KMS dedicato
Questo argomento fornisce una panoramica del servizio Dedicated Key Management di OCI.
Il servizio DKMS ( Dedicated Key Management Service) è un servizio gestito ad alta disponibilità che offre una partizione HSM (Hardware Security Module) per un singolo tenant. Ciò consente l'accesso esclusivo a partizioni dedicate all'interno di un dispositivo HSM fisico e resistente alle manomissioni per garantire che le chiavi di cifratura siano completamente protette e isolate.
In KMS dedicato, possiedi crittograficamente le tue partizioni HSM con il pieno controllo su generazione, storage e utilizzo delle chiavi. Le partizioni HSM sono certificate FIPS 140-2 Level 3 e offrono il più alto livello di sicurezza per la gestione delle chiavi. Per eseguire operazioni di crittografia, il servizio supporta lo standard PKCS#11 per eseguire operazioni di crittografia senza la necessità di API o moduli OCI. KMS dedicato fornisce cluster HSM in tutte le region OCI che vengono sincronizzate automaticamente e sono ad alta disponibilità, con un SLA di disponibilità del 99,9%.
- Offre un maggiore controllo dell'accesso gestendo non solo le chiavi, ma anche le partizioni HSM e gli utenti amministrativi direttamente.
- Il controllo potenziato offre una maggiore visibilità sulle operazioni crittografiche e consente di personalizzare l'ambiente HSM in base alle proprie esigenze.
- L'uso dello standard PKCS#11 per le interazioni dirette con HSM consente di ignorare le API OCI per operazioni di crittografia più snelle ed efficienti.
Responsabilità partizione
Sebbene Oracle garantisca l'alta disponibilità per le partizioni e le chiavi HSM all'interno di un'area, i clienti sono responsabili della sincronizzazione di utenti e chiavi in tutte le repliche in un cluster HSM. La mancata disponibilità di utenti e chiavi in una o più repliche può influire sulla disponibilità delle applicazioni del cliente, soprattutto se le uniche partizioni contenenti tali utenti o chiavi non sono più disponibili. Per informazioni su queste operazioni, vedere Creazione di un utente e Generazione di chiavi nella documentazione di Gestione delle chiavi dedicate.
SDK client supportati
- PKCS#11: questo standard specifica un'interfaccia API per la gestione delle chiavi e l'esecuzione di operazioni di cifratura nel modulo di sicurezza hardware (HSM). Per ulteriori informazioni, vedere Libreria PKCS #11.
- Java Cryptography Extension (JCE): KMS dedicato offre un provider JCE per eseguire operazioni di crittografia utilizzando Java Development Kit (JDK). Per ulteriori informazioni, vedere Provider JCE.
- Windows CNG e KSP: OCI Dedicated Key Management supporta Cryptography API: Next Generation (CNG) e i provider di storage chiave (KSP) per le applicazioni Microsoft Windows. Per ulteriori informazioni, vedere Windows Next Generation (CNG) e Key Storage Provider (KSP).
Termini e concetti KMS dedicati
| Periodo | descrizione; |
|---|---|
| Cluster HSM | Un cluster è una raccolta di singole partizioni HSM che il KMS OCI mantiene sincronizzate. |
| Partizione HSM (dedicata) | Un'enclave crittografica sicura single-tenant all'interno del cluster HSM completamente isolata per le chiavi. |
| Utenti HSM | Un utente HMS è diverso dagli utenti IAM. A differenza di un utente IAM, un utente HSM utilizzerà le credenziali HSM per accedere alla utility di gestione utenti per autenticare le operazioni su HSM in quanto le credenziali vengono eseguite direttamente su HSM. |
| CO | Utente di Crypto Officer che può eseguire operazioni di gestione utente sulla partizione HSM. |
| CU | Utente di cifratura che può eseguire operazioni di gestione delle chiavi e di cifratura sulla chiave in una partizione HSM. |
| PKCS #11 | PKCS #11 è uno standard di interfaccia crittografica noto anche come Cryptoki. Questo è uno degli standard di crittografia a chiave pubblica che definisce l'interfaccia tra un'applicazione e un dispositivo crittografico. |