Configurer une clé OCI bloquée à l'aide du gestionnaire Thales CipherTrust avec la passerelle d'API OCI

Présentation

Ce tutoriel fournit des instructions étape par étape pour configurer Hold Your Own Key (HYOK) avec Thales CipherTrust Manager (CTM) à l'aide de l'option Oracle Cloud Infrastructure (OCI) API Gateway.

HYOK vous permet de conserver la propriété et le contrôle complets de vos clés de chiffrement en les hébergeant à l'externe, en dehors de l'infrastructure d'Oracle, tout en permettant aux services Oracle de les utiliser en toute sécurité. Dans cette configuration, la passerelle d'API OCI joue un rôle critique en tant que pont sécurisé, gérable et évolutif entre Oracle Cloud Infrastructure External Key Management Service (OCI External KMS) et votre instance Thales CipherTrust Manager.

Pourquoi utiliser le service de passerelle d'API OCI?

En insérant une passerelle d'API OCI entre le service de gestion de clés externe OCI et votre gestionnaire Thales CipherTrust, vous obtenez :

• Contrôle d'accès sécurisé : La passerelle applique l'authentification au moyen de OAuth2 à l'aide des données d'identification de client confidentielles, en veillant à ce que seules les demandes sécurisées atteignent votre gestionnaire de clés.
• Résiliation TLS et gestion des certificats : Gérez facilement les certificats SSL/TLS, ce qui permet une communication chiffrée sécurisée entre le gestionnaire OCI et Thales CipherTrust.
• Isolement du réseau : Le service de passerelle d'API OCI masque l'accès direct à votre gestionnaire Thales CipherTrust, ce qui permet une exposition contrôlée aux points d'extrémité privés Thorugh et à des politiques de sécurité strictes.
• Vérifiabilité et observabilité : Obtenez une meilleure visibilité de l'utilisation des clés et des tentatives d'accès grâce à la journalisation et à la surveillance intégrées des appels d'API.
• Extensibilité et flexibilité : Assurez la pérennité de votre architecture en découplant la logique d'intégration du service de gestion des clés externe pour OCI du système dorsal Thales CipherTrust Manager, ce qui facilite l'échange de composants, l'application de mises à jour ou l'ajout d'intergiciel, si nécessaire.

Dans le rest de ce tutoriel, vous configurerez tous les composants d'infrastructure requis, notamment le réseau, le DNS, la gestion des certificats, la fédération des identités et, enfin, l'intégration avec OCI Vault et OCI Object Storage à l'aide de clés externes.

Ce tutoriel s'appuie sur la base technical foundation établie dans le tutoriel : Configurer deux boîtiers Thales CipherTrust Cloud Key Manager dans OCI, créer une grappe entre eux et en configurer un en tant qu'autorité de certification.

Si vous voulez mettre en oeuvre Bloquer votre propre clé (HYOK) à l'aide du gestionnaire Thales CipherTrust sans l'option Passerelle d'API OCI, suivez ce tutoriel : Configurer OCI pour bloquer votre propre clé (HYOK) à l'aide du gestionnaire CipherTrust sans la passerelle d'API.

Note : Dans ce tutoriel, les termes Thales CipherTrust Cloud Key Manager (CCKM) et Thales CipherTrust Manager (CTM) sont utilisés de manière interchangeable. Les deux font référence au même produit.

Objectifs

• Tâche 1 : Vérifier l'architecture du réseau en nuage.
• Tâche 2 : Configurer le service de nom de domaine OCI (DNS) pour tous les emplacements.
• Tâche 3 : Créer un certificat pour la passerelle d'API OCI.
• Tâche 4 : Charger le certificat de passerelle d'API OCI signé avec l'ensemble AC.
• Tâche 5 : Assurez-vous que le point d'extrémité privé est autorisé à communiquer avec la passerelle d'API OCI du point de vue du pare-feu, de la liste de sécurité ou du groupe de sécurité de réseau.
• Tâche 6 : Créer une passerelle d'API OCI.
• Tâche 7 : Créer un déploiement d'API avec les détails du nom de domaine complet.
• Tâche 8 : Créer une application de ressources confidentielles et les applications client confidentielles associées (intégrations d'applications) et collecter le client et les clés secrètes dans OCI.
• Tâche 9 : Collecter l'URL du domaine d'identité à partir d'OCI.
• Tâche 10 : Créer des fournisseurs d'identités dans Thales CipherTrust Manager.
• Tâche 11 : Ajouter des locations Oracle dans Thales CipherTrust Manager.
• Tâche 12 : Créer un point d'extrémité privé pour le service de gestionnaire de clés externes OCI.
• Tâche 13 : Ajouter des chambres fortes externes dans Thales CipherTrust Manager.
• Tâche 14 : Créer une chambre forte du service de gestion des clés externes OCI.
• Tâche 15 : Ajouter des clés externes dans Thales CipherTrust Manager.
• Tâche 16 : Créer des références de clé dans OCI.
• Tâche 17 : Créer un seau de stockage d'objets OCI avec des clés gérées par le client.
• Tâche 18 : Bloquer et débloquer les clés Oracle et tester l'accessibilité du seau de stockage d'objets dans Thales CipherTrust Manager et OCI.

L'illustration suivante présente les composants et la configuration de toutes les étapes de ce tutoriel.

Tâche 1 : Vérifier l'architecture du réseau en nuage

Avant de nous pencher sur les étapes techniques de la configuration de Hold Your Own Key (HYOK) avec Thales CipherTrust Manager, il est essentiel de comprendre l'architecture de réseau en nuage dans laquelle réside cette configuration.

Dans ce scénario, trois régions OCI sont utilisées :

• Deux régions OCI simulent des centres de données sur place. Ces régions sont connectées à OCI au moyen de tunnels RPV, représentant des environnements hybrides.
• La troisième région OCI représente l'environnement OCI principal et suit une architecture de réseau en nuage virtuel (VCN) en étoile. Dans cette conception :
  • Le réseau VCN central héberge des services de réseau partagés tels que des pare-feu.
  • Plusieurs réseaux en nuage virtuels satellites se connectent au concentrateur et hébergent diverses charges de travail.

La connectivité entre les deux centres de données sur place simulés est établie à l'aide des connexions d'appairage distant. Toutefois, pour ce tutoriel, la configuration RPV, la configuration RPC et les détails de l'architecture VCN hub-and-spoke sont considérés comme hors de portée et ne seront pas couverts.

• Pour configurer des connexions RPV vers OCI lorsqu'un centre de données est simulé, voir Configurer un RPV site-à-site Oracle Cloud Infrastructure Site-to-Site VPN avec routage statique entre deux régions OCI.

• Pour configurer des connexions d'appairage distant entre des régions OCI, voir Configurer une connexion d'appairage distant entre deux locataires et leurs passerelles de routage dynamique.

• Pour configurer une architecture de réseau VNC pour le centre OCI et le satellite, voir Centre de routage et VCN satellite avec pare-feu pfSense dans le VCN central.

Ce tutoriel se concentre strictement sur la configuration de HYOK à l'aide de Thales CipherTrust Manager déployé dans la région d'Amsterdam (AMS), qui est l'un des centres de données sur place simulés. Toutes les opérations de gestion des clés seront effectuées à partir de cette instance de gestionnaire Thales CipherTrust.

Le gestionnaire de clés externes privé permet à OCI de communiquer en toute sécurité avec le gestionnaire Thales CipherTrust externe et sera déployé dans l'un des réseaux en nuage virtuels satellite de la région OCI principale. Cela garantit un chemin de communication sécurisé et direct entre les services OCI et le gestionnaire de clés externes sans exposer le trafic sur l'Internet public.

Cette architecture prend en charge des postures de sécurité et de conformité strictes pour les charges de travail sensibles dans OCI en isolant la gestion des clés dans une limite de réseau bien définie et sécurisée.

L'image suivante illustre l'architecture complète.

Tâche 2 : Configurer le DNS OCI pour tous les emplacements

Pour assurer une communication appropriée entre OCI, la passerelle d'API et le gestionnaire Thales CipherTrust, vous devez configurer la résolution DNS pour tous les composants pertinents à l'aide de zones DNS privées dans la console OCI.

L'illustration suivante présente les composants et la configuration de cette tâche.

La configuration du DNS OCI pour AMS et ASH a déjà été effectuée dans ce tutoriel, voir Configurer deux boîtiers Thales CipherTrust Cloud Key Manager dans OCI, créer une grappe entre eux et en configurer un en tant qu'autorité de certification. Utilisez le même tutoriel pour configurer le DNS dans le VCN hub de FRA.

• La vue privée du VCN central dans FRA doit se présenter comme suit :

  

Nous disposons de deux options pour activer la résolution DNS à partir du réseau VCN satellite A, configurer une vue privée distincte pour le satellite A ou associer la vue privée du VCN central au satellite A.

Dans cette configuration, nous utiliserons cette dernière approche en associant la vue privée du concentrateur au VCN spoke A.

• Connectez-vous à la console OCI, naviguez jusqu'à Réseaux en nuage virtuels et sélectionnez Parler à un VCN.

  

• Cliquez sur Résolveur DNS.

  

• Faire défiler vers le bas.

  

• Cliquez sur Gérer les vues privées.

  

• Sélectionnez la vue privée Hub VCN et cliquez sur Enregistrer les modifications.

  

• Notez que la vue privée du réseau VCN central est maintenant associée au VCN satellite A. Si vous ne voyez pas la modification, actualisez le navigateur.

  

Une configuration DNS correcte est une base essentielle pour l'authentification TLS mutuelle, l'authentification OAuth et une connectivité fiable entre OCI et le gestionnaire Thales CipherTrust.

Vérifiez l'association de zone DNS et la résolution de nom avant de passer à la configuration de certificat.

Tâche 3 : Créer un certificat pour la passerelle d'API OCI

Pour permettre une communication TLS sécurisée entre OCI et le gestionnaire Thales CipherTrust, la passerelle d'API OCI doit présenter un certificat SSL approuvé. Dans cette configuration, le certificat sera créé en générant d'abord une demande de signature de certificat sur l'CTM1 autorité de certification, puis en le signant à l'aide de cette même autorité de certification.

Une fois le certificat signé, il sera chargé dans OCI et attaché à la passerelle d'API OCI, ce qui lui permettra de servir le trafic chiffré approuvé par vos systèmes internes. L'image suivante illustre les étapes de création du certificat signé pour la passerelle d'API OCI.

Effectuez ces étapes uniquement sur AMS CTM.

• Connectez-vous à la console AMS du gestionnaire Thales CipherTrust, naviguez jusqu'à CA et cliquez sur Générateur CSR.

  

• Entrez les informations suivantes et cliquez sur Générer la demande de signature de certificat et télécharger la clé privée.

  • Sélectionnez CSR générique.
  • Nom commun (CN) : Entrez le nom de domaine complet du gestionnaire Thales CipherTrust. Par exemple oci-api-gw.oci-thales.lab.
    • Nom d'affichage : Entrez un nom. Par exemple, OCI API Gateway.
    • Algorithme : Sélectionnez RSA.
    • Taille : Sélectionnez 2048.
  • SAN (Subject Alternative Name) : Incluez également le nom de domaine complet ici. Par exemple oci-api-gw.oci-thales.lab.

  

• Notez que la clé privée sera automatiquement téléchargée.

  

• Cliquez sur Télécharger la demande de signature de certificat pour télécharger et enregistrer le fichier .csr généré.

  

• Assurez-vous que le CSR et la clé privée sont stockés dans un dossier.

  

• Renommez la CSR et la clé privée.

  

• Naviguez jusqu'à CA, cliquez sur Local et sélectionnez l'autorité de certification.

  

• Cliquez sur Charger la demande de signature de certificat.

  

• Dans Charger une demande de signature de certificat générée à l'externe, entrez les informations suivantes.

  • Nom d'affichage : Entrez le nom de domaine complet de la passerelle d'API OCI. Par exemple oci-api-gw.oci-thales.lab.
  • Copiez le contenu de la demande de signature de certificat générée dans le champ Demande de signature de certificat.
  • Objet du certificat : Sélectionnez Serveur.
  • Cliquez sur Problème de certificat.

  

• Cliquez sur les trois points à la fin de l'entrée de certificat signée, puis cliquez sur Télécharger pour télécharger le certificat signé pour la passerelle d'API OCI.

  

• Assurez-vous que le certificat signé est stocké dans les mêmes dossiers CSR et de clé privée.

  

• Renommez le certificat signé.

  

En plus de signer les certificats de gestionnaire Thales CipherTrust individuels, le certificat racine CA est un élément essentiel de la chaîne de confiance. Ce certificat racine établit le fondement de la confiance pour tous les certificats émis par votre gestionnaire Thales CipherTrust, agissant en tant qu'autorité de certification (AC).

• Naviguez jusqu'à CA et cliquez sur Local. Cliquez sur les trois points à la fin de l'autorité de certification AMS CTM, puis cliquez sur Télécharger pour télécharger le certificat de l'autorité de certification racine de l'autorité de certification AMS CTM.

  

• Stockez le certificat racine téléchargé dans le même dossier.

  

• Renommez le certificat racine.

  

Ce certificat sera ensuite attaché au déploiement de la passerelle d'API OCI, ce qui permettra à OCI de communiquer en toute sécurité avec le gestionnaire Thales CipherTrust sur HTTPS à l'aide d'un certificat émis et approuvé dans votre environnement.

Tâche 4 : Charger le certificat de passerelle d'API OCI signé avec l'ensemble AC

Après avoir généré et signé le certificat de la passerelle d'API OCI à l'aide de l'autorité de certification CTM1, la tâche suivante consiste à charger ce certificat dans OCI à associer au déploiement de la passerelle d'API OCI.

Cela garantit que toute communication avec la passerelle d'API OCI, telle que les demandes du service de gestion des clés externe OCI, se produit au moyen d'une connexion TLS sécurisée et chiffrée à l'aide de votre autorité de certification interne.

Commençons par charger le certificat de l'autorité de certification racine.

• Allez à la console OCI, naviguez jusqu'à Identité et sécurité et cliquez sur Ensembles AC.

  

• Cliquez sur Créer un ensemble AC.

  

• Dans Créer un ensemble AC, entrez les informations suivantes.

  • Entrez un nom. Par exemple, thales-ca.
  • Sélectionner un fichier PEM.

  

• Sélectionnez Certificat de l'autorité de certification racine de l'autorité de certification AMS CTM1 et cliquez sur Ouvrir.

  

• Notez le contenu du certificat de l'autorité de certification racine de l'autorité de certification AMS CTM1 et cliquez sur Créer.

  

• Notez que l'ensemble AC est créé.

  

Chargez maintenant le certificat signé de la passerelle d'API OCI.

• Allez à la console OCI, naviguez jusqu'à Identité et sécurité et cliquez sur Certificats.

  

• Cliquez sur Créer un certificat.

  

• Dans Informations de base, entrez les informations suivantes.

  • Sélectionnez Type de certificat comme Importé.
  • Entrez le nom du certificat. Par exemple, 8-oci-api-gw.oci-thales.lab.
  • Cliquez sur Suivant.

  

• Cliquez sur Suivant.

  

• Cliquez sur Charger un fichier et chargez le fichier de certificat signé de la passerelle d'API OCI.

• Cliquez sur Charger un fichier et chargez le fichier de certificat racine de CTM1 dans AMS.

  

• Cliquez sur Charger un fichier et chargez le fichier de clé privée correspondant de la passerelle d'API OCI signée.

• Cliquez sur Suivant.

  

• Cliquez sur Suivant.

  

• Vérifiez la section Sommaire et cliquez sur Créer un certificat.

  

• Consultez le sommaire et cliquez sur Voir les détails du certificat.

  

• Notez que le certificat est Actif.

  

Note : Si le chargement du certificat échoue, cela peut être dû à l'algorithme utilisé lors de la génération de la demande de signature de certificat. Les certificats utilisant l'algorithme ECDSA n'ont pas été acceptés par OCI. Pour résoudre ce problème, nous avons régénéré la demande de signature de certificat à l'aide de l'algorithme RSA, qui a fonctionné avec succès.

Une fois chargé, ce certificat sera disponible pour être attaché à votre déploiement du service de passerelle d'API, ce qui lui permettra de présenter une identité approuvée aux services OCI tels que le service de gestion des clés externe OCI. Cette tâche est essentielle pour permettre une confiance sécurisée basée sur des certificats entre Oracle et votre gestionnaire de clés externe.

Tâche 5 : Assurez-vous que le point d'extrémité privé est autorisé à communiquer avec la passerelle d'API OCI à partir du pare-feu, de la liste de sécurité ou du groupe de sécurité de réseau

Avant de déployer la passerelle d'API OCI ou de tester l'intégration entre OCI et le gestionnaire Thales CipherTrust, il est essentiel de s'assurer que la connectivité réseau est en place entre le point d'extrémité privé utilisé par le service de gestion des clés externe OCI et la passerelle d'API OCI.

Note :

• Le trafic dans le même sous-réseau n'est pas automatiquement autorisé dans OCI. Même si le point d'extrémité privé et la passerelle d'API OCI résident dans le même sous-réseau, vous devez toujours autoriser explicitement le trafic entre eux dans la liste de sécurité ou le groupe de sécurité de réseau.

• Par exemple, pour autoriser le trafic HTTPS entre les ressources du même sous-réseau, vous devez créer une règle de trafic entrant qui autorise le trafic sur le port TCP 443 à partir du bloc CIDR du sous-réseau.

• Allez à la console OCI, naviguez jusqu'à Réseau et cliquez sur Réseaux en nuage virtuels.

  

• Cliquez sur Spoke A VCN.

  

• Faire défiler vers le bas.

  

• Cliquez sur le sous-réseau privé du VCN spoke A. Il s'agit du VCN où se trouveront le point d'extrémité privé du service de gestion des clés externe OCI et l'adresse IP de la passerelle d'API OCI.

  

• Faire défiler vers le bas.

  

• Cliquez sur la liste de sécurité par défaut associée au sous-réseau.

  

• Cliquez sur Ajouter des règles de trafic entrant.

  

• Pour configurer la règle de trafic entrant 1, entrez les informations suivantes et cliquez sur Ajouter des règles de trafic entrant.

  • Type de source : Sélectionnez CIDR.
  • CIDR source : Entrez 172.16.1.0/24.
  • Protocole IP : Sélectionnez Tous les protocoles.

  

• Notez que la règle de liste de sécurité entrante a été ajoutée à la liste de sécurité.

  

Note : Si une passerelle d'API OCI ne peut pas atteindre le gestionnaire Thales CipherTrust au moyen de son nom de domaine complet lors du déploiement, elle risque de ne pas être active. Par conséquent, garantir un chemin réseau clair et sécurisé entre le point d'extrémité privé et la passerelle d'API OCI est une condition préalable essentielle à une intégration HYOK réussie.

Tâche 6 : Créer une passerelle d'API OCI

Une fois le certificat TLS signé chargé, la tâche suivante consiste à créer une passerelle d'API OCI qui servira de point d'entrée sécurisé pour qu'OCI puisse communiquer avec votre gestionnaire Thales CipherTrust.

Cette passerelle d'API OCI sera configurée ultérieurement pour acheminer les demandes vers la marque communautaire à l'aide de son nom de domaine complet et appliquer une communication sécurisée à l'aide du certificat TLS chargé.

L'illustration suivante présente les composants et la configuration de cette tâche.

• Allez à la console OCI, naviguez jusqu'à Services de développement et cliquez sur Passerelles.

  

• Cliquez sur Créer une passerelle.

  

• Dans Créer une passerelle, entrez les informations suivantes.

  • Entrez un nom. Par exemple API-GW.
  • Type : Sélectionnez Privé.
  • VCN : Sélectionnez le VCN à partir duquel le gestionnaire Thales CipherTrust est accessible.
  • Sous-réseau : Sélectionnez Sous-réseau privé avec accès au gestionnaire Thales CipherTrust.

  

• Sélectionnez le certificat que nous avons chargé précédemment (8-oci-api-gw.oci-thales.lab) et cliquez sur Créer une passerelle.

  

• Notez que la passerelle d'API OCI est créée.

  

Note : Le déploiement du service de passerelle d'API OCI peut échouer s'il ne peut pas atteindre le gestionnaire Thales CipherTrust par rapport à l'URL dorsale configurée. Pour éviter cela, assurez-vous que :

• Le routage est configuré correctement entre le sous-réseau privé de la passerelle d'API OCI et le gestionnaire Thales CipherTrust.
• Les listes de sécurité ou les groupes de sécurité de réseau permettent le trafic HTTPS (port TCP 443) du sous-réseau de passerelle d'API vers la marque communautaire.
• Le nom de domaine complet du gestionnaire Thales CipherTrust se résout correctement au moyen du DNS privé configuré.

Les serveurs dorsaux inaccessibles pendant le déploiement entraîneront l'échec des vérifications d'état, entraînant des erreurs de déploiement ou un état inactif.

Cette passerelle d'API OCI sera ensuite utilisée dans un déploiement pour exposer un point d'extrémité que le service de gestion des clés externe OCI peut appeler. La passerelle agit en tant que mandataire sécurisé et authentifié entre OCI et votre gestionnaire Thales CipherTrust, appliquant le protocole TLS et la validation d'identité.

Tâche 7 : Créer un déploiement d'API avec les détails du nom de domaine complet

Maintenant que la passerelle d'API OCI est créée et que le certificat est en place, la tâche suivante consiste à créer un déploiement d'API. Cela définit spécifiquement le comportement de routage de la passerelle, la façon dont les demandes entrantes du service de gestion des clés externes OCI sont transmises à votre gestionnaire Thales CipherTrust à l'aide de son nom de domaine complet interne.

Le déploiement relie le gestionnaire OCI et Thales CipherTrust, en gérant le routage basé sur un chemin et l'arrêt TLS pour les demandes entrantes.

L'illustration suivante présente les composants et la configuration de cette tâche.

• Allez à la console OCI, naviguez dans Services de développement et cliquez sur Passerelles.

  

• Cliquez sur la passerelle d'API.

  

• Cliquez sur Créer un déploiement.

  

• Dans Créer un déploiement, entrez les informations suivantes.

  • Sélectionnez De A à Z.
  • Entrez un nom. Par exemple API-GW-DEPLOYMENT.
  • Préfixe de chemin : Entrez /api/v1/cckm/oci/ekm/v1.
  • Cliquez sur Suivant.

  

• Authentification : Sélectionnez Aucune authentification.

• Cliquez sur Suivant.

  

• Dans la section Route 1, entrez les informations suivantes et cliquez sur Suivant.

  • Chemin : Entrez /{path*}.
  • Méthodes : Sélectionnez GET, POST.
  • Type de serveur dorsal : Sélectionnez le type de serveur dorsal HTTP et spécifiez l'URL https://**<your-ctm-fqdn>**/api/v1/cckm/oci/ekm/v1/${request.path[path]}.

  

• Cliquez sur Créer.

  

• Notez que le déploiement d'API est créé. Cliquez dessus.

  

• Notez que le déploiement d'API est ACTIVE.

  

Une fois le déploiement actif, la passerelle d'API OCI peut transmettre en toute sécurité les demandes authentifiées d'OCI à votre gestionnaire Thales CipherTrust. La configuration du nom de domaine complet est critique ici. Assurez-vous qu'elle correspond au nom commun (CN) ou au SAN dans le certificat du gestionnaire Thales CipherTrust et qu'elle est résolue correctement au moyen du DNS.

Ce déploiement agira en tant que point d'extrémité de clé que le service de gestion des clés externes OCI appelle pour interagir avec vos clés externes hébergées dans Thales CipherTrust Manager.

Tâche 8 : Créer une application de ressource confidentielle, associer des applications clients confidentielles (intégrations de l'application) et collecter le client et les clés secrètes dans OCI

Pour activer l'intégration HYOK avec Thales CipherTrust Manager, vous devez établir la confiance entre OCI et le gestionnaire de clés externes.

Pour ce faire, enregistrez deux composants clés dans OCI Identity and Access Management (OCI IAM) : une application de ressources confidentielles et une application client confidentielle. Ces éléments sont essentiels pour authentifier et autoriser la communication entre OCI et le gestionnaire Thales CipherTrust.

Cette configuration permet au gestionnaire Thales CipherTrust de s'authentifier avec OCI IAM au moyen de OAuth 2.0. Le client confidentiel agit au nom du gestionnaire de clés externes, tandis que la ressource confidentielle définit la portée de la configuration d'accès et de confiance. OCI ne peut pas valider ou communiquer en toute sécurité avec la source de clé externe sans ces composants.

L'image suivante illustre les composants et la configuration de cette étape.

• Connectez-vous à la console OCI, naviguez jusqu'à Identity & Security et cliquez sur Domains.

