |