Panoramica dei vault, della gestione di chiavi e della gestione dei segreti

Comprendere i concetti relativi alla gestione di vault e chiavi per accedere e gestire vault, chiavi e segreti.

Vault

I vault sono entità logiche in cui il servizio di gestione delle chiavi crea e memorizza in modo permanente chiavi e segreti del vault. Il tipo di vault di cui si dispone determina caratteristiche e funzionalità quali il livello di isolamento dello storage, l'accesso alla gestione e alla cifratura, la scalabilità e la possibilità di eseguire il backup. Il tipo di vault di cui si dispone influisce anche sulla determinazione prezzi. Non è possibile modificare il tipo di un vault dopo aver creato il vault.

Il servizio Key Management offre diversi tipi di vault per soddisfare le esigenze e il budget della tua organizzazione. Tutti i tipi di vault garantiscono la sicurezza e l'integrità delle chiavi di cifratura e dei segreti memorizzati nei vault. Un vault privato virtuale è una partizione isolata in un modulo HSM (Hardware Security Module). I vault condividono in altro modo le partizioni nell'HSM con altri vault.

I vault privati virtuali includono per impostazione predefinita 1000 versioni di chiavi. Se non hai bisogno del maggiore grado di isolamento o della possibilità di eseguire il backup del vault, non hai bisogno di un vault privato virtuale. Senza un vault privato virtuale, puoi gestire i costi pagando le versioni chiave singolarmente, in base alle tue esigenze. (Le versioni chiave contano per i tuoi limiti e costi chiave. Una chiave vault contiene sempre almeno una versione della chiave attiva. Allo stesso modo, un segreto ha sempre almeno una versione segreta. Tuttavia, i limiti relativi ai segreti si applicano alla tenancy anziché a un vault.

Per i clienti che hanno la compliance normativa per memorizzare le chiavi al di fuori del cloud Oracle o di qualsiasi sede cloud di terze parti, OCI KMS ora offre una funzionalità chiamata External Key Management Service (KMS esterno). Nel sistema KMS esterno, puoi memorizzare e controllare le chiavi di cifratura master (come chiavi esterne) in un sistema di gestione delle chiavi di terze parti ospitato all'esterno di OCI. È quindi possibile utilizzare queste chiavi per cifrare i dati in Oracle. Puoi anche disattivare le chiavi in qualsiasi momento. Con le chiavi effettive presenti nel sistema di gestione delle chiavi di terze parti, puoi creare solo riferimenti alle chiavi (associati al materiale chiave) in OCI.

OCI KMS offre il servizio KMS dedicato, una risorsa di partizione HSM single-tenant gestita dal cliente, ad alta disponibilità e sotto forma di servizio. Consente di avere maggiore controllo possedendo la partizione HSM, le chiavi cifrate e gli utenti nella partizione. In un'impostazione KMS dedicata, il cluster HSM viene fornito con tre partizioni HSM per impostazione predefinita, che vengono sincronizzate automaticamente. È possibile gestire le chiavi e gli utenti negli HSM integrati con le istanze di computazione OCI tramite le utility client e le librerie PKCS #11. KMS dedicato supporta solo chiavi protette da HSM e non supporta chiavi protette da software. Per le operazioni di crittografia, la soluzione supporta sia la crittografia simmetrica che asimmetrica utilizzando algoritmi AES, RSA ed ECDSA.

Il servizio Vault designa i vault come risorsa Oracle Cloud Infrastructure.

Tasti

Le chiavi sono entità logiche che rappresentano una o più versioni chiave, ognuna delle quali contiene materiale crittografico. Il materiale crittografico di una chiave vault viene generato per un algoritmo specifico che consente di utilizzare la chiave per la cifratura o la firma digitale. Quando viene utilizzata per la cifratura, una chiave o una coppia di chiavi crittografa e decifra i dati, proteggendo i dati in cui sono memorizzati o mentre i dati sono in transito. La stessa chiave simmetrica AES consente di cifrare e decifrare i dati. Con una chiave asimmetrica RSA, la chiave pubblica cifra i dati e la chiave privata decifra i dati.

È possibile utilizzare le chiavi AES nella cifratura e nella decifrazione, ma non nella firma digitale. Le chiavi RSA, tuttavia, possono essere utilizzate non solo per cifrare e decifrare i dati, ma anche per firmare digitalmente i dati e verificare l'autenticità dei dati firmati. È possibile utilizzare le chiavi ECDSA nella firma digitale, ma non per cifrare o decifrare i dati.

Quando viene elaborata come parte di un algoritmo di cifratura, una chiave specifica come trasformare il testo non codificato in testo cifrato durante la cifratura e come trasformare il testo cifrato in testo non codificato durante la decifrazione. Quando elaborato come parte di un algoritmo di firma, insieme, la chiave privata di una chiave asimmetrica e un messaggio producono una firma digitale che va con il messaggio in transito. Se elaborato come parte di un algoritmo di verifica della firma da parte del destinatario del messaggio firmato, il messaggio, la firma e la chiave pubblica della stessa chiave asimmetrica confermano o negano l'autenticità e l'integrità del messaggio.

Concettualmente, il servizio di gestione delle chiavi riconosce tre tipi di chiavi di cifratura: chiavi di cifratura master, chiavi di wrapping e chiavi di cifratura dei dati.

Gli algoritmi di cifratura supportati dal servizio Key Management per le chiavi di cifratura master del vault includono AES, RSA ed ECDSA. È possibile creare chiavi di cifratura principali AES, RSA o ECDSA utilizzando la console, l'interfaccia CLI o l'API. Quando si crea una chiave di cifratura principale, il servizio Key Management può generare internamente il materiale della chiave oppure è possibile importare il materiale della chiave nel servizio da un'origine esterna. Il supporto per l'importazione del materiale chiave dipende dall'algoritmo di cifratura del materiale chiave. Quando si creano le chiavi di cifratura master del vault, le si crea in un vault, ma la posizione in cui viene memorizzata ed elaborata una chiave dipende dalla modalità di protezione.

Le chiavi di cifratura master del vault possono avere una delle due modalità di protezione: HSM o software. Una chiave di cifratura master protetta da un HSM viene memorizzata in un HSM e non può essere esportata dall'HSM. Tutte le operazioni crittografiche che coinvolgono la chiave avvengono anche sull'HSM. Nel frattempo, una chiave di crittografia master protetta dal software viene memorizzata su un server e, quindi, può essere esportata dal server per eseguire operazioni di crittografia sul client invece che sul server. Durante l'archiviazione, la chiave protetta dal software viene cifrata da una chiave root sull'HSM. Per una chiave protetta da software, qualsiasi elaborazione relativa alla chiave viene eseguita sul server. La modalità di protezione di una chiave influisce sui prezzi e non può essere modificata dopo la creazione della chiave.

Dopo aver creato la prima chiave di cifratura master simmetrica, è possibile utilizzare l'API per generare le chiavi di cifratura dei dati restituite dal servizio Key Management. Tenere presente che una chiave di cifratura dati deve avere un livello di cifratura uguale o maggiore della chiave di cifratura principale utilizzata per crearla. Alcuni servizi possono utilizzare una chiave di cifratura master simmetrica per generare le proprie chiavi di cifratura dei dati.

Un tipo di chiave di cifratura inclusa per impostazione predefinita in ogni vault è una chiave di wrapping. Una chiave di wrapping è una chiave di cifratura asimmetrica a 4096 bit basata sull'algoritmo RSA. La coppia di chiavi pubblica e privata non viene calcolata in base ai limiti del servizio. Inoltre, non comportano costi di servizio. La chiave pubblica viene utilizzata come chiave di cifratura della chiave quando è necessario eseguire il wrapping del materiale della chiave per l'importazione nel servizio Key Management. Impossibile creare, eliminare o ruotare le chiavi di wrapping.

Il servizio Key Management riconosce le chiavi di cifratura principali come risorsa Oracle Cloud Infrastructure.

Versioni e rotazioni chiave

A ogni chiave di cifratura master viene assegnata automaticamente una versione della chiave. Quando si ruota una chiave, il servizio Key Management genera una nuova versione della chiave. Il servizio Key Management è in grado di generare il materiale chiave per la nuova versione della chiave oppure è possibile importare il proprio materiale chiave.

La rotazione periodica delle chiavi limita la quantità di dati cifrati o firmati da una versione delle chiavi. Se una chiave viene compromessa, la rotazione della chiave riduce il rischio. L'identificativo univoco di una chiave assegnato da Oracle, chiamato ID Oracle Cloud (OCID), rimane lo stesso tra le rotazioni, ma la versione chiave consente al servizio Key Management di ruotare perfettamente le chiavi per soddisfare qualsiasi requisito di conformità di cui potresti disporre.

Sebbene non sia possibile utilizzare una versione precedente della chiave per la cifratura dopo la rotazione di una chiave, la versione della chiave rimane disponibile per decifrare i dati utilizzati per la cifratura. Se si ruota una chiave asimmetrica, la chiave pubblica non può più essere utilizzata per cifrare i dati, ma la chiave privata rimane disponibile per decifrare i dati cifrati con la chiave pubblica. Quando si ruota una chiave asimmetrica utilizzata nella firma digitale, non è più possibile utilizzare la versione della chiave privata per firmare i dati, ma la versione della chiave pubblica rimane disponibile per verificare la firma digitale dei dati precedentemente firmati dalla versione della chiave privata precedente.

