Service de gestion de clés externe
Avec Oracle Cloud Infrastructure External Key Management Service (EKMS), vous pouvez créer et gérer des clés de cryptage hébergées en dehors d'OCI. EKMS s'intègre aux systèmes de gestion de clés tiers pris en charge pour effectuer des opérations cryptographiques sans importer de matériel de clé dans OCI.
Le service de gestion des clés (KMS) natif d'OCI utilise un module de sécurité matériel (HSM) hébergé dans le centre de données Oracle pour stocker et gérer les clés principales afin de crypter les données au repos. Pour une sécurité des données améliorée et pour les clients qui disposent de règles de conformité réglementaire nécessitant le stockage de clés dans une plate-forme de gestion des clés située en dehors d'OCI, KMS propose le service External Key Management Service (External KMS), un service qui intègre votre location OCI à une plate-forme de gestion des clés tierce hébergée en dehors d'OCI.
Dans KMS externe, vous pouvez stocker et contrôler les clés de cryptage maître (en tant que clés externes) dans le système de gestion des clés tiers. Vous pouvez ensuite utiliser ces clés pour chiffrer vos données dans Oracle. Vous pouvez désactiver vos clés à tout moment. Avec les clés réelles résidant dans le système de gestion des clés tiers, vous créez et stockez uniquement des références de clé (métadonnées associées au matériel de clé) dans OCI.
Avantages
EKMS offre les avantages suivants :
- Provenance des clés : vous créez et gérez l'utilisation des clés créées en externe dans votre plate-forme de gestion des clés externes. Les clés externes ne sont jamais mises en cache ou stockées nulle part dans OCI, et OCI KMS n'a aucun contrôle sur vos clés. Au lieu de cela, OCI KMS interagit directement avec le système de gestion des clés tiers pour les opérations cryptographiques (chiffrement et décryptage).
- Sécurité améliorée : EKMS protège les données inactives avec une sécurité maximale à l'aide d'un système de gestion de clés tiers
- Gestion centralisée des clés : la gestion des clés dans un système de gestion des clés tiers vous permet de gérer les clés de cryptage à un emplacement unique que vous utilisez OCI et ailleurs.
Cas d'emploi
EKMS peut faire partie de la sécurité globale des données dans les cas d'utilisation suivants :
- Les banques et les organisations du secteur public qui ont des réglementations de conformité peuvent avoir besoin de stocker des clés de chiffrement sur site, physiquement séparées des données stockées dans OCI.
- Les clients du secteur bancaire qui ont des réglementations de sécurité exigeant qu'ils effectuent des opérations cryptographiques dans leur HSM sur site peuvent utiliser EKMS pour répondre à cette exigence.
- Les clients qui utilisent plusieurs fournisseurs cloud (par exemple, les clients multicloud d'Oracle) peuvent avoir besoin de bases de données dans OCI pour se connecter à des services de cryptage situés dans un autre cloud. EKMS rend ces types d'intégrations possibles.
Terminologie
Familiarisez-vous avec les terminologies suivantes pour comprendre la fonctionnalité de gestion des clés externes (EKMS) :
| Terminologie | Description |
|---|---|
| Gestionnaire de clés externes | Un HSM détenu et hébergé par le client, ou une plate-forme de gestion des clés qui réside en dehors d'OCI. Il s'agit également d'un système de gestion de clés tiers. |
| Espace de fichiers externe | Coffre créé dans le système tiers de gestion des clés utilisé pour stocker des clés en externe. |
| Clé externe | Clés créées dans le système tiers de gestion des clés qui contiennent une ou plusieurs versions de clé externe. |
| Versions de clé externes | Une version de clé est automatiquement affectée à chaque clé externe. Lorsque vous modifiez une clé externe, le gestionnaire de clés externe génère une nouvelle version de clé. |
| FastConnect | FastConnect est un moyen de créer une connexion privée entre les sites client et Oracle Cloud Infrastructure (OCI). |
| Adresse privée (IP) | Une adresse privée est une adresse IP privée dans le VCN du client qui peut être utilisée pour accéder à un service dans OCI. |
| Clé de cryptage de données (DEK) | Clé de cryptage dont la fonction est de crypter et de décrypter les données. |
Services pris en charge
La gestion des clés externes peut être utilisée avec les services OCI suivants :
| Service | Remarques |
|---|---|
| Block Volume | |
| Calculer | Prend en charge le chiffrement de volume d'initialisation et le chiffrement d'autres types de stockage répertoriés dans ce tableau. |
| Stockage de fichiers | |
| Kubernetes Engine (OKE) | |
| Object Storage | |
| Oracle Autonomous Database sur une infrastructure Exadata dédiée | |
| Oracle Autonomous Database sans serveur | |
| Oracle Base Database | |
| Oracle Exadata Database Service on Dedicated Infrastructure | |
| Transmission en continu |