Servizio di gestione delle chiavi esterno
Con Oracle Cloud Infrastructure External Key Management Service (EKMS) puoi creare e gestire chiavi di cifratura ospitate al di fuori di OCI. EKMS si integra con i sistemi di gestione delle chiavi di terze parti supportati per eseguire operazioni crittografiche senza importare materiale chiave in OCI.
Il servizio KMS (Key Management Service) nativo di OCI utilizza un modulo di sicurezza hardware (HSM) ospitato nel data center Oracle per memorizzare e gestire le chiavi master per la cifratura dei dati in archivio. Per una maggiore sicurezza dei dati e per i clienti che dispongono di regole di conformità alle normative che richiedono la memorizzazione delle chiavi in una piattaforma di gestione delle chiavi situata al di fuori di OCI, KMS offre il servizio External Key Management Service (KMS esterno), un servizio che integra la tenancy OCI con una piattaforma di gestione delle chiavi di terze parti ospitata al di fuori di OCI.
Nel sistema KMS esterno è possibile memorizzare e controllare le chiavi di cifratura master (come chiavi esterne) nel sistema di gestione delle chiavi di terze parti. È quindi possibile utilizzare queste chiavi per cifrare i dati in Oracle. Puoi disabilitare le chiavi in qualsiasi momento. Con le chiavi effettive che risiedono nel sistema di gestione delle chiavi di terze parti, crei e memorizzi solo riferimenti chiave (metadati associati al materiale chiave) in OCI.
Benefit
EKMS offre i seguenti vantaggi:
- Provenienza chiave: crei e gestisci l'uso di chiavi create esternamente nella tua piattaforma di gestione delle chiavi esterna. Le chiavi esterne non vengono mai inserite nella cache o memorizzate in alcun luogo in OCI e OCI KMS non ha alcun controllo sulle chiavi. Al contrario, OCI KMS interagisce direttamente con il sistema di gestione delle chiavi di terze parti per le operazioni di cifratura (cifratura e decifrazione).
- Maggiore sicurezza: EKMS protegge i dati a riposo con la massima sicurezza utilizzando un sistema di gestione delle chiavi di terze parti
- Gestione centralizzata delle chiavi: la gestione delle chiavi in un sistema di gestione delle chiavi di terze parti consente di gestire le chiavi di cifratura in un'unica posizione che si utilizzano OCI e altrove.
Casi d'uso
EKMS può essere parte della sicurezza complessiva dei dati nei seguenti casi d'uso:
- Banche e organizzazioni del settore pubblico che hanno normative sulla conformità potrebbero dover memorizzare chiavi di cifratura on-premise, fisicamente separate dai dati memorizzati in OCI.
- I clienti del settore bancario che dispongono di normative di sicurezza che richiedono l'esecuzione di operazioni crittografiche nel proprio HSM on-premise possono utilizzare EKMS per soddisfare questo requisito.
- I clienti che utilizzano più provider cloud (ad esempio, i clienti multicloud di Oracle) potrebbero richiedere che i database in OCI si connettano a servizi di cifratura situati in un cloud diverso. EKMS rende possibili questi tipi di integrazioni.
Terminologia
Familiarizzare con le seguenti terminologie per comprendere la funzionalità di gestione delle chiavi esterne (EKMS):
| Terminologia | descrizione; |
|---|---|
| Key Manager esterno | Un HSM di proprietà e gestito in hosting dal cliente o una piattaforma di gestione delle chiavi che risiede al di fuori di OCI. Questo è anche indicato come un sistema di gestione delle chiavi di terze parti. |
| Vault esterno | Vault creato nel sistema di gestione delle chiavi di terze parti utilizzato per memorizzare le chiavi esternamente. |
| chiave esterna | Chiavi create nel sistema di gestione delle chiavi di terze parti che contengono una o più versioni di chiavi esterne. |
| Versioni chiave esterna | A ogni chiave esterna viene assegnata automaticamente una versione della chiave. Quando si ruota una chiave esterna, il Key Manager esterno genera una nuova versione della chiave. |
| FastConnect | FastConnect è un modo per creare una connessione privata tra la sede del cliente e Oracle Cloud Infrastructure (OCI). |
| Endpoint privato (PE) | Un endpoint privato è un indirizzo IP privato all'interno della VCN del cliente che può essere utilizzato per accedere a un servizio all'interno di OCI. |
| Chiave di cifratura dei dati (DEK) | Chiave di cifratura la cui funzione è quella di cifrare e decifrare i dati. |
Servizi supportati
La gestione delle chiavi esterne può essere utilizzata con i seguenti servizi OCI:
| Servizio | Note |
|---|---|
| Volume a blocchi | |
| Calcola | Supporta la cifratura del volume di boot e la cifratura di altri tipi di storage elencati in questa tabella. |
| Storage di file | |
| Motore Kubernetes (OKE) | |
| Storage degli oggetti | |
| Oracle Autonomous Database on Dedicated Exadata Infrastructure | |
| Oracle Autonomous Database Serverless | |
| Oracle Base Database | |
| Oracle Exadata Database Service on Dedicated Infrastructure | |
| Streaming |