Per le chiavi simmetriche, non è necessario tenere traccia della versione della chiave utilizzata per cifrare i dati poiché il testo cifrato della chiave contiene le informazioni necessarie per il servizio ai fini della decifrazione. Attraverso le rotazioni delle chiavi asimmetriche, tuttavia, è necessario tenere traccia della versione della chiave utilizzata per cifrare o firmare i dati. Con le chiavi asimmetriche, il testo cifrato della chiave non contiene le informazioni richieste dal servizio per la decifrazione o la verifica.

Con le chiavi simmetriche AES, ogni versione della chiave viene conteggiata come una versione della chiave quando si calcola l'uso dei limiti del servizio. Tuttavia, con le chiavi asimmetriche RSA ed ECDSA, ogni versione della chiave viene conteggiata come due quando si calcola l'utilizzo rispetto ai limiti del servizio perché una chiave asimmetrica ha sia una chiave pubblica che una chiave privata. (Le chiavi asimmetriche sono anche note come coppie di chiavi).

Rotazione automatica delle chiavi

Nota

Questa funzione è disponibile solo per i vault privati.

Il servizio Key Management di OCI ti consente di pianificare la rotazione automatica delle chiavi per una chiave di cifratura in un vault privato virtuale. Quando si configura la rotazione automatica, si imposta la frequenza di rotazione e la data di inizio della pianificazione della rotazione. Per la frequenza è stato scelto un intervallo di rotazione compreso tra 60 e 365 giorni. KMS supporta la rotazione automatica delle chiavi sia per HSM che per le chiavi software e supporta la rotazione automatica di chiavi simmetriche e asimmetriche. Si noti che una chiave deve essere in stato "abilitato" per configurare la rotazione automatica.

Caratteristiche e requisiti della rotazione automatica delle chiavi:

• È possibile aggiornare la pianificazione di rotazione per una chiave dopo aver abilitato la rotazione automatica, se necessario.
• È possibile ruotare una chiave su richiesta (eseguire una rotazione manuale) quando la rotazione automatica delle chiavi è abilitata per la chiave.
• È possibile tenere traccia delle attività di rotazione automatica delle chiavi per una chiave, inclusi lo stato e il messaggio di stato dell'ultima rotazione, gli aggiornamenti dell'intervallo di rotazione e la data di inizio della rotazione successiva.
• È possibile inviare una notifica di evento se la rotazione di una chiave non riesce.

Notifica degli eventi di rotazione automatica: per ricevere le notifiche automatiche degli eventi di rotazione delle chiavi, è necessario configurare il servizio OCI Events. Dopo ogni rotazione delle chiavi, KMS invia una notifica sullo stato di rotazione e gli eventuali messaggi di errore. Il servizio OCI Events consente di utilizzare le regole degli eventi per richiamare una funzione che è possibile utilizzare per l'automazione. Ad esempio, è possibile utilizzare le funzioni per automatizzare le attività seguenti:

• Critta di nuovo i dati con una nuova versione della chiave
• Elimina una vecchia versione della chiave
• Distribuire la parte pubblica di chiavi asimmetriche per la firma o la verifica dei dati

Per ulteriori informazioni, vedere Creazione di una regola di eventi e Panoramica delle funzioni.

Moduli di sicurezza hardware

Quando si crea una chiave di cifratura master simmetrica AES con la modalità di protezione impostata su HSM, il servizio Gestione chiavi memorizza la versione della chiave in un modulo di sicurezza hardware (HSM) per fornire un livello di sicurezza fisica. Quando si crea un segreto, le versioni dei segreti vengono codificate con codifica base64 e cifrate mediante una chiave di cifratura master, ma non vengono memorizzate all'interno di HSM. Dopo aver creato le risorse, il servizio conserva copie di qualsiasi versione chiave o versione segreta all'interno dell'infrastruttura del servizio per fornire resilienza contro gli errori hardware. Le versioni chiave delle chiavi protette da HSM non vengono altrimenti memorizzate altrove e non possono essere esportate da un HSM.

Quando si crea una chiave di cifratura master asimmetrica RSA o ECDSA con la modalità di protezione impostata su HSM, il servizio Gestione chiavi memorizza la chiave privata all'interno di un HSM e non ne consente l'esportazione dall'HSM. È tuttavia possibile scaricare la chiave pubblica.

