Documentazione dell'infrastruttura Oracle Cloud

Sicurezza dei log in Log Analytics

Oracle Log Analytics fornisce trasferimento e storage sicuri per i log. Il servizio sfrutta le varie funzioni di sicurezza che sono intrinsecamente disponibili in Oracle Cloud Infrastructure (OCI) e le estende per proteggere i tuoi log.

Sicurezza dei log in transito

Quando i dati sono in transito, tutte le comunicazioni dall'esterno dell'infrastruttura OCI all'interno dell'infrastruttura OCI vengono eseguite tramite il protocollo https per il quale è abilitato il livello di cifratura. Ciò garantisce la protezione dei dati sensibili dagli attacchi di phishing di MitM.

Sicurezza dei log in archivio

Le funzioni riportate di seguito garantiscono che i log rimangano al sicuro mentre sono inattivi in OCI, siano essi dati attivi o archiviati:

  • Cifratura lato server AES-256: OCI cifra e decifra sempre tutti i volumi a blocchi, i volumi di avvio, i backup dei volumi e lo storage degli oggetti sul lato server utilizzando l'algoritmo AES (Advanced Encryption Standard) con cifratura a 256 bit. Consulta Object Storage Encryption e Block Volume Encryption nella Documentazione di Oracle Cloud Infrastructure.

    La cifratura è abilitata per impostazione predefinita e non può essere disattivata. Per impostazione predefinita, Oracle gestisce la chiave di cifratura master.

  • Cifratura lato client AES/GCM a 256 bit: OCI SDK for Python e SDK for Java supportano la cifratura lato client, che cifra i dati sul lato client prima di memorizzarli localmente o utilizzarli con altri servizi OCI. Consulta la Documentazione di Oracle Cloud Infrastructure: Client Side Encryption.

  • Chiavi di cifratura fornite dal cliente: Oracle Log Analytics consente di utilizzare la propria chiave di cifratura memorizzata in OCI Vault per cifrare i log. Dopo aver effettuato la richiesta di cifratura utilizzando le chiavi personali contattando il Supporto Oracle, in base alle dimensioni dei dati di log, Oracle crea un volume a blocchi dedicato o un bucket di storage degli oggetti. Ciò garantisce che i tuoi dati siano separati e possano essere crittografati selettivamente.

    Quando si abilita la funzione, è possibile scegliere di utilizzare la chiave di cifratura sui volumi a blocchi per i dati attivi o lo storage degli oggetti per i dati di archiviazione.

    Per informazioni dettagliate, vedere Use Your Own Encryption Key.

Utilizza la tua chiave di cifratura

I passi riportati di seguito forniscono il flusso di lavoro per stabilire la chiave di cifratura e utilizzarla in Oracle Log Analytics.

Argomenti:

Nota

AVVERTENZA: Evitare la perdita di dati

In uno degli scenari seguenti, la raccolta dei dati non riuscirà e i tuoi dati in Oracle Log Analytics andranno persi:

  • Se si elimina la vecchia o la nuova chiave quando è in corso la rotazione della chiave
  • Se si elimina la chiave attualmente utilizzata per la cifratura
  • Se si modificano i criteri IAM relativi alla cifratura fornita dal cliente, i servizi Oracle Cloud non potranno accedere allo storage dei dati

Passi per utilizzare la propria chiave di cifratura con Oracle Log Analytics

Seguendo questa procedura, è possibile utilizzare correttamente la propria chiave di cifratura in Oracle Log Analytics, confermare le chiavi esistenti e monitorarne l'assegnazione utilizzando i comandi oci cli:

  1. Abilitazione delle funzioni di richiesta:

    Contattare il Supporto Oracle per abilitare la funzione Chiave di cifratura fornita dal cliente per la tenancy. Inviare una richiesta di servizio (SR) dal portale di supporto Oracle Cloud.

    Passare ai passi successivi solo dopo che Oracle ha confermato che la funzione è abilitata.

  2. Creare o selezionare la chiave di cifratura in OCI Vault:

    Andare a Sicurezza OCI e selezionare Vault. Selezionare o creare un vault, quindi creare o selezionare la chiave da utilizzare. Utilizzando OCI Vault, puoi gestire vault, chiavi e segreti. Consulta la Documentazione di Oracle Cloud Infrastructure: Gestione delle chiavi.