  

• Cliquez sur le domaine à utiliser pour l'authentification.

  

• Cliquez sur Applications intégrées et sur Ajouter une application.

  

• Sélectionnez Application confidentielle et cliquez sur Lancer le flux de travail.

  

• Entrez le nom de l'application (Resource_App) et cliquez sur Suivant.

  

• Dans la section Configuration du serveur de ressources, entrez les informations suivantes.

  • Sélectionnez Configurer cette application comme serveur de ressources maintenant.
  • Dans Public principal, entrez https://172.16.1.103/ (adresse IP de la passerelle d'API).

  

• Dans Ajouter une portée, entrez les informations suivantes.

  • Sélectionnez Ajouter des portées.
  • Cliquez sur Ajouter.
  • Dans Portée, entrez oci_ekms.
  • Cliquez sur Ajouter.

  

• Notez la portée ajoutée oci_ekms et faites défiler vers le bas.

  

• Dans la section Configuration du client, entrez les informations suivantes.

  • Sélectionnez Configurer cette application comme client maintenant.
  • Sélectionnez Données d'identification du client.
  • Cliquez sur Suivant.

  

• Cliquez sur Ignorer et faire plus tard pour ignorer la création de la politique de niveau Web et cliquez sur Terminer.

  

• Allez à la page Applications intégrées.

  • Notez que l'application d'intégration Resource_App est créée.
  • Sélectionnez l'application d'intégration Resource_App.
  • Cliquez sur le menu déroulant Actions.
  • Cliquez sur Activer.

  

• Cliquez sur Activer l'application.

  

• Cliquez sur l'application d'intégration Resource_App.

  

• Faire défiler vers le bas.

  

• Copiez l'ID client, puis stockez-le dans un bloc-notes. Cliquez sur Afficher la clé secrète client pour afficher la clé secrète client.

  

• Cliquez sur Copier pour copier la clé secrète client et stockez-la dans un bloc-notes. Cliquez sur Fermer.

  

• Cliquez sur Ajouter une application.

  

• Sélectionnez Application confidentielle et cliquez sur Lancer le flux de travail.

  

• Entrez le nom de l'application (Client_App) et cliquez sur Suivant.

  

• Dans Configuration du serveur de ressources, sélectionnez Ignorer pour plus tard.

• Dans Configuration du client, entrez les informations suivantes.

  • Sélectionnez Configurer cette application comme client maintenant.
  • Sélectionnez Données d'identification du client.
  • Faire défiler vers le bas.

  

• Dans Ajouter une portée, entrez les informations suivantes.

  • Sélectionnez Ajouter des ressources.
  • Sélectionnez Ajouter des portées.
  • Dans Portée, entrez Resource_App.
  • Cliquez sur Ajouter.

  

• Notez la ressource ajoutée Resource_App et cliquez sur Suivant.

  

• Cliquez sur Ignorer et faire plus tard pour ignorer la création de la politique de niveau Web et cliquez sur Terminer.

  

• Allez à la page Applications intégrées.

  • Notez que l'application d'intégration Client_App est créée.
  • Sélectionnez l'application d'intégration Client_App.
  • Cliquez sur le menu déroulant Actions.
  • Cliquez sur Activer.

  

• Cliquez sur Activer l'application.

  

• Cliquez sur l'application d'intégration Client_App.

  

• Faire défiler vers le bas.

  

• Copiez l'ID client, puis stockez-le dans un bloc-notes. Cliquez sur Afficher la clé secrète client pour afficher la clé secrète client.

  

• Cliquez sur Copier pour copier la clé secrète client et stockez-la dans un bloc-notes. Cliquez sur Fermer.

  

Note :

• Vous avez collecté les ID client Resource_App et Client_App et les clés secrètes de client.
• Ne les mélangez pas et configurez-les aux endroits appropriés.

Tâche 9 : Collecter l'URL du domaine d'identité à partir d'OCI

Pour activer la communication basée sur OAuth entre OCI et le gestionnaire Thales CipherTrust, vous devez fournir l'URL du domaine d'identité lors de la configuration du fournisseur d'identités dans le gestionnaire Thales CipherTrust.

• Allez à la console OCI, naviguez jusqu'à Identité et sécurité et cliquez sur Domaines.

  

• Sélectionnez le domaine d'identité où vos applications confidentielles ont été créées.

  

• Dans la page des détails du domaine, cliquez sur Copier pour copier l'URL du domaine et stocker celle-ci dans un bloc-notes.

  

Tâche 10 : Créer des fournisseurs d'identités dans Thales CipherTrust Manager

Dans cette tâche, vous allez configurer le fournisseur d'identités dans le gestionnaire Thales CipherTrust. Cette configuration permet au gestionnaire Thales CipherTrust de s'authentifier auprès d'OCI à l'aide des données d'identification OAuth 2.0 créées dans la tâche 3.

L'illustration suivante présente les composants et la configuration de cette tâche.

• Dans Thales CipherTrust Manager, allez à CTM1 dans AMS et cliquez sur Produits et Gestionnaire de clés en nuage.

  

• Cliquez sur Conteneurs KMS, Chambres fortes Oracle, sélectionnez Chambres fortes externes et cliquez sur Ajouter un fournisseur d'identités.

  

• Dans Ajouter un fournisseur d'identités, entrez les informations suivantes et cliquez sur Ajouter.

  • Entrez le nom (OCI).
  • Sélectionnez URL de configuration OpenID comme vérificateur du fournisseur.
  • Entrez l'URL de configuration OpenID, l'URL du domaine copiée dans la tâche 3.
    • Ajoutez le suffixe suivant à l'URL : .well-known/openid-configuration. Ainsi, l'URL de configuration complète OpenID sera : https://idcs-<xxx>.identity.oraclecloud.com:443/.well-known/openid-configuration.
  • Sélectionnez URL protégée par JWK.
  • Entrez l'ID client et la clé secrète client de l'application intégrée Resource_App.

  

• Notez que le fournisseur d'identités est créé.

  

Tâche 11 : Ajouter des locations OCI dans le gestionnaire Thales CipherTrust

Après avoir configuré le fournisseur d'identités dans le gestionnaire Thales CipherTrust, la tâche suivante consiste à enregistrer votre location OCI. Cela permet au gestionnaire Thales CipherTrust de gérer les chambres fortes et les clés externes au nom de votre environnement OCI à l'aide des données d'identification OAuth configurées précédemment.

