Clés gérées par le client pour Oracle Break Glass
Sécurisez vos environnements Fusion Applications avec Oracle Break Glass et des clés gérées par le client.
Par défaut, vos environnements Fusion Applications sont protégés par des clés de cryptage gérées par Oracle. En vous abonnant au service Oracle Break Glass, vous disposez de la fonctionnalité des clés gérées par le client, qui vous permet de fournir et de gérer les clés de cryptage qui protègent vos environnements. Vous pouvez également acheter cette option sous forme d'abonnement complémentaire.
Avec les clés gérées par le client, vous utilisez vos clés stockées dans un coffre OCI pour sécuriser les données stockées au repos dans vos environnements de production et hors production. Vous pouvez activer l'option de clés gérées par le client sur votre environnement lors de la création de l'environnement ou après celle-ci.
Meilleures pratiques pour la configuration et la gestion des coffres et des clés
Il est recommandé de créer des coffres distincts pour les environnements de production et les environnements hors production. Dans le coffre hors production, créez des clés distinctes pour vos environnements de test et de développement. Par exemple, vous pouvez créer les éléments suivants :
| Environnement | Coffre | Clé de cryptage maître |
|---|---|---|
| Production | my-production-vault | my-production-key |
| Test | my-nonproduction-vault | my-test-environment-key |
| Développement | my-development-environment-key |
Avantages des coffres distincts pour les environnements de production et les environnements hors production :
- La maintenance de coffres distincts permet une rotation indépendante des clés pour les environnements de production et hors production.
- Le nombre de clés par coffre est limité. Le fait de disposer de coffres distincts fournit un nombre de clés spécifique pour les environnements de production et hors production.
Les actualisations de type P2T (Production to Test) lorsque l'environnement de test utilise des clés gérées par le client consomment également des versions des clés. Par conséquent, des actualisations P2T fréquentes réduisent plus rapidement le nombre de versions restantes des clés dans un coffre.
Vous pouvez vérifier les limites et l'utilisation des clés en consultant la page Limites, quotas et utilisation, dans laquelle les limites, les quotas et l'utilisation des ressources de la région concernée sont affichés, répartis par service :
- Dans la console, ouvrez le menu de navigation et sélectionnez Administration et gouvernance. Sous Gestion des locations, sélectionnez Limites, quotas et utilisation.
- Dans la liste Service, sélectionnez Gestion des clés.
Vérifiez les limites des clés pour "Nombre de versions de clé pour les coffres virtuels" ou "Nombre de versions de clé logicielle pour les coffres virtuels", selon le type de clé que vous avez choisi d'utiliser.
Configuration des clés gérées par le client
Fusion Applications s'appuie sur le service OCI Vault afin de vous permettre de créer et d'administrer les clés de cryptage afin de sécuriser vos environnements d'exploitation et hors de production. Vous pouvez configurer les clés sur votre environnement lors de la création de l'environnement ou ajouter une clé à un environnement existant.
Présentation des tâches de configuration et des rôles
La gestion des clés gérées par le client implique des tâches qui doivent être effectuées par différents rôles dans votre organisation. Voici un récapitulatif des rôles et des tâches effectuées par chacun :
| Rôle | Tâches de configuration | Tâches de maintenance |
|---|---|---|
| Administrateur de location |
|
|
| Administrateur de sécurité |
|
|
| Administrateur Fusion Applications |
|
|
Tâches de configuration pour l'administrateur de location
L'administrateur de location effectue les tâches de configuration de la location pour que l'administrateur de sécurité et l'administrateur Fusion Applications puissent activer et gérer les clés gérées par un client.
Il est recommandé de créer un groupe d'administrateurs de sécurité distinct pour limiter l'accès aux fonctionnalités de sécurité de vos environnements Fusion Applications.
