Service de gestion de clés externe
Présentation de la fonctionnalité KMS externe avec son cas d'emploi et ses avantages.
Le service de gestion des clés OCI (KMS) utilise un module de sécurité matérielle hébergé dans le centre de données Oracle pour stocker et gérer les clés principales afin de crypter les données inactives. Pour améliorer la sécurité des données et pour les clients qui disposent d'une conformité réglementaire pour stocker des clés en dehors du cloud Oracle ou de tout site cloud tiers, OCI KMS offre désormais une fonctionnalité appelée External Key Management Service (External KMS).
Dans le KMS externe, vous pouvez stocker et contrôler les clés de cryptage maître (en tant que clés externes) sur un système de gestion des clés tiers hébergé en dehors d'OCI. Vous pouvez ensuite les utiliser pour crypter vos données dans Oracle. Vous pouvez également désactiver vos clés à tout moment. Les clés réelles résidant dans le système tiers de gestion des clés vous permettent de créer uniquement des références de clé (associées aux informations de clé) dans OCI.
Remarque
Dans le KMS externe OCI, Thales est notre premier fournisseur tiers de gestion des clés externes. Dans toute la documentation, nous faisons référence à Thales CipherTrust Manager (CM) en tant que gestionnaire de clés externes.
Dans le KMS externe OCI, Thales est notre premier fournisseur tiers de gestion des clés externes. Dans toute la documentation, nous faisons référence à Thales CipherTrust Manager (CM) en tant que gestionnaire de clés externes.
Avantages
Voici les avantages de l'offre KMS externe dans le service OCI KMS.
- Provenance de clé : vous pouvez gérer l'utilisation des clés créées en externe. Les clés externes ne sont jamais mises en mémoire cache ni stockées dans Oracle, et KMS n'a aucun contrôle sur ces clés. Au lieu de cela, OCI KMS interagit directement avec le système de gestion des clés tiers pour les opérations cryptographiques (chiffrement/déchiffrement).
- Sécurité améliorée - Protège les données inactives avec une sécurité maximale à l'aide d'un système de gestion des clés tiers. Offre un haut niveau de sécurité pour le stockage des clés en dehors du cloud Oracle.
- Gestion centralisée des clés - Vous pouvez gérer vos clés dans un système de gestion des clés tiers. Vous bénéficiez ainsi d'un meilleur contrôle sur les clés de cryptage qui protègent vos données dans le cloud Oracle.
Cas d'emploi
Vous trouverez ci-dessous les cas d'emploi dans lesquels vous pouvez implémenter la fonctionnalité KMS externe.
- Les banques et les secteurs publics qui respectent les réglementations locales préfèrent stocker les clés de cryptage sur site, physiquement séparées de leurs données dans Oracle Cloud.
- Client du secteur bancaire ayant une conformité en matière de sécurité pour effectuer des opérations cryptographiques en dehors d'Oracle et dans son module HSM sur site, pour une sécurité exclusive auprès du fournisseur de cloud lors de l'accès aux clés.
- Les clients qui choisissent un déploiement multicloud ont besoin de bases de données dans OCI pour se connecter à des services de cryptage sur un autre fournisseur cloud. La fonctionnalité de KMS externe est un facteur clé du succès de la stratégie multicloud d'OCI.
Terminologie
Familiarisez-vous avec les terminologies suivantes pour comprendre la fonctionnalité KMS externe :
| Terminologie | Description |
|---|---|
| Gestionnaire de clés externes | HSM détenu et hébergé par le client. |
| Espace de fichiers externe | Coffre créé dans le système tiers de gestion des clés pour le stockage des clés externes. |
| Clé externe | Clés créées dans le système tiers de gestion des clés qui contient une ou plusieurs versions de clé externe. |
| Versions de clé externes | Une version de clé est automatiquement affectée à chaque clé externe. Lorsque vous modifiez une clé externe, le gestionnaire de clés externe génère une nouvelle version de clé. |
| Système tiers de gestion des clés | HSM détenu et hébergé par le client. |
| Connexion rapide | FastConnect permet de créer une connexion privée entre le client sur site et Oracle Cloud Infrastructure. |
| Adresse privée (PE) | Une adresse privée est une adresse IP privée du VCN du client que l'on peut utiliser pour accéder à un service donné dans Oracle Cloud Infrastructure. |
| Clé de cryptage de données (DEK) | Clé de cryptage dont la fonction consiste à crypter et à décrypter les données. |
| Thales CipherTrust Manager (CM) | Gère de manière centralisée les clés de chiffrement, fournit un contrôle d'accès granulaire et configure des stratégies de sécurité qui s'intègrent à Thales Luna ou à des modules de sécurité HSM (Hardware Security Modules) conformes à la norme FIPS 140-2 pour le stockage sécurisé des clés avec une racine de confiance maximale. |