L'illustration suivante présente les composants et la configuration de cette tâche.

• Tout d'abord, nous devons obtenir le nom et l'OCID du locataire à partir d'OCI. Cliquez sur votre profil dans le coin supérieur droit et cliquez sur Location.

  

• Copiez le nom du locataire et son OCID et stockez-les dans un bloc-notes.

  

• Accédez à la console Thales Cloud Key Manager.

  • Cliquez sur Conteneurs KMS.
  • Cliquez sur Chambres fortes Oracle.
  • Cliquez sur Location.
  • Cliquez sur Ajouter une location.

  

• Dans Ajouter une location, entrez les informations suivantes.

  • Sélectionnez Location Oracle (aucune connexion) comme méthode.
  • Entrez le nom de la location collectée à partir d'OCI.
  • Entrez l'OCID de la location collecté à partir d'OCI.
  • Cliquez sur Ajouter.

  

• Notez que le locataire OCI est ajouté au gestionnaire Thales CipherTrust.

  

Tâche 12 : Créer un point d'extrémité privé pour le service de gestionnaire de clés externes dans OCI

Pour connecter OCI au gestionnaire Thales CipherTrust en toute sécurité sans exposer le trafic à l'Internet public, vous devez créer un point d'extrémité privé pour le service de gestion des clés externes OCI.

Cela garantit que toutes les communications entre le gestionnaire OCI et Thales CipherTrust se font par un chemin de réseau privé et contrôlé.

Assurez-vous que les préalables suivants sont satisfaits :

• Le gestionnaire Thales CipherTrust doit être accessible à partir d'OCI au moyen de votre configuration de réseau privé. Par exemple, via VPN.
• Assurez-vous que le sous-réseau comporte des règles de routage et de sécurité permettant le trafic vers l'instance de gestionnaire Thales CipherTrust.

L'illustration suivante présente les composants et la configuration de cette tâche.

• Dans la console OCI, naviguez jusqu'à Identité et sécurité et cliquez sur Points d'extrémité privés.

  

• Allez à Points d'extrémité privés et cliquez sur Créer un point d'extrémité privé.

  

• Dans Créer un point d'extrémité privé, entrez les informations suivantes.

  • Entrez le nom du point d'extrémité privé (Private-Endpoint-For-Vault).
  • Sélectionnez un VCN et un sous-réseau dans lesquels ce point d'extrémité privé doit se trouver.
  • Entrez Adresse IP privée du gestionnaire de clés externes comme 172.16.1.103 Adresse IP de la passerelle d'API.
  • Entrez 443Port.
  • Chargez l'ensemble AC de gestion des clés externes et cliquez sur Parcourir.

  

• Nous avons sélectionné le certificat de chaîne complète créé dans ce tutoriel : Configurer deux boîtiers Thales CipherTrust Cloud Key Manager dans OCI, créer une grappe entre eux et en configurer un en tant qu'autorité de certification, mais vous ne pouvez également sélectionner que le certificat racine de l'autorité de certification. Cliquez sur Ouvrir.

  

• Assurez-vous que le certificat, l'autorité de certification racine ou les certificats de chaîne complète du gestionnaire Thales CipherTrust sont sélectionnés. Cliquez sur Créer.

  

• Notez que le point d'extrémité privé est créé. Maintenant, cliquez sur le point d'extrémité privé.

  

• Notez que l'adresse IP du point d'extrémité privé est configurée.

  

Tâche 13 : Ajouter des chambres fortes externes dans Thales CipherTrust Manager

Une fois la location OCI et le point d'extrémité privé en place, la tâche suivante consiste à ajouter une chambre forte externe dans le gestionnaire Thales CipherTrust. Une chambre forte externe dans Thales CipherTrust Manager est un conteneur logique qui est mappé à la chambre forte de gestion des clés externes dans OCI, ce qui permet au gestionnaire Thales CipherTrust de gérer les clés utilisées pour le chiffrement HYOK.

L'illustration suivante présente les composants et la configuration de cette tâche.

• Accédez à la console Thales Cloud Key Manager.

  • Cliquez sur Conteneurs KMS.
  • Cliquez sur Chambres fortes Oracle.
  • Sélectionnez Chambres fortes externes.
  • Cliquez sur Ajouter une chambre forte externe.

  

• Dans Ajouter une chambre forte externe, entrez les informations suivantes.

  • Entrez le nom (OCI).
  • Sélectionnez Location Oracle (aucune connexion) comme Méthodes.
  • Sélectionnez la location créée dans la tâche 5.
  • Sélectionnez l'émetteur, le fournisseur d'identités créé dans la tâche 4.
  • Faire défiler vers le bas.

  

  • Entrez l'ID client de l'application intégrée Client_App.
  • Entrez Endpoint URL Hostname comme 172.16.1.103, l'adresse IP de la passerelle d'API.
  • Entrez 443Port.
  • Cliquez sur Ajouter.

  

• Notez que la chambre forte externe est configurée. Copiez l'URL de la chambre forte externe et stockez-la dans un bloc-notes.

  

Une fois configurée, cette chambre forte devient l'emplacement cible pour le stockage des clés externes auxquelles les services OCI feront référence. Il relie votre environnement OCI et les clés gérées par CipherTrust, ce qui permet un contrôle complet des opérations de chiffrement dans un modèle HYOK.

Tâche 14 : Créer une chambre forte du service de gestion des clés externes OCI

Maintenant que la chambre forte externe a été définie dans le gestionnaire Thales CipherTrust, la tâche suivante consiste à créer une chambre forte de gestion des clés externes correspondante dans la console OCI.

Cette chambre forte OCI sera liée à votre gestionnaire Thales CipherTrust et utilisée par les services OCI pour effectuer des opérations de chiffrement et de déchiffrement à l'aide de clés externes.

L'illustration suivante présente les composants et la configuration de cette tâche.

• Extrayez l'URL de domaine de la tâche 9. Vous en aurez besoin pour configurer la chambre forte de clés externes dans OCI.

  

• Dans la console OCI, allez à Identité et sécurité et cliquez sur Gestion des clés externes.

  

• Cliquez sur Créer une chambre forte.

  

• Dans Créer une chambre forte, entrez les informations suivantes.