La stratégie du groupe d'administrateurs de sécurité permet au groupe de gérer les coffres et les clés, mais n'autorise pas la suppression. La stratégie est la suivante :
allow group '<identity-domain-name'/'<your-group-name>' to manage keys in <location> where request.permission not in ('KEY_DELETE')
allow group '<identity-domain-name'/'<your-group-name>' to manage vaults in <location> where request.permission not in ('VAULT_DELETE')
Pour connaître les procédures de création de groupes et de stratégies afin de définir des rôles, y compris les droits d'accès requis spécifiques pour le rôle d'administrateur de sécurité, reportez-vous à Gestion des utilisateurs Oracle Cloud avec des fonctions spécifiques.
read pour les coffres et les clés. Les droits d'accès read permettent à l'administrateur FA d'effectuer les opérations suivantes :- Choisir le coffre et la clé lors de la configuration
- Vérifier la rotation des clés
- Visualiser le coffre et les clés dans le service OCI Vault à des fins de dépannage
Afin d'ajouter les droits d'accès pour l'administrateur Fusion Applications, procédez comme suit :
- Reportez-vous à la procédure Gestion des utilisateurs Oracle Cloud avec des fonctionnalités spécifiques, qui décrit la création du rôle d'administrateur Fusion Applications.
- Ajoutez les instructions suivantes au rôle Administrateur d'environnement Fusion Applications, si elles ne sont pas déjà présentes :
Allow group '<identity-domain-name'/'<your-group-name>' to read vaults in compartment <location> Allow group '<identity-domain-name'/'<your-group-name>' to read keys in compartment <location> Allow group '<identity-domain-name'/'<your-group-name>' to use key-delegate in compartment <location>
Veillez à remplacer toutes les variables <location> par le nom du compartiment dans lequel le coffre et les clés ont été créés.
La stratégie d'activation des clés gérées par le client doit être ajoutée avant d'ajouter le coffre et la clé à votre environnement. Si cette stratégie n'est pas ajoutée :
- Votre environnement ne termine pas le provisionnement.
- La maintenance de votre environnement existant n'est pas terminée.
- L'activation de la clé gérée par le client n'est pas terminée.
Cette stratégie concerne uniquement les locations dans le cloud commercial (domaine OC1). Si votre environnement Fusion Applications se trouve dans un autre domaine (par exemple, Oracle US Government Cloud, United Kingdom Government Cloud, etc.), vous devez ouvrir une demande d'assistance pour obtenir la stratégie appropriée.
Créez une stratégie dans le domaine OC1 avec les instructions suivantes :
define tenancy fusionapps1 as ocid1.tenancy.oc1..aaaaaaaau5s6lj67ia5vy6qjglhvquqdszjqlmvlmsetu4jrtjni4mng6hea
define tenancy fusionapps2 as ocid1.tenancy.oc1..aaaaaaaajgaoycccrtt3l3vnnlave6wkc2zbf6kkksq66begstczxrmxjlia
define dynamic-group fusionapps1_environment as ocid1.dynamicgroup.oc1..aaaaaaaa5wcbybhxa5vqcvniefoihlvnidty4fk77fitn2hjhd7skhzaadqq
define dynamic-group fusionapps2_environment as ocid1.dynamicgroup.oc1..aaaaaaaaztbusgx23a3jdpvgxqx6tkv2nedgxld6pj3w7hcvhfzvw5ei7fiq
admit dynamic-group fusionapps1_environment of tenancy fusionapps1 to manage keys in tenancy
admit dynamic-group fusionapps1_environment of tenancy fusionapps1 to use vaults in tenancy
admit dynamic-group fusionapps2_environment of tenancy fusionapps2 to manage keys in tenancy
admit dynamic-group fusionapps2_environment of tenancy fusionapps2 to use vaults in tenancy
allow service keymanagementservice to manage vaults in tenancy
allow any-user to read keys in tenancy where all {request.principal.type = 'fusionenvironment'}
allow any-user to read vaults in tenancy where all {request.principal.type = 'fusionenvironment'}Les exemples de stratégie fournis dans l'exemple sont des directives. Vous devez consulter ces stratégies avec l'équipe de sécurité de votre organisation pour vous assurer qu'elles sont conformes aux exigences de sécurité interne et aux meilleures pratiques.
Tâches de configuration pour l'administrateur de sécurité
L'administrateur de sécurité configure les coffres et les clés, et fournit les informations à l'administrateur Fusion Applications afin qu'il les ajoute à l'environnement.
Suivez la procédure de création d'un coffre dans la documentation Vault. Pour créer un coffre externe, reportez-vous à Service de gestion des clés externes.
