Servizio di gestione delle chiavi esterno
Panoramica della funzionalità KMS esterna con il relativo caso d'uso e vantaggi.
OCI Key Management Service (KMS) utilizza un Hardware Security Module ospitato all'interno del data center Oracle per memorizzare e gestire le chiavi master per la cifratura dei dati in archivio. Per una maggiore sicurezza dei dati e per i clienti che hanno la compliance normativa per memorizzare le chiavi al di fuori del cloud Oracle o di qualsiasi sede cloud di terze parti, OCI KMS ora offre una funzionalità chiamata External Key Management Service (KMS esterno).
Nel sistema KMS esterno, puoi memorizzare e controllare le chiavi di cifratura master (come chiavi esterne) in un sistema di gestione delle chiavi di terze parti ospitato all'esterno di OCI. È quindi possibile utilizzare queste chiavi per cifrare i dati in Oracle. Puoi anche disattivare le chiavi in qualsiasi momento. Con le chiavi effettive presenti nel sistema di gestione delle chiavi di terze parti, puoi creare solo riferimenti alle chiavi (associati al materiale chiave) in OCI.
Nota
In OCI External KMS, Thales è il nostro primo fornitore di gestione delle chiavi esterno di terze parti e nell'intera documentazione, faremo riferimento a Thales CipherTrust Manager (CM) come nostro manager delle chiavi esterno.
In OCI External KMS, Thales è il nostro primo fornitore di gestione delle chiavi esterno di terze parti e nell'intera documentazione, faremo riferimento a Thales CipherTrust Manager (CM) come nostro manager delle chiavi esterno.
Benefit
Di seguito sono riportati i vantaggi dell'offerta KMS esterno nel servizio KMS OCI.
- Provenienza chiave: è possibile gestire l'uso delle chiavi create esternamente. Le chiavi esterne non vengono mai memorizzate nella cache o memorizzate in nessun punto di Oracle e KMS non ha alcun controllo su queste chiavi. Invece, il sistema KMS OCI interagisce direttamente con il sistema di gestione delle chiavi di terze parti per le operazioni crittografiche (cifratura/decifrazione).
- Sicurezza avanzata: protegge i dati in archivio con la massima sicurezza utilizzando un sistema di gestione delle chiavi di terze parti. Offre un elevato livello di sicurezza nella memorizzazione delle chiavi all'esterno di Oracle Cloud.
- Gestione centralizzata delle chiavi: è possibile gestire le chiavi in un sistema di gestione delle chiavi di terze parti. Ciò garantisce un maggiore controllo sulle chiavi di cifratura che proteggono i dati nel cloud Oracle.
caso d'uso
Di seguito sono riportati i casi d'uso in cui è possibile implementare la funzionalità KMS esterna.
- Le banche e i settori pubblici conformi alle normative preferiscono memorizzare le chiavi di cifratura on-premise fisicamente separate dai dati in Oracle Cloud.
- Cliente bancario che dispone di compliance in termini di sicurezza per eseguire operazioni crittografiche al di fuori di Oracle e nel proprio HSM on-premise per la sicurezza esclusiva con il fornitore cloud nell'accesso alle chiavi.
- I clienti che scelgono una distribuzione multi-cloud richiedono che i database in OCI si connettano con i servizi di cifratura su un fornitore cloud diverso. La funzionalità KMS esterna è un fattore chiave per il successo della strategia multi-cloud di OCI.
Terminologia
Acquisire familiarità con le seguenti terminologie per comprendere le funzionalità KMS esterne:
| Terminologia | descrizione; |
|---|---|
| Key Manager esterno | HSM di proprietà e ospitato dal cliente. |
| Vault esterno | Vault creato nel sistema di gestione delle chiavi di terze parti per memorizzare le chiavi esterne. |
| chiave esterna | Chiavi create nel sistema di gestione delle chiavi di terze parti che contiene una o più versioni delle chiavi esterne. |
| Versioni chiave esterna | A ogni chiave esterna viene assegnata automaticamente una versione della chiave. Quando si ruota una chiave esterna, il Key Manager esterno genera una nuova versione della chiave. |
| Sistema di gestione delle chiavi di terze parti | HSM di proprietà e ospitato dal cliente. |
| Fast connect | FastConnect è un modo per creare una connessione privata tra il cliente on-premise e Oracle Cloud Infrastructure. |
| Endpoint privati (PE) | Un endpoint privato è un indirizzo IP privato all'interno della VCN del cliente che è possibile utilizzare per accedere a un determinato servizio all'interno di Oracle Cloud Infrastructure. |
| Chiave di cifratura dei dati (DEK) | Chiave di cifratura la cui funzione è quella di cifrare e decifrare i dati. |
| Thales CipherTrust Manager (CM) | Gestisce centralmente le chiavi di cifratura, fornisce un controllo dell'accesso granulare e configura criteri di sicurezza che si integrano con Thales Luna conforme a FIPS 140-2 o HSM (Hardware Security Modules) di terze parti per memorizzare in modo sicuro le chiavi con la massima affidabilità. |