Documentazione di Oracle Cloud Infrastructure

Chiavi gestite dal cliente per Oracle Break Glass

Proteggi i tuoi ambienti applicativi con Oracle Break Glass e chiavi gestite dal cliente.

Per impostazione predefinita, gli ambienti delle applicazioni sono protetti da chiavi di cifratura gestite da Oracle. Acquistando una sottoscrizione che include il servizio Oracle Break Glass, ti viene offerta la funzione di chiavi gestite dal cliente che consente di fornire e gestire le chiavi di cifratura che proteggono gli ambienti. Puoi anche acquistare questa opzione come abbonamento aggiuntivo.

Puoi utilizzare il servizio OCI Vault per creare e gestire le chiavi di cifratura e proteggere i dati memorizzati in archivio negli ambienti di produzione e non di produzione. È possibile impostare le chiavi nell'ambiente durante la creazione dell'ambiente oppure è possibile aggiungerle a un ambiente esistente.

Best practice per l'impostazione e la gestione di vault e chiavi

È consigliabile creare vault separati per ambienti di produzione e non di produzione. All'interno del vault non di produzione, creare chiavi separate per gli ambienti di test e sviluppo. È possibile ad esempio creare:

Ambiente Vault Chiave di cifratura master
Produzione mia-produzione-vault chiave-produzione personale
Esegui test mia-non-produzione-vault chiave-ambiente-test personale
Sviluppo my-development-environment-key

Vantaggi di vault separati per la produzione e la non produzione:

  • La manutenzione di vault separati consente la rotazione indipendente delle chiavi per gli ambienti di produzione e non di produzione.
  • È previsto un limite al numero di chiavi per vault. La presenza di vault separati fornisce un conteggio separato per la produzione e la non produzione.

È possibile verificare i limiti e l'uso delle chiavi visualizzando la pagina Limiti, quote e uso in cui vengono visualizzati i limiti, le quote e l'uso delle risorse per l'area specifica, suddivisi per servizio:

  1. Nella console, aprire il menu di navigazione e fare clic su Governance e amministrazione. In Gestione tenancy, fare clic su Limiti, quote e uso.
  2. Nella lista Servizio, selezionare Gestione chiavi.

    Verificare i limiti delle chiavi per: Conteggio versioni delle chiavi per i vault virtuali o Conteggio versioni delle chiavi software per i vault virtuali, in base al tipo di chiave scelto.

Esegui task di configurazione

Eseguire questi task per impostare i vault e le chiavi e preparare la tenancy a utilizzare le chiavi gestite dal cliente.

L'amministratore della tenancy dispone delle autorizzazioni necessarie per eseguire tutti i task di impostazione richiesti. Se si designano i task di impostazione per un altro ruolo, assicurarsi che dispongano delle autorizzazioni appropriate per utilizzare i vault e le chiavi. Vedere Riferimento autorizzazioni.

Nella tabella sono riepilogati i task di impostazione descritti di seguito.

Attività Richiesto/Facoltativo Ulteriori informazioni
1. Creare compartimenti per i vault e le chiavi. Facoltativo È una best practice di sicurezza creare compartimenti separati per i vault e le chiavi per perfezionare l'accesso.
2. Aggiungere i criteri di sistema per abilitare le chiavi gestite dal cliente che devono essere utilizzate dall'applicazione. Richiesto Questo criterio deve essere aggiunto prima di aggiungere il vault e la chiave all'ambiente. Se questo criterio non viene aggiunto, l'ambiente non completerà il provisioning (se aggiunto durante la creazione dell'ambiente) o non completerà la richiesta di lavoro (se aggiunta a un ambiente esistente).
3. Creare i vault per ambienti di produzione e non di produzione. Richiesto Seguire la procedura del servizio Vault.
4. Creare le chiavi per gli ambienti di produzione e non di produzione. Richiesto Seguire la procedura del servizio Vault.