Le type de coffre de base est inclus dans l'abonnement au service Break Glass. Lorsque vous créez un coffre, si vous sélectionnez l'option Définir comme coffre privé virtuel ou si vous choisissez de créer un coffre externe, des frais supplémentaires sont facturés. Pour plus d'informations sur les types de coffre, reportez-vous à Concepts relatifs à la gestion des clés et des clés secrètes.
Nous vous recommandons de créer 2 coffres : un pour les clés d'environnement de production et un pour les clés d'environnement de non production.
Après avoir créé les coffres, répliquez le coffre que vous avez créé pour l'environnement de production. Le coffre répliqué est utilisé pour la récupération après sinistre.
- Vérifiez l'association de régions de récupération après sinistre pour la région dans laquelle se trouve l'environnement Fusion Applications de production. Pour obtenir la liste des associations de régions, reportez-vous à Prise en charge de la récupération après sinistre.
- Abonnez-vous à la région répertoriée en tant qu'association pour votre région. Pour vous abonner à une région, reportez-vous à Abonnement à une région d'infrastructure.
- Répliquez le coffre que vous avez créé pour votre environnement de production en suivant les étapes décrites dans Réplication de coffres et de clés. Lorsque vous sélectionnez la région de destination pour la réplication, veillez à sélectionner la région de récupération après sinistre à laquelle vous êtes abonné à l'étape précédente.
Suivez la procédure Création d'une clé de cryptage maître dans la documentation Vault ou, pour importer vos propres clés, suivez les procédures décrites dans Import de clés et de versions de clé.
Avec le mode de protection de clé HSM (Hardware Security Module), vos clés de chiffrement sont stockées et protégées dans des modules de sécurité matériels certifiés FIPS 140-2 de niveau 3.
Lorsque vous créez des clés pour Fusion Applications, vous devez effectuer les sélections suivantes :
- Pour Forme de clé : algorithme, sélectionnez AES (clé symétrique utilisée pour le cryptage et le décryptage) (vous devez sélectionner cette option pour les clés gérées par le client Fusion Applications).
- Pour Forme de clé : longueur, sélectionnez 256 bits.
Il est recommandé de créer une clé dans le coffre de production pour votre environnement de production, et une clé pour chaque environnement hors production dans votre coffre hors production.
Après avoir créé le coffre et les clés, fournissez à l'administrateur Fusion Applications le nom du compartiment de coffre, le nom du coffre et le nom de la clé (ainsi que le nom du compartiment de clé, le cas échéant).
Ajout de clés gérées par le client à des environnements nouveaux et existants
L'administrateur Fusion Applications ajoute les clés gérées par le client aux environnements. Cette opération peut être effectuée lors de la création de l'environnement ou par la suite. Pour les environnements existants, Oracle fournit à l'administrateur un choix de fenêtres de temps pour planifier la mise à jour. Pour les nouveaux environnements, les clés sont ajoutées au moment du provisionnement de l'environnement et aucune programmation n'est requise.
Une fois les clés gérées par le client activées, l'administrateur peut également modifier une clé dans un environnement.
Prérequis :
- L'abonnement a été ajouté à la famille d'environnements. Si l'abonnement n'a pas été ajouté, vous ne verrez pas l'option permettant de sélectionner la clé gérée par le client.
- L'administrateur de sécurité a créé le coffre et la clé.Remarque
Le type de coffre de base est inclus dans l'abonnement au service Break Glass. Lorsque vous créez un coffre, si vous sélectionnez l'option Définir comme coffre privé virtuel ou si vous choisissez de créer un coffre externe, des frais supplémentaires sont facturés. Pour plus d'informations sur les types de coffre, reportez-vous à Concepts relatifs à la gestion des clés et des clés secrètes. - L'administrateur de location a configuré la stratégie système pour activer les clés gérées par un client dans la location.
- L'administrateur de location a créé une stratégie pour que l'administrateur Fusion Applications puisse accéder en lecture aux coffres et aux clés, et les associe aux environnements Fusion Applications.
Cette procédure comprend uniquement les étapes d'activation de la clé gérée par le client. Pour obtenir la procédure complète de création d'un environnement, reportez-vous à Tâches de gestion des environnements.
Sur la page de création d'environnement, procédez comme suit :
- Sélectionnez l'option Afficher les options avancées.