Il servizio Key Management utilizza HSM che soddisfano la certificazione di sicurezza FIPS (Federal Information Processing Standards) 140-2 Livello 3. Questa certificazione indica che l'hardware HSM è a prova di manomissione, dispone di misure di sicurezza fisiche per la resistenza alle manomissioni, richiede l'autenticazione basata sull'identità ed elimina le chiavi dal dispositivo quando rileva la manomissione.

Cifratura busta

La chiave di cifratura dei dati utilizzata per cifrare i dati è, di per sé, cifrata con una chiave di cifratura master. Questo concetto è noto come crittografia busta. I servizi Oracle Cloud Infrastructure non hanno accesso ai dati in testo semplice senza interagire con il servizio Key Management e senza accesso alla chiave di cifratura master protetta da Oracle Cloud Infrastructure Identity and Access Management (IAM). Ai fini della decifrazione, i servizi integrati come storage degli oggetti, volume a blocchi e storage di file memorizzano solo la forma cifrata della chiave di cifratura dei dati.

Segreti

I segreti sono credenziali quali password, certificati, chiavi SSH o token di autenticazione utilizzati con i servizi Oracle Cloud Infrastructure. La memorizzazione dei segreti in un vault garantisce maggiore sicurezza di quella che si potrebbe ottenere memorizzandoli altrove, ad esempio nei file di codice o di configurazione. È possibile recuperare i segreti dal servizio Key Management quando è necessario per accedere alle risorse o ad altri servizi.

Puoi creare segreti utilizzando la console, l'interfaccia CLI o l'API. I contenuti segreti per un segreto vengono importati nel servizio da un'origine esterna. Il servizio Vault memorizza i segreti nei vault.

Il servizio Key Management supporta i segreti come risorsa Oracle Cloud Infrastructure.

Versioni dei segreti

A ogni segreto viene assegnata automaticamente una versione segreta. Quando si ruota il segreto, si forniscono nuovi contenuti al servizio di gestione delle chiavi per generare una nuova versione del segreto. La rotazione periodica del contenuto segreto riduce l'impatto nel caso in cui un segreto venga esposto. L'ID Oracle Cloud (OCID) univoco di un segreto rimane lo stesso tra le rotazioni, ma la versione segreta consente al servizio di gestione delle chiavi di ruotare il contenuto del segreto per soddisfare qualsiasi regola o requisito di conformità di cui potresti disporre. Anche se non è possibile utilizzare il contenuto di una versione meno recente del segreto dopo averla ruotata se è configurata una regola che impedisce il riutilizzo del segreto, la versione rimane disponibile e viene contrassegnata con uno stato di rotazione diverso da "corrente". Per ulteriori informazioni sulle versioni dei segreti e sui relativi stati di rotazione, vedere Versioni segrete e stati di rotazione.

Bundle segreti

Un bundle di segreti vault è costituito dai contenuti segreti, dalle proprietà della versione segreta e segreta (ad esempio il numero di versione o lo stato di rotazione) e dai metadati contestuali forniti dall'utente per il segreto. Quando si ruota un segreto, si crea una nuova versione del segreto, che include anche una nuova versione del bundle dei segreti.

Il servizio Vault è disponibile in tutte le region commerciali di Oracle Cloud Infrastructure. Vedere Informazioni sulle aree e sui domini di disponibilità per la lista delle aree disponibili, insieme alle posizioni associate, agli identificativi delle aree, alle chiavi delle aree e ai domini di disponibilità.

A differenza di alcuni servizi Oracle Cloud Infrastructure, tuttavia, il servizio Vault non dispone di un endpoint regionale per tutte le operazioni API. Il servizio dispone di un endpoint regionale per il servizio di provisioning che gestisce le operazioni di creazione, aggiornamento ed elenco per i vault. Per le operazioni di creazione, aggiornamento ed elenco delle chiavi, gli endpoint dei servizi vengono distribuiti su più cluster indipendenti. Gli endpoint dei servizi per i segreti vengono distribuiti ulteriormente tra diversi cluster indipendenti.

Poiché il servizio Vault dispone di endpoint pubblici, è possibile utilizzare direttamente le chiavi di cifratura dei dati generate dal servizio per le operazioni di crittografia nelle applicazioni. Tuttavia, se si desidera utilizzare le chiavi di cifratura master con un servizio integrato con Vault, è possibile farlo solo quando il servizio e il vault che contiene la chiave esistono entrambi all'interno della stessa area. Esistono endpoint diversi per le operazioni di gestione delle chiavi, le operazioni crittografiche chiave, le operazioni di gestione dei segreti e le operazioni di recupero segreto. Per ulteriori informazioni, consulta la documentazione sulle API di Oracle Cloud Infrastructure

Il servizio Vault gestisce le copie dei vault e dei relativi contenuti per renderli persistenti per lungo tempo e per consentire al servizio Vault di produrre chiavi o segreti su richiesta, anche quando un dominio di disponibilità non è disponibile. Questa replica è indipendente da qualsiasi replica tra più aree che un cliente può configurare.