    Nota

    Utilizzare solo la chiave di cifratura AES-256 (Advanced Encryption Standard) a 256 bit per i volumi a blocchi (dati di storage attivi). Vedere Block Volume Encryption Keys.

  3. Nota delle informazioni sulla chiave di cifratura:

    Individuare e copiare l'OCID della chiave selezionata nel vault, l'OCID del compartimento del vault e l'OCID del compartimento in cui si trova la chiave da utilizzare nei passi successivi.

  4. Configurare i criteri IAM necessari:

    Assicurarsi che le istruzioni dei criteri IAM necessarie vengano create per la gestione delle chiavi, l'accesso ai dati dalle risorse dedicate e l'utilizzo della chiave di cifratura da parte di Oracle Log Analytics nei log. Vedere Allow the Use of Customer-Provided Keys for Encrypting Logs.

  5. Assegnare la chiave allo storage di Oracle Log Analytics:

    Assegna la tua chiave con una richiesta oci cli. 

    oci log-analytics storage assign-encryption-key --key-id <key-id> --key-type <key_type> --namespace-name <namespace_name>
    • Sostituire <id-chiave> con l'OCID della chiave di cifratura.
    • Impostare <key_type> come "ACTIVE_DATA" per lo storage attivo o "ARCHIVAL_DATA" per lo storage di archiviazione.
    • Sostituire <namespace_name> con il nome dello spazio di nomi della tenancy.

    Prendere nota dell'ID della richiesta di lavoro dalla risposta al comando precedente.

    Per ulteriori informazioni sul comando, sui parametri e sugli esempi dell'interfaccia CLI, vedere assign-encryption-key.

  6. Monitorare lo stato dell'assegnazione delle chiavi di cifratura:

    Per tenere traccia dell'avanzamento, utilizzare l'ID della richiesta di lavoro della risposta precedente:

    oci log-analytics storage get-storage-work-request --namespace-name <namespace_name> --work-request-id <work_request_id>
    • Sostituire <work_request_id> con l'ID restituito dalla chiamata assign-encryption-key oci cli.
    • Sostituire <namespace_name> con il nome dello spazio di nomi della tenancy.
    • Rivedere la risposta per lo stato e i dettagli. L'assegnazione della chiave è completa quando lo stato della risposta è SUCCEEDED.

    Per ulteriori informazioni sul comando, sui parametri e sugli esempi dell'interfaccia CLI, vedere get-storage-work-request.

    Risposta di esempio: 

    {
  "compartmentId": "ocid1.tenancy.oc1..xxxxx",
  "id": "ocid1.loganalyticsstorageworkrequest.oc1.xxxxx",
  "operationDetails": "Encryption Completed",
  "operationType": "ENCRYPT_ACTIVE_DATA",
  "percentComplete": 100,
  "status": "SUCCEEDED",
  "statusDetails": "ENCRYPTED",
  "timeAccepted": "2025-05-30T18:29:05.153+00:00",
  "timeExpires": null,
  "timeFinished": "2025-05-30T18:30:27.980+00:00",
  "timeStarted": "2025-05-30T18:30:23.054+00:00"
}

Dopo l'abilitazione della funzione, i dati di log precedenti che risiedono in una posizione diversa continueranno a essere cifrati utilizzando le chiavi di cifratura gestite OCI. Tutti i nuovi dati in arrivo dopo l'abilitazione verranno cifrati utilizzando la propria chiave di cifratura.

Elenca chiavi di cifratura storage

È possibile controllare quali chiavi di cifratura sono associate alla tenancy Oracle Log Analytics in qualsiasi momento: 

oci log-analytics storage list-encryption-key-info --namespace-name <namespace_name>

Sostituire <namespace_name> con il nome dello spazio di nomi della tenancy.

Risposta JSON di esempio: 

[
  {
    "keyId": "ocid1.key.oc1..xxxxx",
    "keySource": "CUSTOMER_MANAGED",
    "keyType": "ACTIVE_DATA"
  },
  {
    "keyId": "ocid1.key.oc1..xxxxx",
    "keySource": "CUSTOMER_MANAGED",
    "keyType": "ARCHIVAL_DATA"
  }
]

Per maggiori dettagli sul comando, sui parametri e sugli esempi dell'interfaccia CLI, vedere list-encryption-key-info.