1. Crea compartimento per vault e chiavi (facoltativo)

Sebbene non sia necessario, l'impostazione di un compartimento dedicato per i vault e le chiavi consente di avere un maggiore controllo su chi ha accesso a queste risorse. Per abilitare le chiavi gestite dal cliente per la tenancy in uso, è necessario creare un criterio di sistema (task 2) per consentire l'accesso ai vault e alle chiavi da parte dei sistemi gestiti da Oracle. Inserendo queste risorse nei compartimenti anziché crearle nella tenancy, puoi limitare i criteri ai compartimenti essenziali. Per ulteriori informazioni sui vantaggi dei compartimenti, vedere Informazioni sui compartimenti.

Di seguito sono riportate istruzioni abbreviate per la creazione di un compartimento. Per i dettagli completi sulla gestione dei compartimenti, vedere Gestione dei compartimenti.

Per creare un compartimento per i vault e le chiavi, effettuare le operazioni riportate di seguito.

  1. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Compartimenti. Viene visualizzata la lista dei compartimenti a cui si ha accesso.

  2. Fare clic su Create Compartment.

  3. Immettere:
    • Nome: un nome univoco per il compartimento (massimo 100 caratteri, inclusi lettere, numeri, punti, trattini e caratteri di sottolineatura). Il nome deve essere univoco in tutti i compartimenti della tenancy. Evitare di inserire informazioni riservate. Ad esempio, chiavi gestite da me.
    • Descrizione: descrizione descrittiva. Se lo si desidera, è possibile modificarlo in seguito.
    • Compartimento padre: viene visualizzato il compartimento in cui ci si trova. Se sono stati creati altri compartimenti, è possibile scegliere un altro compartimento in cui creare questo compartimento.
    • Tag: se si dispone delle autorizzazioni per creare una risorsa, si dispone anche delle autorizzazioni per applicare tag in formato libero a tale risorsa. Per applicare una tag defined, è necessario disporre delle autorizzazioni per utilizzare la tag namespace. Per ulteriori informazioni sull'applicazione di tag, vedere Tag risorsa. Se non sei sicuro di applicare i tag, salta questa opzione o chiedi a un amministratore. È possibile applicare le tag in un secondo momento.
  4. Fare clic su Create Compartment.

2. Aggiungere il criterio di sistema per abilitare le chiavi gestite dal cliente nella tenancy

Importante

Questo criterio deve essere aggiunto prima di aggiungere la chiave gestita dal cliente all'ambiente. Se questo criterio non viene aggiunto, l'ambiente non completerà il provisioning (se aggiunto durante la creazione dell'ambiente) o non completerà l'aggiornamento (se aggiunto a un ambiente esistente). Consultare la documentazione specifica dell'applicazione per i criteri richiesti per l'applicazione.

Per creare il criterio di sistema:

  1. Aprire il menu di navigazione in Infrastruttura e fare clic su Identità e sicurezza per espandere il menu, quindi in Identità fare clic su Criteri.
  2. Fare clic su Create Policy.
  3. Immettere:
    • Nome: un nome univoco per il criterio. Il nome deve essere univoco in tutti i criteri nella tenancy. Non è possibile modificare in seguito.
    • Descrizione: una descrizione descrittiva. Se lo si desidera, è possibile modificarlo in seguito.
    • Compartimento: assicurarsi che la tenancy (compartimento radice) sia selezionata.
  4. In Costruzione guidata criteri, attivare Mostra editor manuale per visualizzare la casella di testo per l'immissione di testo in formato libero.
  5. Immettere le istruzioni dei criteri dalla documentazione specifica dell'applicazione.
  6. Fare clic su Crea.

3. Crea vault per gli ambienti

Seguire la procedura Creazione di un vault nella documentazione del vault. Se sono stati creati compartimenti, assicurarsi di creare i vault nel compartimento specificato nel criterio del sistema.

Si consiglia di creare 2 vault: uno per le chiavi dell'ambiente di produzione e uno per le chiavi dell'ambiente non di produzione.

4. Crea chiavi

Seguire la procedura Creazione di una chiave di cifratura master nella documentazione del vault. Assicurarsi di creare le chiavi nel compartimento specificate nel criterio di sistema.

Quando si creano le chiavi per le applicazioni, è necessario effettuare le selezioni riportate di seguito.

  • Per Forma chiave: Algoritmo, selezionare AES (Chiave simmetrica utilizzata per la cifratura e la decifrazione (è necessario selezionare questa opzione per le chiavi gestite dal cliente di Applications).
  • Per Forma chiave: Lunghezza, selezionare 256 bit.