Per le aree con più domini di disponibilità, il servizio Vault gestisce le copie delle chiavi di cifratura in tutti i domini di disponibilità all'interno dell'area. Le aree con più domini di disponibilità dispongono di un rack per ogni dominio di disponibilità, il che significa che la replica viene eseguita su tre rack totali in queste aree, in cui ogni rack appartiene a un dominio di disponibilità diverso. Nelle aree con un singolo dominio di disponibilità, il servizio Vault gestisce le copie delle chiavi di cifratura nei domini di errore.

Per i segreti, nelle aree con più domini di disponibilità, il servizio Vault distribuisce copie segrete in due domini di disponibilità diversi. Nelle aree con un singolo dominio di disponibilità, il servizio Vault distribuisce le copie su due domini di errore diversi.

Ogni dominio di disponibilità dispone di tre domini di errore. I domini di errore aiutano a fornire alta disponibilità e tolleranza agli errori, consentendo al servizio Vault di distribuire risorse su hardware fisico diverso all'interno di un determinato dominio di disponibilità. Lo stesso hardware fisico dispone anche di alimentatori indipendenti e ridondanti che impediscono che un'interruzione di alimentazione in un dominio di errore influisca su altri domini di errore.

Tutto ciò consente al servizio Vault di produrre chiavi e segreti su richiesta, anche quando un dominio di disponibilità non è disponibile in un'area con più domini di disponibilità o quando un dominio di errore non è disponibile in un'area con un singolo dominio di disponibilità.

Il servizio Vault supporta l'accesso privato dalle risorse Oracle Cloud Infrastructure in una rete cloud virtuale (VCN) tramite un gateway di servizi. L'impostazione e l'utilizzo di un gateway di servizi su una VCN consente alle risorse (ad esempio le istanze a cui sono collegati i volumi cifrati) di accedere ai servizi pubblici di Oracle Cloud Infrastructure, come il servizio Vault, senza esporli alla rete Internet pubblica. Non è necessario alcun gateway Internet e le risorse possono trovarsi in una subnet privata e utilizzare solo indirizzi IP privati. Per ulteriori informazioni, vedere Accesso ai servizi Oracle: gateway di servizi.

Il servizio Vault supporta vault, chiavi e segreti come risorse di Oracle Cloud Infrastructure. La maggior parte dei tipi di risorse Oracle Cloud Infrastructure ha un identificativo univoco assegnato da Oracle chiamato ID Oracle Cloud (OCID). Per informazioni sul formato OCID e su altri modi per identificare le risorse, vedere Identificativi delle risorse.

Puoi accedere a Oracle Cloud Infrastructure immettendo il tuo account cloud.

Puoi accedere a Oracle Cloud Infrastructure (OCI) utilizzando la console (un'interfaccia basata su browser), l'API REST o l'interfaccia CLI OCI. Le istruzioni per l'uso della console, dell'API e dell'interfaccia CLI sono incluse negli argomenti della presente documentazione. Per un elenco di SDK disponibili, consulta Software Development Kits and Command Line Interface.

Per accedere alla console, è necessario utilizzare un browser supportato. Per andare alla pagina di accesso della console, aprire il menu di navigazione nella parte superiore di questa pagina e selezionare Console dell'infrastruttura. Viene richiesto di immettere il tenant cloud, il nome utente e la password.

Conoscere la limitazione del servizio Vault e il relativo utilizzo delle risorse prima di iniziare a utilizzarli.

Per un elenco dei limiti applicabili e delle istruzioni per richiedere un aumento del limite, consulta la sezione relativa ai limiti dei servizi. Per impostare limiti specifici del compartimento per una risorsa o una famiglia di risorse, gli amministratori possono utilizzare le quote dei compartimenti.

Per istruzioni su come visualizzare il livello di utilizzo rispetto ai limiti di risorse della tenancy, vedere Visualizzazione dei limiti, delle quote e dell'uso del servizio. Puoi anche ottenere l'uso di ogni singolo vault rispetto ai limiti delle chiavi visualizzando i conteggi delle versioni delle chiavi e delle chiavi nei dettagli del vault.