Clés de cryptage maître dans Autonomous Database on Dedicated Exadata Infrastructure

Par défaut, Autonomous Database on Dedicated Exadata Infrastructure crée et gère toutes les clés de cryptage maître utilisées pour protéger les données, et les stocke dans un fichier de clés PKCS 12 sécurisé sur les systèmes Exadata sur lesquels résident les bases de données. Elles sont appelées clés de cryptage gérées par Oracle.

En utilisant les clés gérées par Oracle, Oracle assure le cycle de vie complet des clés en tant que métadonnées gérées par Oracle. Sur les déploiements Exadata Cloud@Customer, l'accès aux sauvegardes est une responsabilité partagée et le client doit garantir l'environnement de base de données et l'accessibilité des fichiers de sauvegarde pour que les API Oracle fonctionnent avec les opérations de cycle de vie de gestion des clés internes.

Si les stratégies de sécurité de votre entreprise l'exigent, Autonomous Database peut utiliser les clés que vous créez et gérez à l'aide du fichier de clés Oracle. Pour les déploiements Oracle Public Cloud, vous pouvez également utiliser le service Oracle Cloud Infrastructure Vault pour créer et gérer des clés. Les clients ayant une conformité réglementaire pour le stockage des clés en dehors d'Oracle Cloud ou de tout environnement cloud tiers peuvent utiliser un service de gestion des clés externe (KMS externe).

Lorsque vous créez une clé gérée par le client à l'aide du service OCI Vault, vous pouvez également importer vos propres informations de clé (Utilisation de votre propre clé ou BYOK) au lieu de laisser le service Vault générer les informations de clé en interne.

Attention :

Les clés gérées par le client stockées dans Oracle Key Vault (OKV) étant externes à l'hôte de base de données, toute modification ou interruption de configuration rendant l'OKV inaccessible à la base de données à l'aide de ses clés rend ses données inaccessibles.

De plus, que vous utilisiez des clés gérées par Oracle ou par le client, vous pouvez effectuer une rotation des clés utilisées dans les bases de données existantes si nécessaire afin de respecter les stratégies de sécurité de votre entreprise. Pour plus d'informations, reportez-vous à Faire pivoter les clés de cryptage.

Avant de commencer : meilleures pratiques relatives à la hiérarchie de compartiments

Oracle vous recommande de créer une hiérarchie de compartiments pour le déploiement Autonomous Database sur une infrastructure dédiée comme suit :
  • Un compartiment "parent" pour l'ensemble du déploiement
  • Compartiments "enfant" pour chacun des différents types de ressource :
    • Bases de données autonomes
    • Bases de données Conteneur Autonomous et ressources d'infrastructure (infrastructures Exadata et clusters de machines virtuelles Exadata Autonomous)
    • Réseau cloud virtuel et ses sous-réseaux
    • Coffres contenant les clés gérées par le client

Il est particulièrement important de respecter cette meilleure pratique lorsque vous utilisez des clés gérées par le client, car l'instruction de stratégie que vous créez pour accorder à Autonomous Database l'accès à vos clés doit être ajoutée à une stratégie plus élevée dans la hiérarchie de compartiments que le compartiment contenant vos coffres et leurs clés.

Rubriques connexes

Utiliser des clés gérées par le client dans le service Vault

Pour pouvoir utiliser des clés gérées par le client stockées dans le service Vault, vous devez effectuer un certain nombre de tâches de configuration préparatoires afin de créer un coffre et des clés de cryptage maître, puis de mettre ce coffre et ses clés à la disposition d'Autonomous Database :