- Sélectionnez l'onglet Chiffrement .
-
Sélectionnez Clé gérée par le client (recommandé).
Si cette option n'apparaît pas, l'abonnement n'a pas été ajouté à la famille d'environnements.
- Sélectionnez le coffre. Si le coffre ne se trouve pas dans le compartiment dans lequel vous créez votre environnement, vous devez cliquer sur Modifier le compartiment et choisir le compartiment approprié.
- Sélectionnez la clé. Si la clé ne se trouve pas dans le compartiment dans lequel vous créez votre environnement, vous devez cliquer sur Modifier le compartiment et choisir le compartiment approprié. Seules les clés AES 256 bits sont affichées.
Une fois toutes les étapes de configuration de l'environnement terminées, le processus de provisionnement commence. L'ajout de la clé gérée par le client ajoute du temps au processus de provisionnement. Pendant l'activation de la clé, un message vous avertit que l'environnement n'est pas disponible.
- Lorsque vous activez une clé gérée par l'utilisateur dans un environnement existant, le chiffrement n'est pas exécuté immédiatement. Au lieu de cela, Oracle vous offre un choix de fenêtres de temps pour planifier la mise à jour. Ces options sont affichées dans la console OCI lorsque vous ouvrez la boîte de dialogue Modifier le cryptage pour demander la mise à jour. Pour plus d'informations, reportez-vous à Procédure d'activation d'une clé gérée par le client pour un environnement existant dans cette rubrique.
-
Vous pouvez reprogrammer ou annuler cette mise à jour dans la console OCI sans contacter le support technique Oracle, à condition que la mise à jour ait l'état "Programmé". Si la mise à jour est en cours ou terminée, vous ne pouvez pas annuler ou annuler la mise à jour.
- Assurez-vous que le temps que vous choisissez pour la mise à jour n'est pas en conflit avec d'autres activités importantes de l'environnement, telles qu'une opération d'actualisation. Pour les opérations d'actualisation, cela signifie que ni l'environnement source ni l'environnement cible ne peuvent être mis à jour pour les clés gérées par le client pendant l'actualisation.
- Tant que la mise à jour n'est pas effectuée pour activer les clés gérées par le client, l'environnement reste crypté par la clé gérée par Oracle.
Afin d'activer une clé gérée par le client pour un environnement existant, procédez comme suit :
- Accédez à l'environnement : dans l'accueil Applications de la console, sélectionnez Applications Fusion. Sur la page Aperçu, recherchez la famille d'environnements de l'environnement, puis sélectionnez le nom de l'environnement.
- Sous Ressources, sélectionnez Sécurité. L'onglet Cryptage apparaît.
- Par défaut, le type est géré par Oracle. Sélectionnez Modifier le cryptage pour ajouter le coffre et la clé.
Si vous ne voyez pas l'option de modification, vous n'avez pas ajouté les options appropriées ou l'environnement est en cours de mise à jour.
-
Sélectionnez clé gérée par le client.
- Sélectionnez le coffre. Si le coffre ne se trouve pas dans le compartiment dans lequel vous créez votre environnement, sélectionnez Modifier le compartiment et le compartiment approprié. Si vous utilisez la récupération après sinistre, vous devez sélectionner un coffre prenant en charge la réplication. Tous les coffres privés prennent en charge la réplication. Pour les coffres virtuels, reportez-vous à Réplication de coffres et de clés pour plus d'informations sur la façon de déterminer si un coffre virtuel prend en charge la réplication.
- Sélectionnez la clé de cryptage maître. Si la clé ne se trouve pas dans le compartiment dans lequel vous créez votre environnement, sélectionnez Modifier le compartiment et le compartiment approprié. Seules les clés AES 256 bits sont affichées.
-
Dans la section Programmation de mise à jour de cryptage, sélectionnez la fenêtre de temps pour indiquer l'heure de début de la mise à jour de la gestion de cryptage. Jusqu'à trois dates sont affichées.
- Sélectionnez Soumettre pour demander la mise à jour qui active les clés gérées par le client dans votre environnement.