  • Entrez le nom (OCI_EKMS_Vault).
  • Entrez l'URL du nom du compte IDCS, l'URL du domaine copiée à partir de la tâche 7. L'URL complète sera donc : https://idcs-<xxx>.identity.oraclecloud.com:443/.
  • Entrez l'ID client et la clé secrète de l'application client de l'application intégrée Client_App.
  • Faire défiler vers le bas.

  

  • Sélectionnez le point d'extrémité privé créé dans la tâche 6.
  • Entrez l'URL de la chambre forte externe copiée à partir de la tâche 7 lors de la création de la chambre forte externe sur CTM1.
  • Cliquez sur Créer une chambre forte.

  

• Notez que la chambre forte a été créée. Maintenant, cliquez sur le coffre-fort.

  

• Consultez les détails de la chambre forte.

  

OCI va maintenant se connecter à votre gestionnaire Thales CipherTrust à l'aide du point d'extrémité privé spécifié. Une fois cette chambre forte active, elle devient l'interface au moyen de laquelle OCI interagit avec les clés externes gérées par CCKM, ce qui permet la prise en charge de HYOK pour les services OCI tels que le stockage d'objets OCI, les volumes par blocs OCI, etc. Par la suite, nous effectuerons certains tests avec le service de stockage d'objets pour OCI.

Tâche 15 : Ajouter des clés externes dans Thales CipherTrust Manager

Avec la chambre forte externe configurée dans le gestionnaire Thales CipherTrust et liée à OCI, la tâche suivante consiste à créer ou à importer les clés de chiffrement externes qu'OCI utilisera pour les services activés pour HYOK.

Ces clés résident en toute sécurité dans le gestionnaire Thales CipherTrust et sont référencées par OCI au moyen de l'interface de gestion des clés externes. Selon vos besoins organisationnels, vous pouvez générer une nouvelle clé directement dans Thales CipherTrust Manager ou importer une clé existante.

L'illustration suivante présente les composants et la configuration de cette tâche.

• Accédez à la console Thales Cloud Key Manager.

  • Cliquez sur Clés en nuage.
  • Cliquez sur Oracle.
  • Cliquez sur Ajouter une clé.

  

• Dans Ajouter une clé Oracle, entrez les informations suivantes.

  • Sélectionnez Externe Oracle (HYOK).
  • Sélectionnez la chambre forte du gestionnaire Thales CipherTrust créée dans la tâche 8.
  • Sélectionnez la source CipherTrust (locale).
  • Cliquez sur Suivant.

  

• Dans Clé source, entrez les informations suivantes.

  • Sélectionnez le matériel de clé source à créer une nouvelle clé.
  • Entrez le nom de la clé (CM_Key).
  • Cliquez sur Suivant.

  

• Dans Configurer la clé Oracle, entrez les informations suivantes.

  • Entrez le nom de la clé Oracle (CM_Key).
  • Cliquez sur Suivant.

  

• Cliquez sur Ajouter une clé.

  

• Cliquez sur Fermer.

  

• Notez la clé créée.

  

Une fois ajoutée, la clé devient disponible pour OCI au moyen de la chambre forte de gestion des clés externe. Toutefois, pour permettre aux services OCI d'utiliser la clé, vous devez créer une référence de clé dans la console OCI, que nous aborderons dans la tâche suivante.

Note :

• Ces clés ne quittent jamais le gestionnaire Thales CipherTrust.
• OCI envoie uniquement des demandes de chiffrement/décryptage au gestionnaire de clés externes, ce qui vous assure de toujours garder le contrôle total sur le matériel de clés.

Tâche 16 : Créer des références de clé dans OCI

Une fois la clé externe créée ou importée dans le gestionnaire Thales CipherTrust, la tâche suivante consiste à créer une référence de clé dans la console OCI. Une référence de clé agit comme un pointeur qui permet aux services OCI d'accéder à la clé externe stockée dans votre gestionnaire Thales CipherTrust et de l'utiliser au moyen de la chambre forte de gestion des clés externes.

L'illustration suivante présente les composants et la configuration de cette tâche.

• Accédez à la console Thales Cloud Key Manager.

  • Cliquez sur Clés en nuage.
  • Cliquez sur Oracle.
  • Cliquez sur Clé créée dans la tâche 15.

  

• Notez que la clé aura un ID clé externe, copiez cet ID.

  

• Retournez à la chambre forte dans OCI créée dans la tâche 9 et cliquez sur la chambre forte.

  

• Faire défiler vers le bas.

  

• Cliquez sur Créer une référence de clé.

  

• Dans Créer une référence de clé, entrez les informations suivantes.

  • Entrez le nom (OCI_Key_Reference).
  • Entrez la clé External Key ID (ID clé externe) (Gestionnaire Thales CipherTrust) copiée.
  • Cliquez sur Créer une référence de clé.

  

• Notez que la référence de clé a été créée.

  

OCI va maintenant associer cette référence de clé à la clé externe gérée dans Thales CipherTrust Manager. Cela permet aux services OCI tels que OCI Object Storage, OCI Block Volumes et autres d'envoyer des demandes cryptographiques à la clé externe au moyen du point d'extrémité privé. En revanche, le matériau clé lui-même reste entièrement sous votre contrôle.

Nous testerons immédiatement la référence de clé en l'associant à un seau de stockage d'objets OCI pour vérifier que l'intégration fonctionne comme prévu.

Tâche 17 : Créer un seau de stockage d'objets OCI avec des clés gérées par le client

Vous pouvez chiffrer les ressources à l'aide de la clé externe référencée dans OCI. Dans cette tâche, nous allons créer un seau de stockage d'objets OCI qui utilise la clé externe gérée par le client hébergée dans le gestionnaire Thales CipherTrust au moyen de la chambre forte de gestion des clés externes.

Cette configuration garantit que tous les objets stockés dans le compartiment sont chiffrés à l'aide d'une clé que vous contrôlez entièrement, respectant des exigences strictes en matière de conformité, de souveraineté ou de politique interne.

L'illustration suivante présente les composants et la configuration de cette tâche.

• Allez à la console OCI, naviguez jusqu'à Stockage et cliquez sur Seaux.

  

• Cliquez sur Créer un seau.

  

• Dans Créer un seau, entrez les informations suivantes.

  • Entrez le nom (OCI_EKMS_Test_Bucket).
  • Faire défiler vers le bas.