Ruota chiavi di cifratura storage

La rotazione periodica delle chiavi di cifratura è una procedura consigliata per rafforzare la sicurezza dei dati. In Oracle Log Analytics, è possibile ruotare la chiave assegnandone una nuova utilizzando il comando assign-encryption-key oci cli. I passaggi seguenti mostrano come ruotare la chiave, monitorare i progressi e ripulire la vecchia chiave al termine del processo.

  1. Prepara la nuova chiave di cifratura:

    Generare o selezionare una nuova chiave di cifratura in OCI Vault.

    Nota

    Utilizzare solo la chiave di cifratura AES-256 (Advanced Encryption Standard) a 256 bit per i volumi a blocchi (dati di storage attivi). Vedere Block Volume Encryption Keys.

    Assicurarsi che Oracle Log Analytics disponga dei criteri IAM necessari per utilizzare la nuova chiave. Vedere Allow the Use of Customer-Provided Keys for Encrypting Logs.

  2. Assegnare la chiave allo storage di Oracle Log Analytics:

    Assegna la tua chiave con una richiesta oci cli. 

    oci log-analytics storage assign-encryption-key --key-id <key-id> --key-type <key_type> --namespace-name <namespace_name>
    • Sostituire <id-chiave> con l'OCID della chiave di cifratura.
    • Impostare <key_type> come "ACTIVE_DATA" per lo storage attivo o "ARCHIVAL_DATA" per lo storage di archiviazione.
    • Sostituire <namespace_name> con il nome dello spazio di nomi della tenancy.

    Per ulteriori informazioni sul comando, sui parametri e sugli esempi dell'interfaccia CLI, vedere assign-encryption-key.

  3. Monitorare lo stato dell'assegnazione delle chiavi di cifratura:

    Per tenere traccia dell'avanzamento, utilizzare l'ID della richiesta di lavoro della risposta precedente:

    oci log-analytics storage get-storage-work-request --namespace-name <namespace_name> --work-request-id <work_request_id>
    • Sostituire <work_request_id> con l'ID restituito dalla chiamata assign-encryption-key oci cli.
    • Sostituire <namespace_name> con il nome dello spazio di nomi della tenancy.
    • Rivedere la risposta per lo stato e i dettagli. L'assegnazione della chiave è completa quando lo stato della risposta è SUCCEEDED.

    Per ulteriori informazioni sul comando, sui parametri e sugli esempi dell'interfaccia CLI, vedere get-storage-work-request.

    Risposta di esempio: 

    {
  "compartmentId": "ocid1.tenancy.oc1..xxxxx",
  "id": "ocid1.loganalyticsstorageworkrequest.oc1.xxxxx",
  "operationDetails": "Encryption Completed",
  "operationType": "ENCRYPT_ACTIVE_DATA",
  "percentComplete": 100,
  "status": "SUCCEEDED",
  "statusDetails": "ENCRYPTED",
  "timeAccepted": "2025-05-30T18:29:05.153+00:00",
  "timeExpires": null,
  "timeFinished": "2025-05-30T18:30:27.980+00:00",
  "timeStarted": "2025-05-30T18:30:23.054+00:00"
}

  4. Rimuovere la vecchia chiave:

    Verificare che la rotazione sia completata verificando che la risposta alla chiamata get-storage-work-request sia SUCCEEDED. Dopo aver verificato che la chiamata list-encryption-key-info ora mostra solo la nuova chiave, è possibile rimuovere in tutta sicurezza la vecchia chiave da OCI Vault. Vedere List Storage Encryption Keys.

Suggerimenti utili per la rotazione delle chiavi di cifratura in Oracle Log Analytics

  • Entrambe le chiavi sono necessarie durante la rotazione

    Quando si avvia la rotazione della chiave, entrambe le chiavi vecchio e nuovo devono rimanere attive e accessibili. La vecchia chiave garantisce che i dati cifrati esistenti possano essere letti e rieseguiti con la nuova chiave.