  1. Créez un coffre dans le service Vault en suivant les instructions de Procédure de création d'un coffre dans la documentation Oracle Cloud Infrastructure. Lorsque vous suivez ces instructions, Oracle vous recommande de créer le coffre dans un compartiment créé spécifiquement pour contenir les coffres contenant les clés gérées par le client, tel que décrit dans Meilleures pratiques relatives à la hiérarchie de compartiments.
    Après avoir créé le coffre, vous pouvez créer au moins une clé de cryptage maître dans ce dernier en suivant les instructions de Procédure de création d'une clé de cryptage maître dans la documentation Oracle Cloud Infrastructure. Lorsque vous suivez ces instructions, effectuez les choix suivants :
    • Créer dans le compartiment : Oracle recommande de créer la clé de cryptage maître dans le même compartiment que son coffre, c'est-à-dire le compartiment créé spécifiquement pour contenir les coffres contenant les clés gérées par le client.
    • Mode de protection : choisissez une valeur appropriée dans la liste déroulante :
      • HSM pour créer une clé de cryptage maître stockée et traitée sur un module de sécurité HSM.
      • Logiciel pour créer une clé de cryptage maître stockée dans un système de fichiers de logiciel dans le service Vault. Les clés protégées par logiciel sont protégées au repos à l'aide d'une clé racine HSM. Vous pouvez exporter des clés logicielles vers d'autres périphériques de gestion de clés ou vers une autre région cloud OCI. Contrairement aux clés HSM, les clés protégées par logiciel sont gratuites.
    • Algorithme de forme de clé : AES.
    • Longueur de forme de clé : 256 bits.

    Remarques :

    Vous pouvez également ajouter une clé de cryptage à un coffre existant.
  2. Utilisez le service Networking pour créer une passerelle de service, une règle de routage et une règle de sécurité sortante vers le VCN (réseau cloud virtuel) et les sous-réseaux sur lesquels résident vos ressources Autonomous Database.
  3. Utilisez le service IAM pour créer un groupe dynamique identifiant vos ressources Autonomous Database et une instruction de stratégie accordant à ce groupe dynamique l'accès aux clés de cryptage maître que vous avez créées.

Conseil :

Pour commencer par l'essayer, suivez l'exercice 17 sur les clés de cryptage de base de données contrôlées par le client dans Oracle Autonomous Database Dedicated pour les administrateurs de sécurité.

Après avoir configuré la clé gérée par le client à l'aide des étapes ci-dessus, vous pouvez la configurer lors du provisionnement d'une base de données Conteneur Autonomous ou en faisant pivoter la clé de cryptage existante à partir de la page Détails de la base de données Conteneur Autonomous ou d'Autonomous Database. Les bases de données autonomes provisionnées dans cette base de données Conteneur Autonomous hériteront automatiquement de ces clés de cryptage. Pour plus d'informations, reportez-vous à Création d'une base de données Conteneur Autonomous ou à Rotation de la clé de cryptage d'une base de données Conteneur Autonomous.

Pour activer Autonomous Data Guard inter-région, vous devez d'abord répliquer le coffre OCI vers la région dans laquelle ajouter la base de données de secours. Pour plus d'informations, reportez-vous à Réplication de coffres et de clés.

Remarques :

Les coffres virtuels créés avant l'introduction de la fonctionnalité de réplication de coffre inter-région ne peuvent pas être répliqués entre les régions. Créez un coffre et de nouvelles clés si vous avez un coffre à répliquer dans une autre région et que la réplication n'est pas prise en charge pour ce coffre. Toutefois, tous les coffres privés prennent en charge la réplication inter-région. Pour plus de détails, reportez-vous à Réplication inter-régions de coffre virtuel.

Utilisation de vos propres clés (BYOK) dans le service Vault

S'APPLIQUE À : Applicable Oracle Public Cloud uniquement

Lorsque vous créez une clé gérée par le client à l'aide du service OCI Vault, vous pouvez également importer vos propres informations de clé (Utilisation de votre propre clé ou BYOK) au lieu de laisser le service Vault générer les informations de clé en interne.