Si consiglia di creare una chiave nel vault di produzione per l'ambiente di produzione e una chiave per ogni ambiente non di produzione nel vault non di produzione.

Aggiunta di una chiave gestita dal cliente agli ambienti

È possibile aggiungere la chiave gestita dal cliente durante la creazione dell'ambiente o dopo che l'ambiente è già stato creato.

Aggiunta di una chiave gestita dal cliente durante la creazione dell'ambiente

Questa procedura include solo i passi per abilitare la chiave gestita dal cliente. Per informazioni sulla procedura completa per la creazione di un ambiente, vedere Per creare un ambiente.

Nella pagina di creazione dell'ambiente:

  1. Fare clic su Mostra opzioni avanzate.
  2. Fare clic sulla scheda Cifratura .

  3. Selezionare Cifra mediante chiavi gestite dall'utente.

    Se questa opzione non viene visualizzata, verificare che la sottoscrizione sia stata aggiunta alla tenancy.

  4. Selezionare il vault. Se il vault non si trova nello stesso compartimento in cui si sta creando l'ambiente, è necessario fare clic su Modifica compartimento e scegliere il compartimento appropriato.
  5. Selezionare la chiave. Se la chiave non si trova nello stesso compartimento in cui si sta creando l'ambiente, è necessario fare clic su Modifica compartimento e scegliere il compartimento appropriato. Vengono visualizzate solo le chiavi a 256 bit AES.

Dopo aver completato tutti i passi per l'impostazione dell'ambiente, viene avviato il processo di provisioning. L'aggiunta della chiave gestita dal cliente aggiunge tempo al processo di provisioning.

Aggiunta di una chiave gestita dal cliente per un ambiente esistente

Per abilitare una chiave gestita dal cliente per un ambiente esistente, effettuare le operazioni riportate di seguito.

  1. Nella pagina della lista Ambienti, selezionare l'ambiente da utilizzare. Per informazioni su come trovare la pagina della lista, vedere Per elencare gli ambienti.

  2. Nella pagina Dettagli ambiente fare clic sulla scheda Cifratura.
  3. Per impostazione predefinita, il tipo è gestito da Oracle. Fare clic su Gestisci per aggiungere il vault e la chiave.

    Se l'opzione Gestisci non è stata acquistata oppure la sottoscrizione per le chiavi gestite dal cliente non è stata aggiunta alla tenancy.

  4. Selezionare Cifra mediante chiavi gestite dall'utente.

  5. Selezionare il vault. Se il vault non si trova nello stesso compartimento in cui si sta creando l'ambiente, è necessario fare clic su Modifica compartimento e scegliere il compartimento appropriato.
  6. Selezionare la chiave. Se la chiave non si trova nello stesso compartimento in cui si sta creando l'ambiente, è necessario fare clic su Modifica compartimento e scegliere il compartimento appropriato. Vengono visualizzate solo le chiavi a 256 bit AES.
  7. Fare clic su Salva modifiche.

La pianificazione della cifratura dell'ambiente dipende dall'applicazione. Per alcune applicazioni, una richiesta di lavoro viene sottomessa immediatamente. È possibile monitorare la richiesta di lavoro per tenere traccia dello stato di avanzamento della cifratura. L'ambiente non sarà disponibile durante l'aggiornamento. Per altre applicazioni, la cifratura viene eseguita nel successivo ciclo di manutenzione o aggiornamento delle patch. Fino a quando non viene eseguita la manutenzione, l'ambiente rimane cifrato mediante la chiave gestita da Oracle.

Visualizzazione dello stato e dei dettagli chiave

Per visualizzare lo stato e i dettagli delle chiavi:

  1. Andare all'ambiente: nella home page Applicazioni della console, fare clic sul nome dell'applicazione. Nella pagina Panoramica fare clic sul nome dell'ambiente.
  2. Nella pagina Dettagli ambiente fare clic sulla scheda Cifratura.

  3. Vengono visualizzati i dettagli della chiave.

È possibile fare clic sui nomi di vault e chiavi per accedere a queste risorse nel servizio Vault.