Le message en bas de la fenêtre apparaît lorsque le cryptage est programmé. Le cryptage est effectué pendant la fenêtre de temps indiquée. Jusqu'à ce que la mise à jour ait lieu, l'environnement reste crypté par la clé gérée par le service Oracle.
Si vous devez replanifier ou annuler la mise à jour des clés gérées par le client, reportez-vous aux instructions de la section Procédure de replanification ou d'annulation d'une mise à jour pour activer les clés gérées par le client.
Replanification ou annulation d'une mise à jour pour activer les clés gérées par le client
Vous pouvez replanifier ou annuler une mise à jour pour passer aux clés gérées par le client tant que le statut de la mise à jour est "Planifié". Si la mise à jour est en cours ou terminée, elle ne peut pas être annulée ou annulée.
Vous pouvez annuler ou reprogrammer la mise à jour vous-même dans la console OCI, à l'aide des instructions de cette rubrique.
Le statut de la mise à jour doit être "Planifié" pour que ces instructions puissent être utilisées.
- Accédez à l'environnement : dans l'accueil Applications de la console, sélectionnez Applications Fusion. Sur la page Aperçu, recherchez la famille d'environnements de l'environnement, puis sélectionnez le nom de l'environnement.
- Sous Ressources, sélectionnez Sécurité. L'onglet Cryptage apparaît.
- Dans le tableau des options de cryptage, recherchez la ligne "Géré par le client", sélectionnez le menu , puis sélectionnez Replanifier ou Annuler.
-
Replanifier uniquement : si vous reprogrammez la mise à jour pour les clés gérées par le client, sélectionnez une nouvelle date dans le menu déroulant, puis sélectionnez Soumettre.
Remarque
Assurez-vous que l'heure que vous choisissez pour la mise à jour n'est pas en conflit avec d'autres activités d'environnement importantes, telles qu'une opération d'actualisation. Pour les opérations d'actualisation, cela signifie que ni l'environnement source ni l'environnement cible ne peuvent être mis à jour pour les clés gérées par le client pendant l'actualisation.Annuler uniquement : si vous annulez la mise à jour, saisissez le nom de l'environnement pour confirmer l'annulation de la mise à jour, puis sélectionnez Annuler la clé programmée.
Affichage du statut et des détails d'une clé
Pour afficher le statut et les détails d'une clé, procédez comme suit :
- Accédez à l'environnement : dans Accueil des applications sous Mes applications, sélectionnez Applications Fusion, puis sélectionnez le nom de l'environnement. La page de détails de l'environnement est affichée.
- Sous Ressources, sélectionnez Sécurité. L'onglet Cryptage apparaît.
Pour plus d'informations, vous pouvez sélectionner les noms de coffre et de clé pour accéder à ces ressources.
Modification et rotation des clés
Vous pouvez modifier la clé d'encyrption principale et effectuer une rotation des versions de clé si nécessaire.
- Accédez à l'environnement : dans l'accueil Applications de la console, sélectionnez Applications Fusion. Sur la page Aperçu, recherchez la famille d'environnements de l'environnement, puis sélectionnez le nom de l'environnement.
- Sous Ressources, sélectionnez Sécurité.
- Sélectionnez l'onglet Chiffrement.
- Sélectionnez Modifier la clé de cryptage.
-
Dans le panneau Modifier la clé de cryptage, sélectionnez un coffre. Si vous utilisez la récupération après sinistre, vous devez sélectionner un coffre prenant en charge la réplication. Tous les coffres privés prennent en charge la réplication. Pour les coffres virtuels, reportez-vous à Réplication de coffres et de clés pour plus d'informations sur la façon de savoir si un coffre virtuel prend en charge la réplication.
Si le coffre sélectionné se trouve dans un autre compartiment, vous devrez peut-être créer des stratégies IAM pour l'accès au coffre. Voir 3. Pour plus de détails, ajoutez la stratégie système afin d'activer les clés gérées par le client dans votre location.
- Sélectionner une clé de cryptage maître.
- Sélectionnez Soumettre, puis confirmez que vous voulez modifier la clé.
Vous effectuez la rotation des clés en fonction des pratiques de sécurité de votre organisation. Vous pouvez configurer un travail d'interface de ligne de commande pour effectuer automatiquement la rotation des clés, ou l'administrateur de sécurité désigné peut effectuer cette rotation manuellement via l'interface utilisateur de la console du service Vault. Pour plus d'informations sur les versions de clé, reportez-vous à Concepts relatifs à la gestion des clés et des clés secrètes.