  

  • Dans Chiffrement, sélectionnez Chiffrer à l'aide des clés gérées par le client.
  • Dans le service Chambre forte, sélectionnez votre chambre forte de gestion des clés externes créée dans la tâche 8.
  • Dans Clé, sélectionnez la référence de clé créée dans la tâche 16.
  • Cliquez sur Créer.

  

• Notez que le seau est créé. Cliquez sur le seau.

  

• Vous pouvez faire défiler vers le bas pour charger des fichiers ou les laisser vides.

  

• Naviguez jusqu'à l'écran d'accueil de la console OCI ou de toute autre page.

  

Une fois le seau créé, toutes les données qu'il contient seront chiffrées à l'aide de la clé externe gérée par Thales CipherTrust Manager. OCI s'appuie ainsi sur votre infrastructure de clés pour l'accès et le contrôle, ce qui permet des capacités complètes de blocage de votre propre clé (HYOK).

Supposons que la clé externe devienne indisponible (par exemple, désactivée ou bloquée dans Thales CipherTrust Manager). Dans ce cas, l'accès au seau et à son contenu sera refusé, offrant un point de contrôle puissant pour votre sécurité des données. C'est quelque chose que nous allons tester dans la prochaine tâche.

Tâche 18 : Bloquer et débloquer les clés Oracle et tester l'accessibilité du seau de stockage d'objets OCI dans Thales CipherTrust Manager et OCI

L'un des principaux avantages du modèle Hold Your Own Key (HYOK) est la possibilité de conserver un contrôle opérationnel complet de vos clés de chiffrement, y compris la possibilité de les bloquer ou de les débloquer à tout moment. Cette section explique comment utiliser Thales CipherTrust Manager pour contrôler l'accès à un seau de stockage d'objets géré par Oracle en bloquant ou en débloquant la clé externe.

Le blocage d'une clé restreint effectivement l'accès à toute ressource OCI chiffrée avec cette clé sans supprimer la clé ou les données. Le déblocage restaure l'accès.

• Accédez à la console Thales Cloud Key Manager.

  • Cliquez sur Clés en nuage.
  • Cliquez sur Oracle.
  • Cliquez sur les trois points à la fin de la clé.
  • Sélectionnez Bloquer.

  

• Sélectionnez Bloquer.

  

• Notez que la clé est maintenant bloquée dans le gestionnaire Thales CipherTrust.

  

• Allez à la console OCI, naviguez jusqu'à Stockage et cliquez sur Seaux.

  

• Cliquez sur le seau créé dans la tâche 17.

  

• Notez qu'une erreur s'affiche et que vous ne pouvez pas accéder au seau ni à aucun fichier chargé dans le seau.

  

Maintenant, débloquons à nouveau la clé dans Thales CipherTrust Manager.

Le diagramme ci-dessous illustre les composants et la configuration de cette tâche.

• Accédez à la console Thales Cloud Key Manager.

  • Cliquez sur Clés en nuage.
  • Cliquez sur Oracle.
  • Cliquez sur les trois points à la fin de la clé.
  • Sélectionnez Débloquer.

  

• Sélectionnez Débloquer.

  

• Notez que la clé est maintenant débloquée dans le gestionnaire Thales CipherTrust.

  

• Revenez à la page Détails du seau ou actualisez le navigateur si vous êtes toujours sur cette page.

  

• Notez que vous ne pouvez pas accéder de nouveau au seau de stockage d'objets OCI lorsqu'il est débloqué.

  

Cette fonction fournit un mécanisme puissant pour les interventions d'urgence, la conformité réglementaire et l'application de la souveraineté des données, vous assurant ainsi un contrôle total sur le moment et la façon dont vos données sont accessibles dans OCI.

Étapes suivantes

En suivant ce tutoriel, vous avez configuré avec succès la solution OCI Hold Your Own Key à l'aide du gestionnaire Thales CipherTrust avec l'option d'intégration de la passerelle d'API OCI.

Vous avez :

• Concevoir et valider l'architecture réseau de soutien.
• Déployé et configuré la passerelle d'API OCI avec des paramètres DNS et TLS sécurisés.
• Établissement d'une confiance mutuelle entre le gestionnaire OCI et Thales CipherTrust à l'aide d'applications confidentielles et de fournisseurs d'identités.
• Integrated Thales CipherTrust Manager-managed external keys with OCI Vault and tested access control through key blocking and unblocking.

L'utilisation d'une passerelle d'API OCI dans cette configuration fournit un point d'intégration sécurisé et évolutif qui applique l'authentification, améliore l'observabilité et masque votre gestionnaire de clés derrière une interface contrôlée assurant la conformité, le contrôle et la flexibilité.

Cette architecture positionne votre organisation pour qu'elle réponde à des exigences rigoureuses en matière de souveraineté, de conformité et de réglementation des données en s'assurant que les clés de chiffrement ne sont jamais stockées ou gérées dans OCI, mais toujours disponibles pour des opérations sécurisées au besoin.

Vous êtes maintenant équipé d'un modèle de production pour activer la gestion des clés externes dans OCI avec une propriété, une visibilité et un contrôle complets sur vos ressources cryptographiques.

Liens connexes

• Création d'une zone DNS privée

• Création d'une vue privée

• Ajout d'un enregistrement à une zone DNS

• Création de l'application de gestion des ressources confidentielles

• Association de l'application client confidentielle

• Obtention des détails d'un domaine d'identité

• Importation d'un certificat

• Création d'un ensemble AC

• Création d'une demande de signature de certificat dans la console

• Signature d'une demande de certificat avec une autorité de certification locale

• Création d'une passerelle d'API

• Créer un réseau VCN à utiliser avec la passerelle d'API, s'il n'en existe pas déjà

Remerciements

• Auteur - Iwan Hoogendoorn (Ceinture noire pour le réseau en nuage)

Ressources d'apprentissage supplémentaires

Explorez d'autres laboratoires sur le site docs.oracle.com/learn ou accédez à plus de contenu d'apprentissage gratuit sur le canal Oracle Learning YouTube. De plus, visitez education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour obtenir la documentation sur le produit, visitez Oracle Help Center.

---

Informations sur le titre et les droits d'auteur

Set up an OCI Hold Your Own Key using Thales CipherTrust Manager with OCI API Gateway

G38187-03

Copyright ©2025, Oracle and/or its affiliates.