Configuration d'OCI Hold Your Own Key à l'aide de Thales CipherTrust Manager sans OCI API Gateway

Introduction

Ce tutoriel fournit des instructions pas à pas pour configurer Hold Your Own Key (HYOK) avec Thales CipherTrust Manager (CTM) sans utiliser l'option Oracle Cloud Infrastructure (OCI) API Gateway. Cette approche vous permet de contrôler complètement vos clés de cryptage tout en permettant l'intégration aux services OCI qui prennent en charge la gestion des clés externes.

image

Nous passerons en revue l'ensemble de la configuration, en commençant par examiner l'architecture réseau et configurer les intégrations d'application dans OCI, puis en configurant Thales CipherTrust Manager pour qu'il communique directement avec Oracle Cloud Infrastructure External Key Management Service (OCI External Key Management Service) via une adresse privée. Le tutoriel inclut également la création et l'inscription de fournisseurs d'identités, de locations OCI, de coffres externes et de clés, ainsi que le test de l'accès au stockage d'objets géré par le client à l'aide de ces clés externes.

À la fin de ce tutoriel, vous disposerez d'une configuration HYOK entièrement opérationnelle, capable de chiffrer et de contrôler l'accès aux ressources OCI à l'aide de clés gérées en externe hébergées sur votre gestionnaire Thales CipherTrust sans avoir besoin d'une passerelle d'API OCI intermédiaire.

image

Remarque : dans ce tutoriel, les termes Thales CipherTrust Cloud Key Manager (CCKM) et Thales CipherTrust Manager (CTM) sont utilisés de manière interchangeable. Les deux se réfèrent au même produit.

Ce tutoriel s'appuie sur la base technical foundation établie dans le tutoriel : Configuration d'appliances de gestionnaire de clés cloud CipherTrust Thales dans OCI, création d'un cluster entre elles et configuration d'une autorité de certification.

Si vous voulez implémenter HYOK (Hold Your Own Key) à l'aide de Thales CipherTrust Manager avec l'option OCI API Gateway, suivez ce tutoriel : Configurez OCI Hold Your Own Key à l'aide de CipherTrust Manager avec OCI API Gateway.

Objectifs

image

L'image suivante illustre les composants et la configuration qui configurent toutes les étapes de ce tutoriel.

image

Tâche 1 : passer en revue l'architecture réseau cloud

Avant d'aborder les étapes techniques de configuration de Hold Your Own Key (HYOK) avec Thales CipherTrust Manager, il est essentiel de comprendre l'architecture du réseau cloud dans lequel réside cette configuration.

Dans ce scénario, trois régions OCI sont utilisées :

La connectivité entre les deux centres de données sur site simulés est établie à l'aide de RPC (Remote Peering Connections). Toutefois, pour ce tutoriel, la configuration VPN, la configuration RPC et les détails de l'architecture VCN hub-and-spoke sont considérés comme hors de portée et ne seront pas couverts.

Ce tutoriel se concentre strictement sur la configuration d'HYOK à l'aide de Thales CipherTrust Manager déployé dans la région d'Amsterdam (AMS), qui est l'un des centres de données sur site simulés. Toutes les opérations de gestion des clés seront effectuées à partir de cette instance Thales CipherTrust Manager.

Le gestionnaire de clés externes privé permet à OCI de communiquer en toute sécurité avec le gestionnaire Thales CipherTrust externe et sera déployé dans l'un des réseaux cloud virtuels spoke de la région OCI principale. Cela garantit un chemin de communication sécurisé et direct entre les services OCI et le gestionnaire de clés externes sans exposer le trafic au réseau Internet public.

Cette architecture prend en charge de fortes postures de sécurité et de conformité pour les charges de travail sensibles dans OCI en isolant la gestion des clés dans une limite de réseau bien définie et sécurisée.

L'image suivante illustre l'architecture complète.

image

Tâche 2 : création d'une application de ressource confidentielle et association d'applications client confidentielles (intégrations d'application) et collecte du client et des clés secrètes dans OCI

Pour activer l'intégration HYOK avec Thales CipherTrust Manager, vous devez établir une relation de confiance entre OCI et le gestionnaire de clés externe.

Pour ce faire, vous devez inscrire deux composants clés dans OCI Identity and Access Management (OCI IAM) : une application de ressource confidentielle et une application client confidentielle. Ils sont essentiels pour authentifier et autoriser la communication entre OCI et Thales CipherTrust Manager.

Cette configuration permet à Thales CipherTrust Manager de s'authentifier auprès d'OCI IAM via OAuth 2.0. Le client confidentiel agit pour le compte du gestionnaire de clés externes, tandis que la ressource confidentielle définit la portée de la configuration d'accès et de confiance. OCI ne peut pas valider ou communiquer en toute sécurité avec la source de clé externe sans ces composants.

L'image suivante illustre les composants et la configuration de cette étape.

image

Remarque :

Tâche 3 : collecter l'URL de domaine d'identité à partir d'OCI

Pour activer la communication basée sur OAuth entre OCI et Thales CipherTrust Manager, vous devez fournir l'URL de domaine d'identité lors de la configuration du fournisseur d'identités dans Thales CipherTrust Manager.

Tâche 4 : création de fournisseurs d'identités dans Thales CipherTrust Manager

Dans cette tâche, vous allez configurer le fournisseur d'identités dans le gestionnaire CipherTrust de Thales. Cette configuration permet à Thales CipherTrust Manager de s'authentifier auprès d'OCI à l'aide des informations d'identification OAuth 2.0 créées dans la tâche 3.

L'image suivante illustre les composants et la configuration de cette tâche.

image

Tâche 5 : ajout de locations OCI dans Thales CipherTrust Manager

Une fois le fournisseur d'identités configuré dans Thales CipherTrust Manager, la tâche suivante consiste à inscrire votre location OCI. Cela permet à Thales CipherTrust Manager de gérer des coffres et des clés externes pour le compte de votre environnement OCI à l'aide des informations d'identification OAuth configurées précédemment.

L'image suivante illustre les composants et la configuration configurés dans cette tâche.

image

Tâche 6 : création d'une adresse privée pour le service External Key Manager dans OCI

Pour connecter OCI au gestionnaire CipherTrust de Thales en toute sécurité sans exposer le trafic au réseau Internet public, vous devez créer une adresse privée pour le service OCI External Key Management.

Cela garantit que toutes les communications entre OCI et Thales CipherTrust Manager s'effectuent sur un chemin réseau privé contrôlé.

Assurez-vous que les prérequis suivants sont remplis :

L'image suivante illustre les composants et la configuration de cette tâche.

image

Tâche 7 : ajout de coffres externes dans Thales CipherTrust Manager

Une fois la location OCI et l'adresse privée en place, la tâche suivante consiste à ajouter un coffre externe dans Thales CipherTrust Manager. Un coffre externe dans Thales CipherTrust Manager est un conteneur logique qui est mis en correspondance avec le coffre de gestion des clés externe dans OCI, ce qui permet à Thales CipherTrust Manager de gérer les clés utilisées pour le cryptage HYOK.

L'image suivante illustre les composants et la configuration de cette tâche.

image

Une fois configuré, ce coffre devient l'emplacement cible pour le stockage des clés externes référencées par les services OCI. Il relie votre environnement OCI et les clés gérées par CipherTrust, ce qui permet un contrôle complet des opérations de cryptage dans un modèle HYOK.

Tâche 8 : création d'un coffre OCI External Key Management Service

Maintenant que le coffre externe a été défini dans Thales CipherTrust Manager, la tâche suivante consiste à créer un coffre de gestion des clés externes correspondant dans la console OCI.

Ce coffre OCI sera lié à votre gestionnaire CipherTrust Thales et utilisé par les services OCI pour effectuer des opérations de cryptage et de décryptage à l'aide de clés externes.

L'image suivante illustre les composants et la configuration de cette tâche.

image

OCI va désormais se connecter à Thales CipherTrust Manager à l'aide de l'adresse privée indiquée. Une fois ce coffre actif, il devient l'interface par laquelle OCI interagit avec des clés externes gérées par CCKM, ce qui active la prise en charge HYOK pour les services OCI tels qu'OCI Object Storage, OCI Block Volumes, etc. Nous effectuerons ensuite certains tests avec OCI Object Storage.

Tâche 9 : ajout de clés externes dans Thales CipherTrust Manager

Une fois le coffre externe configuré dans Thales CipherTrust Manager et lié à OCI, la tâche suivante consiste à créer ou à importer les clés de cryptage externes qu'OCI utilisera pour les services compatibles HYOK.

Ces clés résident en toute sécurité dans Thales CipherTrust Manager et sont référencées par OCI via l'interface de gestion des clés externe. Selon vos besoins organisationnels, vous pouvez générer une nouvelle clé directement dans Thales CipherTrust Manager ou importer une clé existante.

L'image suivante illustre les composants et la configuration de cette tâche.

image

Une fois ajoutée, la clé devient disponible pour OCI via le coffre de gestion des clés externe. Toutefois, pour permettre aux services OCI d'utiliser la clé, vous devez créer une référence de clé dans la console OCI, que nous aborderons dans la tâche suivante.

Remarque :

Tâche 10 : création de références de clé dans OCI

Une fois la clé externe créée ou importée dans Thales CipherTrust Manager, la tâche suivante consiste à créer une référence de clé dans la console OCI. Une référence de clé agit comme un pointeur qui permet aux services OCI d'accéder à la clé externe stockée dans Thales CipherTrust Manager et de l'utiliser via le coffre de gestion de clés externe.