Pour pouvoir importer vos propres clés dans le service Vault, vous devez effectuer un nombre de tâches de configuration préparatoires afin de créer un coffre et d'importer la clé de cryptage maître, puis de mettre ce coffre et ses clés à la disposition d'Autonomous Database :
  1. Créez un coffre dans le service Vault en suivant les instructions de Procédure de création d'un coffre dans la documentation Oracle Cloud Infrastructure. Lorsque vous suivez ces instructions, Oracle vous recommande de créer le coffre dans un compartiment créé spécifiquement pour contenir les coffres contenant les clés gérées par le client, tel que décrit dans Meilleures pratiques relatives à la hiérarchie de compartiments.
    Après avoir créé le coffre, vous pouvez créer au moins une clé de cryptage maître dans ce dernier en suivant les instructions de Procédure de création d'une clé de cryptage maître dans la documentation Oracle Cloud Infrastructure. Vous pouvez également importer une clé de cryptage client dans un coffre existant. Lorsque vous suivez ces instructions, effectuez les choix suivants :
    • Créer dans le compartiment : Oracle recommande de créer la clé de cryptage maître dans le même compartiment que son coffre, c'est-à-dire le compartiment créé spécifiquement pour contenir les coffres contenant les clés gérées par le client.
    • Mode de protection : choisissez une valeur appropriée dans la liste déroulante :
      • HSM pour créer une clé de cryptage maître stockée et traitée sur un module de sécurité HSM.
      • Logiciel pour créer une clé de cryptage maître stockée dans un système de fichiers de logiciel dans le service Vault. Les clés protégées par logiciel sont protégées au repos à l'aide d'une clé racine HSM. Vous pouvez exporter des clés logicielles vers d'autres périphériques de gestion de clés ou vers une autre région cloud OCI. Contrairement aux clés HSM, les clés protégées par logiciel sont gratuites.
    • Algorithme de forme de clé : AES.
    • Longueur de forme de clé : 256 bits.
    • Importer une clé externe : pour utiliser une clé de cryptage client (BYOK), sélectionnez Importer une clé externe et fournissez les détails suivants :
      • Informations sur la clé d'encapsulage. Cette section est en lecture seule, mais vous pouvez afficher les détails de la clé d'encapsulation publique.
      • Algorithme d'encapsulation. Sélectionnez un algorithme de renvoi à la ligne dans la liste déroulante.
      • Source des données de la clé externe. Chargez le fichier contenant le matériel de clé RSA encapsulé.

    Remarques :

    Vous pouvez importer les informations de clé en tant que nouvelle version de clé externe ou cliquer sur le nom d'une clé de cryptage maître existante et la faire pivoter vers une nouvelle version de clé.

    Pour plus d'informations, voir Import des informations de clé en tant que version de clé externe.

  2. Utilisez le service Networking pour créer une passerelle de service, une règle de routage et une règle de sécurité sortante vers le VCN (réseau cloud virtuel) et les sous-réseaux sur lesquels résident vos ressources Autonomous Database.
  3. Utilisez le service IAM pour créer un groupe dynamique identifiant vos ressources Autonomous Database et une instruction de stratégie accordant à ce groupe dynamique l'accès aux clés de cryptage maître que vous avez créées.

Après avoir configuré BYOK géré par le client à l'aide des étapes ci-dessus, vous pouvez l'utiliser en faisant pivoter la clé de cryptage existante à partir de la page Détails de la base de données Conteneur Autonomous ou d'Autonomous Database. Pour plus de détails, reportez-vous à Rotation de la clé de cryptage d'une base de données Conteneur Autonomous.

Utilisation de clés externes à partir d'OCI External Key Management Service (OCI EKMS)

S'APPLIQUE À : Applicable Oracle Public Cloud uniquement

Pour pouvoir utiliser des clés externes à partir d'OCI EKMS, vous devez effectuer un nombre de tâches de configuration préparatoires afin de créer un coffre, puis de le mettre à la disposition d'Autonomous Database.