  • Aggiungere una nuova chiave per avviare la rotazione

    Iniziare la rotazione aggiungendo la nuova chiave di cifratura usando il comando assign-encryption-key oci cli. Vedere Rotate Storage Encryption Keys.

  • Nessun periodo di attesa obbligatorio dopo il completamento della rotazione

    Non è necessario attendere un determinato numero di giorni. Una volta completata la rotazione della chiave, la vecchia chiave non è più necessaria e può essere rimossa in tutta sicurezza da OCI Vault.

  • Durata rotazione

    • Se l'archiviazione non è abilitata:

      Tipo di chiave ACTIVE_DATA: i due tipi di chiave dati attivi e backup dei dati attivi vengono cifrati con la chiave specificata ed entrambi vengono ruotati. La rotazione del backup dei dati attivi può in genere richiedere 1 TB = ore, 10 TB = giorni, 100 TB = settimane. Maggiore è il numero di dati disponibili, maggiore sarà la rotazione.

    • Se l'archiviazione è abilitata:

      Tipo di chiave ACTIVE_DATA: viene ruotata solo la chiave dati attivi. L'impatto della dimensione dei dati attivi (10 TB, 20 TB, 100 TB) non è molto significativo. La rotazione viene in genere completata rapidamente (in minuti o in un'ora), indipendentemente dalla dimensione dei dati.

      Tipo di chiave ARCHIVAL_DATA: viene ruotata solo la chiave dati di archivio. La rotazione dei dati di archiviazione può in genere richiedere 1 TB = ore, 10 TB = giorni, 100 TB = settimane. Maggiore è il numero di dati disponibili, maggiore sarà la rotazione.

  • Nessun tempo di conservazione fisso per la vecchia chiave

    • Mantenere la vecchia chiave finché tutti i dati non vengono cifrati di nuovo con la nuova chiave e la rotazione viene confermata come completata.

  • Come monitorare i progressi di rotazione

    L'operazione di assegnazione della chiave di cifratura è asincrona. Dopo aver sottomesso la richiesta di rotazione della chiave, tenere traccia dell'avanzamento utilizzando il workRequestId restituito.

    Vedere Rotate Storage Encryption Keys.

    Quando la richiesta di lavoro viene completata correttamente con lo stato SUCCEEDED e la chiamata list-encryption-key-info ora mostra solo la nuova chiave, è sicuro eliminare la vecchia chiave. Se la richiesta di lavoro non riesce, rivedere la risposta per determinare il motivo dell'errore e incorporare la correzione. Per assistenza, contattare il Supporto Oracle.

  • Verificare quale chiave è attiva

    Elencare le chiavi di cifratura correnti per confermare che la nuova chiave è in uso.

    Vedere List Storage Encryption Keys.

    Assicurarsi che la vecchia chiave non sia più elencata prima della rimozione.

  • Mantieni accessibili entrambe le chiavi

    Non eliminare o disabilitare la vecchia chiave finché la rotazione non è stata completata e convalidata completamente. La perdita dell'accesso alla vecchia chiave durante la rotazione può causare problemi di accesso ai dati.

  • Eseguire prima il test con dati più piccoli

    Se possibile, considera una rotazione del test su un data set più piccolo per stimare la tempistica nell'ambiente OCI.

In sintesi, mantenere entrambe le chiavi disponibili durante la rotazione, monitorare la rotazione attraverso lo stato della richiesta di lavoro, rimuovere la vecchia chiave solo dopo il completamento e prevedere che la rotazione dell'archivio richieda più tempo all'aumentare della dimensione dei dati. Verificare sempre lo stato della chiave prima del cleanup.

Torna a Crittografia gestita da Oracle

Se si riscontrano problemi di scalabilità/prestazioni a causa della rotazione delle chiavi o se non è possibile mantenere il processo di gestione delle chiavi, è possibile tornare alla cifratura gestita da Oracle. Contattare il Supporto Oracle per tornare alla cifratura gestita da Oracle per la propria tenancy. Inviare una richiesta di servizio (SR) dal portale di supporto Oracle Cloud.

