Documentation Oracle Cloud Infrastructure

Cryptage de volume de blocs

Le service Block Volume crypte toujours l'ensemble des volumes de blocs, des volumes d'initialisation et des sauvegardes d'un volume au repos à l'aide de l'algorithme AES (Advanced Encryption Standard) avec le cryptage 256 bits. Par défaut, tous les volumes et leurs sauvegardes sont cryptés à l'aide des clés de cryptage fournies par Oracle. Chaque fois qu'un volume est cloné ou restauré à partir d'une sauvegarde, une nouvelle clé de cryptage unique lui est affectée.

Important

Le service Block Volume ne prend pas en charge les volumes de chiffrement avec les clés cryptées à l'aide de l'algorithme RSA (Rivest-Shamir-Adleman). Lorsque vous utilisez vos propres clés, vous devez utiliser des clés cryptées à l'aide de l'algorithme AES (Advanced Encryption Standard). Cela s'applique aux volumes de blocs et d'initialisation.

Block Volume utilise le cryptage d'enveloppe pour crypter les données. Avec le cryptage d'enveloppe, les données sont cryptées à l'aide d'une clé d'encodage de données générée unique, puis la clé d'encryptage de données est cryptée à l'aide de la clé gérée par le client. La clé de cryptage de données est unique pour chaque volume.

Par défaut, les clés de cryptage fournies par le service Oracle sont utilisées pour le cryptage. Vous pouvez remplacer ou indiquer des clés gérées par le client stockées dans le service Vault. Block Volume utilise la clé de cryptage configurée pour le volume dans le cadre du cryptage au repos et en transit.

Si vous n'indiquez pas de clé gérée par le client ou si vous annulez ultérieurement l'affectation d'une clé au volume, le service Block Volume utilise la clé de cryptage fournie par Oracle à la place. Ceci s'applique au cryptage au repos et à la cryptage en transit paravirtualisé.

Afin d'utiliser votre propre clé pour les nouveaux volumes, reportez-vous à Création d'un volume de blocs. Pour modifier des clés, reportez-vous à Modification de la clé de cryptage maître affectée et à Modification d'une clé dans un volume de blocs.

Aucune option n'existe pour les volumes non chiffrés au repos. Le cryptage au repos n'a aucune incidence sur les performances du volume et n'entraîne aucun coût supplémentaires. Block Volume offre également un cryptage en transit. Le cryptage en transit des volumes de blocs attachés à des machines virtuelles est facultatif. Vous pouvez l'activer ou le désactiver selon vos besoins pour ces volumes. Le cryptage en transit pour les instances Bare Metal est pris en charge et activé. Vous ne pouvez pas le désactiver pour les formes suivantes :

  • BM.Standard.E3.128

  • BM.Standard.E4.128

  • BM.DenseIO.E4.128

Pour vérifier la prise en charge d'autres images personnalisées basées sur Linux et obtenir plus d'informations, contactez le support technique Oracle.

Clés fournies par Oracle

Une clé fournie par Oracle est le modèle de cryptage par défaut, qui utilise des clés gérées en interne par Oracle. Aucune action n'est nécessaire pour utiliser ces clés. Si vous ne spécifiez pas de clé gérée par le client, vos ressources Block Volume sont cryptées à l'aide de clés gérées par Oracle. Le service effectue une rotation régulière des clés.

Clés gérées par le client

Vous pouvez utiliser des clés gérées par le client, qui sont vos propres clés stockées auprès du service Vault. Vous pouvez importer des clés externes vers le service Vault ou utiliser le service pour générer de nouvelles clés. L'utilisation de clés gérées par un client pour crypter des données n'entraîne aucun coût ou aucune incidence supplémentaire sur les performances. Pour plus d'informations, reportez-vous à Gestion des clés de cryptage Vault pour le volume de blocs.

Cryptage personnalisé

Vous pouvez choisir d'effectuer votre propre chiffrement personnalisé au niveau du système d'exploitation à l'aide de logiciels tiers tels que devicemapper crypt (dm-crypt), BitLocker Drive Encryption, etc. Ce cryptage s'ajoute au cryptage standard fourni par Oracle pour les volumes. Cela signifie que les volumes sont doublement cryptés : d'abord par le logiciel au niveau du système d'exploitation, puis par Oracle à l'aide des clés gérées par Oracle.

L'utilisation d'un mode de cryptage personnalisé n'entraîne aucun coût additionnel, mais vous pourriez constater une dégradation des performances globales du volume. Ce cryptage utilise des cycles d'UC d'hôte et les performances du volume dépendent de la forme réelle de l'instance Compute.

Cryptage en transit

Important

  • Le cryptage en transit des volumes d'initialisation et des volumes de blocs est disponible uniquement pour les instances Bare Metal qui utilisent les formes suivantes : BM.Standard.E3.128, BM.Standard.E4.128, BM.DenseIO.E4.128, BM. Il n'est pas pris en charge sur les autres instances Bare Metal. Pour confirmer la prise en charge de certaines images personnalisées basées sur Linux et pour plus d'informations, contactez le support technique Oracle.

  • Pour les instances Bare Metal qui prennent en charge le cryptage en transit, y compris les instances lancées à partir d'images personnalisées, le cryptage en transit est toujours activé par défaut. Cela s'applique aux volumes de blocs et aux volumes d'initialisation. Les formes Bare Metal suivantes prennent en charge les volumes d'initialisation de l'instance et les volumes de blocs attachés iSCSI en transit :

    • BM.Standard.E3.128
    • BM.Standard.E4.128
    • BM.DenseIO.E4.128

Toutes les données déplacées entre l'instance et le volume de blocs sont transférées via un réseau interne hautement sécurisé. Si vous avez des exigences en matière de conformité spécifiques liées au cryptage des données transitant entre l'instance et le volume de blocs, le service Block Volume fournit une option d'activation du cryptage en transit pour les attachements d'un volume paravirtualisé sur les instances de machine virtuelle.

Le cryptage en transit des instances bare metal n'est pas pris en charge pour les régions US Government Cloud.

Le cryptage en transport n'est pas activé pour ces formes dans les cas suivants :

  • Volumes d'initialisation des instances lancées le 8 juin 2021 ou à une date antérieure
  • Volumes attachés à l'instance le 8 juin 2021 ou à une date antérieure

Afin d'activer le cryptage en transit pour les volumes dans ces cas, vous devez détacher le volume de l'instance, puis le réattacher.

Accès croisé aux clés d'un compartiment de sécurité

La référence CIS Oracle Cloud Infrastructure Foundations recommande de créer un coffre pour vos clés gérées par le client dans un compartiment distinct et de limiter l'accès à ce dernier. Le schéma suivant montre comment organiser cela.

Schéma d'architecture montrant les clés gérées par le client stockées dans un compartiment distinct à accès restreint

Les stratégies suivantes sont requises afin d'utiliser les clés dans un compartiment de sécurité distinct à accès restreint pour le cryptage des volumes d'initialisation, des volumes de blocs et des ressources associées.

Allow service blockstorage to use keys in compartment security-compartment where target.key.id = <key_ID>
Allow group projx-admin-group to use key-delegate in compartment security-compartment where target.key.id = <key_ID>