Dans OCI EKMS, vous pouvez stocker et contrôler les clés de cryptage maître (en tant que clés externes) sur un système de gestion de clés tiers hébergé en dehors d'OCI. Vous pouvez l'utiliser pour améliorer la sécurité des données ou si vous disposez d'une conformité réglementaire pour stocker les clés en dehors d'Oracle Public Cloud ou de tout environnement cloud tiers. Les clés réelles résidant dans le système de gestion des clés tiers, vous créez uniquement des références de clé dans OCI.
  1. Vous pouvez créer et gérer un coffre contenant des références de clé dans OCI EKMS. Vous pouvez utiliser les clés d'OCI EKMS avec Autonomous Database on Dedicated Exadata Infrastructure déployé sur Oracle Public Cloud. Pour plus d'informations, reportez-vous à Création d'un coffre dans OCI EKMS. Lorsque vous suivez ces instructions, effectuez les choix suivants :
    • Créer dans le compartiment : sélectionnez un compartiment pour le coffre OCI EKMS.
    • URL de nom de compte IDCS : entrez l'URL d'authentification que vous utilisez pour accéder au service KMS. La console est redirigée vers un écran de connexion.
    • Fournisseur de gestion des clés : sélectionnez un fournisseur tiers qui déploie le service de gestion des clés. Pour l'instant, OCI KMS prend uniquement en charge Thales en tant que fournisseur externe de gestion des clés.
    • ID d'application client : entrez l'ID de client OCI KMS généré lors de l'inscription de l'application client confidentielle dans le domaine d'identité Oracle.
    • Clé secrète d'application client : entrez l'ID de clé secrète de l'application client confidentielle inscrite dans le domaine d'identité Oracle.
    • Adresse privée dans le compartiment : sélectionnez le GUID de l'adresse privée de la gestion des clés externes.
    • URL de coffre externe : entrez l'URL de coffre générée lors de la création du coffre dans la gestion des clés externes.
  2. Utilisez le service Networking pour créer une passerelle de service, une règle de routage et une règle de sécurité sortante vers le VCN (réseau cloud virtuel) et les sous-réseaux sur lesquels résident vos ressources Autonomous Database.
  3. Utilisez le service IAM pour créer un groupe dynamique identifiant vos ressources Autonomous Database et une instruction de stratégie accordant à ce groupe dynamique l'accès aux clés de cryptage maître que vous avez créées.

création d'une passerelle de service, d'une règle de routage et d'une règle de sécurité sortante

La passerelle de service Oracle Cloud Infrastructure (OCI) fournit un accès privé et sécurisé à plusieurs services Oracle Cloud simultanément à partir d'un réseau cloud virtuel (VCN) ou sur site via une passerelle unique sans traverser Internet.

Créez une passerelle de service dans le réseau cloud virtuel sur lequel résident vos ressources Autonomous Database en suivant les instructions de Tâche 1 : créer la passerelle de service dans la documentation Oracle Cloud Infrastructure.

Après avoir créé la passerelle de service, ajoutez une règle de routage et une règle de sécurité sortante à chaque sous-réseau (dans le VCN) où résident les ressources Autonomous Database afin que ces ressources puissent utiliser la passerelle pour accéder au service Vault :
  1. Accédez à la page Détails du sous-réseau.
  2. Dans l'onglet Informations sur le sous-réseau, cliquez sur le nom de la table de routage du sous-réseau pour afficher la page Détails de la table de routage correspondante.
  3. Dans la table des règles de routage existantes, vérifiez s'il existe déjà une règle avec les caractéristiques suivantes :
    • Destination : tous les services IAD dans Oracle Services Network
    • Type de cible : Passerelle de service
    • Cible : nom de la passerelle de service que vous venez de créer dans le VCN

    Si une telle règle n'existe pas, cliquez sur Ajouter des règles de routage et ajoutez une règle possédant ces caractéristiques.

  4. Revenez à la page Détails du sous-réseau.
  5. Dans la table Listes de sécurité du sous-réseau, cliquez sur le nom de la liste de sécurité du sous-réseau pour afficher la page Détails de la liste de sécurité correspondante.
  6. Dans le menu latéral, sous Resources, cliquez sur Egress Rules.
  7. Dans la table des règles sortantes existantes, vérifiez s'il existe déjà une règle avec les caractéristiques suivantes :
    • Sans statut : non
    • Destination : tous les services IAD dans Oracle Services Network
    • Protocole IP : TCP
    • Plage de ports source : tous
    • Plage de ports de destination: 443

    Si une telle règle n'existe pas, cliquez sur Ajouter des règles sortantes et ajoutez une règle présentant ces caractéristiques.

création d'un groupe dynamique et d'une instruction de stratégie

Afin d'autoriser vos ressources Autonomous Database à accéder aux clés gérées par le client, créez un groupe dynamique IAM identifiant ces ressources, puis une stratégie IAM accordant à ce groupe dynamique l'accès aux clés de cryptage maître créées dans le service Vault.

