Documentazione di Oracle Cloud Infrastructure

Regole per i segreti

Scopri come configurare le regole per i segreti del vault che ne regolano l'uso.

Per informazioni su come configurare o visualizzare le regole, vedere Gestione dei segreti. Quando si crea un segreto, è possibile configurare i tipi di regole riportati di seguito.

  • Regola riutilizzo segreto. Questo tipo di regola impedisce il riutilizzo dei contenuti segreti in diverse versioni di un segreto.
  • Regola scadenza segreto. Questo tipo di regola limita il periodo di tempo durante il quale i contenuti segreti di una determinata versione segreta possono rimanere in uso. Questa regola può anche bloccare il recupero dei contenuti segreti per una versione segreta successiva alla data di scadenza configurata.

È possibile configurare una o entrambe queste regole segrete per stabilire le procedure ottimali per la sicurezza. Puoi migliorare il tuo livello di sicurezza agendo su segreti che non rispettano le regole o, in caso di regole di scadenza, rischiano di violarli a tempo debito.

I segreti sono protetti a riposo con le garanzie di crittografia di un Federal Information Processing Standards (FIPS) 140-2 Security Level 3 Security Certification-compliant hardware security module (HSM) che supporta il vault dove viene creato e memorizzato il segreto. Tuttavia, mentre nella memoria dell'applicazione, un segreto potrebbe essere compromesso. La prevenzione del riutilizzo dei contenuti segreti da parte di più versioni dei segreti serve a limitare l'ambito delle risorse interessate in caso di violazione della sicurezza che coinvolge le credenziali memorizzate. Quando una sola risorsa utilizza il contenuto segreto di una versione segreta, tale risorsa è l'unica che può essere interessata. È possibile invalidare una versione segreta e quindi eliminarla se si scopre che non è più possibile utilizzare in modo sicuro i suoi contenuti segreti. È possibile scegliere se le regole di riutilizzo dei segreti si applicano anche alle versioni dei segreti eliminate.

Analogamente, la configurazione di una regola di scadenza per specificare un intervallo di tempo per quanto tempo può esistere una versione segreta aiuta anche a limitare l'impatto di una potenziale violazione della sicurezza. Più a lungo viene utilizzato un set di credenziali, più tempo un utente malintenzionato deve cercare di accedervi o decifrarli. L'aggiornamento frequente di un segreto con nuovi contenuti segreti aiuta a mantenere le credenziali più sicure dagli utenti con intenti dannosi. O, almeno, abbrevia il periodo di tempo durante il quale le credenziali compromesse possono essere inconsapevolmente utilizzate o diffuse. È possibile configurare una versione segreta in modo che scada dopo 1-90 giorni, ma il segreto può anche avere una data e un'ora di scadenza assolute che vanno da 1 a 365 giorni dopo la data di creazione. È possibile configurare uno di questi valori o entrambi. Puoi anche decidere se i contenuti segreti sono bloccati oltre la data di scadenza.

Il timer per la regola di scadenza di un segreto viene reimpostato in base all'intervallo configurato. Non esiste alcun meccanismo per aggiornare il contenuto segreto. È necessario ruotare manualmente la versione del segreto.