Pour pouvoir effectuer la rotation des clés, les conditions suivantes doivent être remplies :
- L'état de cycle de vie de l'environnement doit être Actif et l'état général doit être Disponible.
- Vous ne devez pas avoir atteint la limite des versions de clé disponibles pour le coffre. Les actualisations de type P2T (Production to Test) lorsque l'environnement de test utilise des clés gérées par le client consomment également des versions des clés. Par conséquent, des actualisations P2T fréquentes réduisent également le nombre de versions restantes des clés dans un coffre.
Conséquences de la rotation des clés :
- Il n'y a aucun temps d'inactivité et l'état général de l'environnement reste Disponible.
- Un message de bannière apparaît sur la page de détails de l'environnement pour vous avertir que la rotation est en cours.
- Le statut de clé est Rotation en cours.
Procédure de rotation des clés
Suivez la procédure de rotation d'une clé de coffre dans la documentation Vault.
Procédure de vérification de la rotation des clés
Une fois que vous avez effectué la rotation des clés, vous pouvez la vérifier sur la page de détails de l'environnement :
- Accédez à l'environnement : dans Accueil des applications sous Mes applications, sélectionnez Applications Fusion, puis sélectionnez le nom de l'environnement. La page de détails de l'environnement est affichée.
- Sous Ressources, sélectionnez Sécurité. L'onglet Cryptage apparaît.
- Sélectionnez la version de clé pour vérifier qu'elle correspond à celle du service Vault.
Désactivation et activation de clés
Si vous rencontrez une situation dans laquelle vous voulez arrêter Fusion Applications et accéder à la base de données Fusion, l'administrateur de sécurité peut désactiver la clé pour forcer immédiatement tous les utilisateurs à quitter le système.
La désactivation d'une clé peut entraîner la perte de données. Si la clé est désactivée, le service cloud Fusion Applications tente de manière proactive d'arrêter l'environnement afin de minimiser les risques d'échec lorsque l'environnement est en cours d'utilisation. Toutefois, une fois la clé désactivée, l'environnement ne peut pas être redémarré tant qu'elle n'est pas réactivée. Pendant que la clé reste à l'état désactivé, aucun service cloud Fusion Applications ne peut accéder aux données client précédemment enregistrées.
- L'état général de l'environnement devient Indisponible. L'état de cycle de vie devient Désactivé. Tous les utilisateurs sont contraints de quitter l'application.
- Un message de bannière apparaît sur la page de détails de l'environnement pour vous avertir que le cryptage a été désactivé.
- Le statut de clé est Désactivé.
Lorsque vous lancez la désactivation d'une clé, une série de processus est exécutée pour arrêter les composants de l'environnement (par exemple, services de base de données, niveau intermédiaire, équilibreurs de charge), qui peut prendre jusqu'à une heure. N'essayez pas de réactiver une clé tant que ces processus ne sont pas terminés.
De même, lorsque vous lancez l'activation d'une clé, l'exécution de l'ensemble de processus pour réactiver le système peut prendre jusqu'à une heure.
Procédure de désactivation d'une clé
Suivez la procédure de désactivation d'une clé de coffre dans la documentation Vault.
Procédure d'activation d'une clé
Suivez la procédure d'activation d'une clé de coffre dans la documentation Vault.
Suppression de clés
Les droits d'accès accordés au rôle d'administrateur de sécurité n'incluent pas la suppression des clés et des coffres. La suppression des clés et des coffres est une opération hautement destructrice qui doit uniquement être effectuée par l'administrateur de location dans de rares circonstances.
Lorsqu'un administrateur de location supprime une clé, toutes les données et toutes les ressources OCI (y compris votre base de données Fusion Applications) cryptées par cette clé deviennent immédiatement inutilisables ou irrécupérables.
Il est vivement recommandé de sauvegarder la clé avant de programmer sa suppression. Avec une sauvegarde, vous pouvez restaurer la clé et le coffre si vous voulez continuer à utiliser la clé plus tard.
Pour plus d'informations, reportez-vous à Suppression d'une clé de coffre.