Lors de la définition du groupe dynamique, identifiez les ressources Autonomous Database en indiquant l'OCID du compartiment contenant la ressource d'infrastructure Exadata.
  1. Copiez l'OCID du compartiment contenant la ressource d'infrastructure Exadata. Vous pouvez trouver cet OCID sur la page Détails du compartiment correspondant au compartiment.
  2. Créez un groupe dynamique en suivant les instructions de Procédure de création d'un groupe dynamique dans la documentation Oracle Cloud Infrastructure. Lors du suivi de ces instructions, entrez une règle de mise en correspondance au format suivant :
    ALL {resource.compartment.id ='<compartment-ocid>'}

    <compartment-ocid> est l'OCID du compartiment contenant la ressource de cluster de machines virtuelles Exadata Autonomous.

Après avoir créé le groupe dynamique, accédez à (ou créez) une stratégie IAM dans un compartiment situé plus haut dans la hiérarchie que celui contenant vos coffres et clés. Ajoutez ensuite une instruction de stratégie au format suivant :
allow dynamic-group <dynamic-group-name>
to manage keys
in compartment <vaults-and-keys-compartment>
where all {
target.key.id='<key_ocid>',
request.permission!='KEY_MOVE',
request.permission!='KEY_IMPORT'
}
Si vous utilisez un coffre virtuel ou un coffre privé virtuel répliqué pour le déploiement Autonomous Data Guard, ajoutez une instruction de stratégie au format suivant :
allow dynamic-group <dynamic-group>
to read vaults
in tenancy | compartment <vaults-and-keys-compartment>

<dynamic-group> est le nom du groupe dynamique que vous avez créé et <vaults-and-keys-compartment> celui du compartiment dans lequel vous avez créé les coffres et les clés de cryptage maître.

Utiliser des clés gérées par le client dans Oracle Key Vault

Oracle Key Vault (OKV) est une appliance logicielle de pile complète sécurisée conçue pour centraliser la gestion des clés et des objets de sécurité au sein de l'entreprise. Vous intégrez votre déploiement OKV sur site à Oracle Autonomous Database pour créer et gérer vos propres clés principales.

Pour pouvoir utiliser des clés gérées par le client stockées dans OKV, vous devez effectuer un certain nombre de tâches de configuration préparatoires, comme décrit dans Préparation à l'utilisation d'Oracle Key Vault.

Une fois les tâches de configuration préparatoires terminées, vous pouvez associer les clés de responsable client dans OKV lors du provisionnement d'une base de données Conteneur Autonomous. Toutes les bases de données Autonomous Database provisionnées dans cette base de données Conteneur Autonomous hériteront automatiquement de ces clés de cryptage. Reportez-vous à Création d'une base de données Conteneur Autonomous pour plus de détails.

Remarques :

Pour activer Autonomous Data Guard inter-région, assurez-vous que vous avez ajouté des adresses IP de connexion pour le cluster OKV dans le fichier de clés.

Vous pouvez mettre à jour le groupe d'adresses OKV à partir de la page Détails d'une base de données Conteneur Autonomous. Vous pouvez également ajouter un nom de groupe d'adresses OKV avec le fichier de clés OKV lors du provisionnement de l'ACD ou d'une version ultérieure.

Pour mettre à jour le groupe d'adresses OKV sur une base de données Conteneur Autonomous, vous devez vous assurer que :
  • Le nom du groupe d'adresses OKV a accès au portefeuille OKV correspondant.
  • Les adresses OKV correspondant à la base de données Conteneur Autonomous font partie du groupe d'adresses OKV.
  • Le groupe d'adresses OKV dispose d'un accès en lecture aux portefeuilles par défaut des adresses.
Pour mettre à jour le nom du groupe d'adresses OKV, procédez comme suit :
  • Accédez à la page Détails de la base de données Conteneur Autonomous. Pour des instructions, reportez-vous à Affichage des détails d'une base de données Conteneur Autonomous.
  • Cliquez sur Modifier en regard du nom du groupe d'adresses OKV sous Cryptage.
  • Choisissez un fichier de clés dans la liste et entrez le nom du groupe d'adresses OKV. Le nom du groupe d'adresses doit être en majuscules et peut inclure des chiffres, des traits d'union (-) et des traits de soulignement (_), et commencer par une lettre majuscule.
  • Cliquez sur Enregistrer.