Documentazione di Oracle Cloud Infrastructure

Codifica dei volumi a blocchi

Il servizio per volumi a blocchi cifra sempre tutti i volumi a blocchi, i volumi di avvio e i backup dei volumi archiviati utilizzando l'algoritmo AES (Advanced Encryption Standard) con la cifratura a 256 bit. Per impostazione predefinita, tutti i volumi e i relativi backup vengono cifrati utilizzando le chiavi di cifratura fornite da Oracle. Ogni volta che un volume viene duplicato o ripristinato da un backup, al volume viene assegnata una nuova chiave di cifratura univoca.

Importante

Il servizio per volumi a blocchi non supporta la cifratura dei volumi con chiavi cifrate utilizzando l'algoritmo Rivest-Shamir-Adleman (RSA). Quando si utilizzano le chiavi personali, è necessario utilizzare le chiavi cifrate utilizzando l'algoritmo AES (Advanced Encryption Standard). Ciò si applica ai volumi a blocchi e di avvio.

Il volume a blocchi utilizza la cifratura busta per cifrare i dati. Con la cifratura dell'envelope, i dati vengono cifrati utilizzando una chiave di cifratura dei dati (DEK) generata in modo univoco e quindi la chiave di cifratura dei dati viene cifrata utilizzando la chiave gestita dal cliente. La chiave di cifratura dei dati è univoca per ciascun volume.

Per impostazione predefinita, per la cifratura vengono utilizzate le chiavi di cifratura fornite da Oracle. È possibile sostituire o specificare le chiavi gestite dal cliente memorizzate nel servizio Vault. Il volume a blocchi utilizza la chiave di cifratura configurata per il volume per la cifratura in archivio e in transito.

Se non si specifica una chiave gestita dal cliente o in seguito si annulla l'assegnazione di una chiave dal volume, il servizio per volume a blocchi utilizza invece la chiave di cifratura fornita da Oracle. Questa situazione si applica sia alla cifratura in archivio che alla cifratura in transito pseudo-virtualizzata.

Per utilizzare la propria chiave per i nuovi volumi, vedere Creazione di un volume a blocchi. Per modificare le chiavi, vedere Modifica della chiave di cifratura principale assegnata e Modifica di una chiave in un volume a blocchi.

Non esiste alcuna opzione per i volumi non cifrati al riposo. La cifratura al riposo non influisce sulle prestazioni del volume e non comporta costi aggiuntivi. Inoltre, il volume a blocchi fornisce la crittografia in transito. La cifratura in transito per i volumi a blocchi collegati alle VM è facoltativa ed è possibile abilitarla o disabilitarla in base alle esigenze per questi volumi. La cifratura in transito per le istanze Bare Metal è supportata e abilitata e non è possibile disabilitarla per le seguenti forme:

  • BM.Standard.E3.128

  • BM.Standard.E4.128

  • BM.DenseIO.E4.128

Per confermare il supporto per altre immagini personalizzate basate su Linux e per ulteriori informazioni, contatta il Supporto Oracle.

Chiavi fornite da Oracle

Una chiave fornita da Oracle è lo schema di cifratura predefinito che utilizza chiavi gestite internamente da Oracle. Non è necessaria alcuna azione per utilizzare queste chiavi. Se non si specifica una chiave gestita dal cliente, le risorse per volume a blocchi vengono cifrate utilizzando chiavi gestite da Oracle. Il servizio ruota periodicamente le chiavi.

Chiavi gestite da cliente

È possibile utilizzare chiavi gestite dal cliente, ovvero le proprie chiavi memorizzate con il servizio Vault. È possibile importare chiavi esterne nel servizio Vault o utilizzare il servizio per generare nuove chiavi. L'utilizzo di chiavi gestite dal cliente per cifrare i dati non comporta alcun costo aggiuntivo o impatto sulle prestazioni. Per ulteriori informazioni, vedere Gestione delle chiavi di cifratura del vault per il volume a blocchi.

Cifratura personalizzata

Puoi scegliere di eseguire la tua crittografia personalizzata a livello di sistema operativo utilizzando software di terze parti come devicemapper crypt (dm-crypt), BitLocker Drive Encryption e così via. Questa cifratura è aggiunta alla cifratura standard fornita da Oracle per i volumi. Ciò significa che i volumi sono cifrati due volte, in primo luogo dal software a livello di sistema operativo, quindi da Oracle utilizzando le chiavi gestite da Oracle.

Quando si utilizza una modalità di crittografia personalizzata, non si incorrono in costi aggiuntivi, ma si potrebbe notare un peggioramento delle prestazioni complessive del volume. Questa cifratura utilizza cicli della CPU host e le prestazioni del volume dipendono dalla forma effettiva dell'istanza di computazione.

Cifratura in transito

Importante

  • La cifratura in transito per i volumi di avvio e a blocchi è disponibile solo per le istanze di virtual machine (VM) avviate dalle immagini della piattaforma, insieme alle istanze Bare Metal che utilizzano le seguenti forme: BM.Standard.E3.128, BM.Standard.E4.128, BM.DenseIO.E4.128. Non è supportato su altre istanze Bare Metal. Per confermare il supporto per determinate immagini personalizzate basate su Linux e per ulteriori informazioni, contatta il Supporto Oracle.

  • Per le istanze Bare Metal che supportano la cifratura in transito, incluse le istanze avviate da immagini personalizzate, è sempre abilitata per impostazione predefinita. Ciò si applica sia ai volumi di avvio che ai volumi a blocchi. Le seguenti forme Bare Metal supportano la cifratura in transito per il volume di avvio dell'istanza e i volumi a blocchi collegati a iSCSI:

    • BM.Standard.E3.128
    • BM.Standard.E4.128
    • BM.DenseIO.E4.128

Tutti i dati che passano dall'istanza al volume a blocchi vengono trasferiti tramite una rete interna e altamente sicura. Se disponi di requisiti specifici correlati alla cifratura dei dati durante lo spostamento tra l'istanza e il volumea blocchi, il servizio per volumi a blocchi fornisce l'opzione di abilitazione della cifratura in transito per i collegamenti di volumi pseudo-virtualizzati nelle istanze della virtual machine (VM).

La cifratura in transito per le istanze Bare Metal non è supportata per le aree cloud del governo degli Stati Uniti.

La cifratura in transito non è abilitata per queste forme negli scenari riportati di seguito.

  • Volumi di avvio per le istanze avviati l'8 giugno 2021 o versioni precedenti.
  • Volumi associati all'istanza l'8 giugno 2021 o versioni precedenti

Per abilitare la cifratura in transito per i volumi in questi scenari, è necessario scollegare il volume dall'istanza e ricollegarlo.

Accesso chiave compartimento sicurezza incrociata

Come best practice, il benchmark CIS Oracle Cloud Infrastructure Foundations consiglia di creare un vault per le chiavi gestite dal cliente in un compartimento separato e limitare l'accesso a questo compartimento. Il diagramma seguente mostra come organizzare questo.

Diagramma dell'architettura che mostra le chiavi gestite dal cliente memorizzate in un compartimento ad accesso limitato e separato

I criteri riportati di seguito sono necessari per utilizzare le chiavi in un compartimento di sicurezza separato con accesso limitato per la cifratura dei volumi di avvio, dei volumi a blocchi e delle risorse correlate.

Allow service blockstorage to use keys in compartment security-compartment where target.key.id = <key_ID>
Allow group projx-admin-group to use key-delegate in compartment security-compartment where target.key.id = <key_ID>