L'image suivante illustre les composants et la configuration de cette tâche.

image

OCI va maintenant associer cette référence de clé à la clé externe gérée dans Thales CipherTrust Manager. Cela permet aux services OCI tels qu'OCI Object Storage, OCI Block Volumes et autres d'envoyer des demandes cryptographiques à la clé externe sur l'adresse privée. En revanche, le matériau clé lui-même reste entièrement sous votre contrôle.

Nous allons tester la référence de clé immédiatement en l'attachant à un bucket OCI Object Storage pour vérifier que l'intégration fonctionne comme prévu.

Tâche 11 : création d'un bucket OCI Object Storage avec des clés gérées par le client

Vous pouvez crypter les ressources à l'aide de la clé externe référencée dans OCI. Dans cette tâche, nous allons créer un bucket OCI Object Storage qui utilise la clé externe gérée par le client hébergée sur Thales CipherTrust Manager via le coffre de gestion des clés externe.

Cette configuration garantit que tous les objets stockés dans le bucket sont cryptés à l'aide d'une clé entièrement contrôlée, ce qui répond à des exigences strictes de conformité, de souveraineté ou de stratégie interne.

L'image suivante illustre les composants et la configuration de cette tâche.

image

Une fois le bucket créé, toutes les données qu'il contient sont cryptées à l'aide de la clé externe gérée par Thales CipherTrust Manager. Cela garantit qu'OCI s'appuie sur votre infrastructure clé pour l'accès et le contrôle, ce qui permet des fonctionnalités complètes de conservation de votre propre clé (HYOK).

Supposons que la clé externe ne soit plus disponible (par exemple, désactivée ou bloquée dans Thales CipherTrust Manager). Dans ce cas, l'accès au bucket et à son contenu sera refusé, ce qui offre un point de contrôle puissant pour votre état de sécurité des données. C'est quelque chose que nous allons tester dans la prochaine tâche.

Tâche 12 : bloquer et débloquer les clés Oracle et tester l'accessibilité du bucket OCI Object Storage dans Thales CipherTrust Manager et OCI

L'un des principaux avantages du modèle Hold Your Own Key (HYOK) est la possibilité de conserver un contrôle opérationnel complet sur vos clés de chiffrement, y compris la possibilité de les bloquer ou de les débloquer à tout moment. Cette section explique comment utiliser Thales CipherTrust Manager pour contrôler l'accès à un bucket de stockage d'objets géré par Oracle en bloquant ou en débloquant la clé externe.

Le blocage d'une clé limite effectivement l'accès à toute ressource OCI cryptée avec cette clé sans supprimer la clé ou les données. Le déblocage restaure l'accès.

image

image

Maintenant, débloquons à nouveau la clé dans Thales CipherTrust Manager.

Le diagramme ci-dessous illustre la configuration des composants et de la configuration dans cette tâche.

image

Cette fonctionnalité fournit un mécanisme puissant pour les interventions d'urgence, la conformité réglementaire et l'application de la souveraineté des données, ce qui vous garantit un contrôle total sur le moment et la façon dont vos données sont accessibles dans OCI.

Etapes suivantes

Dans ce tutoriel, nous avons terminé la configuration d'OCI Hold Your Own Key à l'aide de Thales CipherTrust Manager sans dépendre de l'option OCI API Gateway. En suivant les étapes de la configuration des intégrations d'identités et du réseau au déploiement de clés et de coffres externes, vous avez activé une architecture de gestion des clés sécurisée et conforme dans laquelle vous gardez un contrôle total sur vos clés de cryptage.

Cette configuration garantit que les services OCI tels qu'OCI Object Storage utilisent vos clés gérées en externe pour les opérations de cryptage, tandis que les composants de clé restent entièrement sous votre gouvernance. Vous avez également vu à quel point HYOK peut être puissant, avec la possibilité de bloquer et de débloquer l'accès aux ressources cloud simplement en basculant l'état des clés dans Thales CipherTrust Manager.

En n'utilisant pas la passerelle d'API OCI, vous avez simplifié l'architecture tout en appliquant une limite de sécurité ferme via un réseau privé et une sécurisation des identités basée sur OAuth.

Vous disposez désormais d'une implémentation HYOK prête pour la production qui prend en charge les politiques de sécurité d'entreprise, la conformité réglementaire et les exigences de souveraineté des données, vous permettant ainsi de contrôler entièrement votre stratégie de cryptage cloud.

Accusés de réception

Ressources de formation supplémentaires

Explorez d'autres ateliers sur le site docs.oracle.com/learn ou accédez à d'autres contenus d'apprentissage gratuits sur le canal Oracle Learning YouTube. En outre, visitez le site education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour obtenir de la documentation sur le produit, consultez Oracle Help Center.