Rotazione delle chiavi

Le chiavi vengono ruotate in base alle procedure di sicurezza dell'organizzazione. È possibile impostare un job CLI per ruotare automaticamente le chiavi oppure l'amministratore della sicurezza designato può ruotarle manualmente tramite l'interfaccia utente della console del servizio Vault. Per ulteriori dettagli sulle versioni delle chiavi, vedere Concetti relativi alla gestione di chiavi e segreti.

Per ruotare una chiave

Seguire la procedura Rotating a Vault Key nella documentazione del Vault.

Nota

A seconda dell'applicazione, potrebbero essere necessari ulteriori passi. Verificare i passi successivi per la procedura di rotazione nella documentazione specifica dell'applicazione.

Disabilitazione e abilitazione delle chiavi

Se si verifica una situazione in cui si desidera arrestare il servizio dell'applicazione e accedere al database dell'applicazione, è possibile disabilitare la chiave per forzare immediatamente tutti gli utenti al di fuori del sistema.

Avvertenza

La disabilitazione di una chiave può comportare la perdita di dati. Se la chiave è disabilitata, Oracle tenterà di arrestare l'ambiente in modo proattivo per ridurre al minimo la possibilità di errori durante l'utilizzo dell'ambiente. Una volta disabilitata la chiave, tuttavia, l'ambiente non può essere riavviato finché non viene riabilitato. Anche se la chiave rimane in stato disabilitato, nessun servizio cloud per le applicazioni sarà in grado di accedere ai dati dei clienti salvati in precedenza.
Nota

Quando si avvia la disabilitazione di una chiave, viene eseguita una serie di processi per arrestare i componenti dell'ambiente (ad esempio, i servizi di database, il livello intermedio, i load balancer), che possono richiedere fino a un'ora per il completamento. Non tentare di riabilitare una chiave fino al completamento di questi processi.

Analogamente, quando si avvia l'abilitazione di una chiave, il completamento del set di processi per il ripristino del sistema può richiedere fino a un'ora.

Eliminazione delle chiavi

L'eliminazione di chiavi e vault è un'operazione estremamente distruttiva e deve essere eseguita solo dall'amministratore della tenancy in rare circostanze.

Quando un amministratore della tenancy elimina una chiave, qualsiasi dato o risorsa OCI (incluso il database Applications) cifrato con questa chiave diventerà immediatamente inutilizzabile o irrecuperabile.

Si consiglia di eseguire il backup di una chiave prima di pianificarne l'eliminazione. Con un backup, è possibile ripristinare la chiave e il vault se si desidera continuare a usare di nuovo la chiave in un secondo momento.

Per ulteriori informazioni, vedere Deleting a Vault Key.

Riferimento autorizzazioni

L'amministratore dell'applicazione deve disporre delle autorizzazioni read per i vault e le chiavi. L'autorizzazione read consente all'amministratore di:
  • Scegliere il vault e la chiave durante la configurazione.
  • Visualizzare il vault e le chiavi nel servizio Vault OCI per la risoluzione dei problemi.

Per aggiungere le autorizzazioni per l'amministratore dell'applicazione:

  1. Vedere la procedura Applications Services Policy Reference, che descrive la creazione del ruolo di amministratore di Applications.
  2. Aggiungere le seguenti istruzioni al ruolo, se non già presenti: 
    
Allow group <your-group-name> to read vaults in tenancy
Allow group <your-group-name> to read keys in tenancy

Se si desidera che l'amministratore dell'applicazione sia anche in grado di creare i vault e le chiavi o se si designa un'altra persona, ad esempio un amministratore della sicurezza per gestire i vault e le chiavi, deve essere membro di un gruppo con le autorizzazioni riportate di seguito.

allow group <group-name> to manage keys in <location> where request.permission not in ('KEY_DELETE')
allow group <group-name> to manage vaults in <location> where request.permission not in ('VAULT_DELETE')

Tenere presente che le autorizzazioni di eliminazione vengono rimosse dalle istruzioni dei criteri. Ciò garantisce che solo l'amministratore della tenancy possa eseguire operazioni di eliminazione. Per le procedure per la creazione di gruppi e criteri per la definizione dei ruoli, vedere Aggiungere un utente con accesso limitato.