Consenti l'uso di chiavi fornite dal cliente per la cifratura dei log

Oracle Log Analytics consente di utilizzare la chiave di cifratura memorizzata in OCI Vault per cifrare i log. Dopo aver effettuato la richiesta di cifratura utilizzando le chiavi personali contattando il Supporto Oracle, in base alle dimensioni dei dati di log, Oracle crea volumi a blocchi dedicati e bucket di storage degli oggetti. Ciò garantisce che i tuoi dati siano separati e possano essere crittografati selettivamente.

Per utilizzare correttamente le chiavi per la cifratura dei dati di log, è innanzitutto necessario fornire le seguenti autorizzazioni per consentire ai vari servizi di accedere e utilizzare le chiavi:

  1. Definire la tenancy Log Analytics in cui vengono memorizzati i dati, ad esempio logan_tenancy.

  2. Definire un gruppo dinamico di risorse che può essere utilizzato per eseguire operazioni di cifratura, ad esempio encr_app_tier_group_of_logan.

  3. Consenti allo storage a blocchi del servizio di utilizzare le chiavi di cifratura e i vault memorizzati in un compartimento specifico della tenancy, ad esempio il compartimento encryptionTier.

  4. Consenti allo storage degli oggetti del servizio di utilizzare le chiavi di cifratura e i vault memorizzati in un compartimento specifico nella tenancy, ad esempio il compartimento encryptionTier.

  5. Consente al gruppo dinamico definito nel passo 2 di associare le chiavi di cifratura ai volumi.

  6. Consente al gruppo dinamico definito nel passo 2 di associare le chiavi di cifratura ai backup dei volumi.

  7. Consente al gruppo dinamico definito nel passo 2 di utilizzare la delega delle chiavi.

  8. Consente al gruppo dinamico definito nel passo 2 di associare le chiavi di cifratura ai bucket di storage degli oggetti.

  9. Consentire al gruppo dinamico definito al passo 2 di avere accesso in lettura alle chiavi di cifratura.

  10. Consentire al gruppo dinamico definito nel passo 2 di disporre dell'accesso in lettura ai vault.

Le istruzioni dei criteri IAM di esempio riportate di seguito sono mappate alle definizioni precedenti.

Define tenancy logan_tenancy as <LOGAN_TENANCY_OCID>
Define dynamic-group encr_app_tier_group_of_logan as <LOGAN_APP_TIER_DYNAMIC_GROUP_OCID>
allow service blockstorage to use keys in compartment <CUSTOMER_KEY_COMPARTMENT_OCID>
allow service objectstorage-<REGION_IDENTIFIER> to use keys in compartment <CUSTOMER_KEY_COMPARTMENT_OCID>
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to associate keys in compartment <CUSTOMER_KEY_COMPARTMENT_OCID> with volumes in tenancy logan_tenancy
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to associate keys in compartment <CUSTOMER_KEY_COMPARTMENT_OCID> with volume-backups in tenancy logan_tenancy
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to use key-delegate in compartment <CUSTOMER_KEY_COMPARTMENT_OCID>
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to associate keys in compartment <CUSTOMER_KEY_COMPARTMENT_OCID> with buckets in tenancy logan_tenancy
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to read keys in compartment <CUSTOMER_KEY_COMPARTMENT_OCID>
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to read vaults in compartment <CUSTOMER_VAULT_COMPARTMENT_OCID>

Sostituire <LOGAN_TENANCY_OCID>, <REGION_IDENTIFIER>, <LOGAN_APP_TIER_DYNAMIC_GROUP_OCID>, <CUSTOMER_KEY_COMPARTMENT_OCID> e <CUSTOMER_VAULT_COMPARTMENT_OCID> nelle istruzioni dei criteri IAM precedenti con i valori effettivi.

Per inserire l'area, raccogliere <LOGAN_TENANCY_OCID>, <LOGAN_APP_TIER_DYNAMIC_GROUP_OCID> da Oracle Log Analytics.

Per ottenere il valore di <REGION_IDENTIFIER>, vedere Aree e domini di disponibilità.

<CUSTOMER_KEY_COMPARTMENT_OCID> è l'OCID del compartimento in cui si trova la chiave. <CUSTOMER_VAULT_COMPARTMENT_OCID> è l'OCID del compartimento in cui è stato creato il vault per memorizzare le chiavi. È stato annotato gli OCID del compartimento in step3 in Passi per utilizzare la propria chiave di cifratura con Oracle Log Analytics.