Chiavi di cifratura principali in Autonomous AI Database su un'infrastruttura Exadata dedicata

Per impostazione predefinita, Autonomous AI Database on Dedicated Exadata Infrastructure crea e gestisce tutte le chiavi di cifratura principali utilizzate per proteggere i dati, memorizzandole in un keystore PKCS 12 sicuro sugli stessi sistemi Exadata in cui risiedono i database. Queste chiavi di cifratura sono definite chiavi di cifratura gestite da Oracle.

Utilizzando le chiavi gestite da Oracle, Oracle garantisce il ciclo di vita completo delle chiavi come metadati gestiti da Oracle. Nelle distribuzioni Exadata Cloud@Customer, l'accesso ai backup è una responsabilità condivisa e il cliente deve garantire l'accesso all'ambiente del database e ai file di backup per consentire alle API Oracle di lavorare con le operazioni interne del ciclo di vita di gestione delle chiavi.

Se i criteri di sicurezza della tua azienda lo richiedono, Autonomous AI Database può utilizzare le chiavi che crei e gestisci utilizzando Oracle Key Store. Per le distribuzioni di Oracle Public Cloud, puoi anche utilizzare il servizio Oracle Cloud Infrastructure Vault per creare e gestire le chiavi. I clienti con conformità alle normative per memorizzare le chiavi al di fuori di Oracle Cloud o di qualsiasi sede cloud di terze parti possono utilizzare un servizio di gestione delle chiavi esterne (KMS esterno).

Quando crei una chiave gestita dal cliente utilizzando il servizio OCI Vault, puoi anche importare il tuo materiale chiave (Bring Your Own Key o BYOK) invece di consentire al servizio Vault di generare internamente il materiale della chiave.

Attenzione: poiché le chiavi gestite dal cliente memorizzate in Oracle Key Vault (OKV) sono esterne all'host del database, qualsiasi modifica o interruzione della configurazione che rende OKV inaccessibile al database utilizzando le relative chiavi rende i dati inaccessibili.

In Autonomous AI Database su Oracle Database@AWS, puoi utilizzare AWS Key Management Service (AWS KMS) per gestire le chiavi di cifratura master.

Inoltre, indipendentemente dal fatto che tu utilizzi chiavi gestite da Oracle o gestite dal cliente, puoi ruotare le chiavi utilizzate nei database esistenti quando necessario per soddisfare i criteri di sicurezza della tua azienda. Per ulteriori informazioni, vedere Rotate the Encryption Keys.

Procedure ottimali prima di iniziare: Gerarchia compartimento

Oracle consiglia di creare una gerarchia di compartimenti per la distribuzione di Autonomous AI Database su un'infrastruttura dedicata, come indicato di seguito.

• Compartimento "padre" per l'intera distribuzione

• Compartimenti "bambini" per ciascuno dei vari tipi di risorse:

  • Autonomous AI Database

  • Autonomous Container Database e risorse dell'infrastruttura (infrastrutture Exadata e cluster VM Autonomous Exadata)

  • La VCN (rete cloud virtuale) e le relative subnet

  • Vault contenenti le chiavi gestite dal cliente

Seguire questa best practice è particolarmente importante quando si utilizzano chiavi gestite dal cliente perché l'istruzione dei criteri creata per concedere l'accesso ad Autonomous AI Database alle chiavi deve essere aggiunta a un criterio che è più alto nella gerarchia dei compartimenti rispetto al compartimento contenente i vault e le relative chiavi.

Usa chiavi gestite dal cliente nel servizio Vault

Prima di poter utilizzare le chiavi gestite dal cliente memorizzate nel servizio Vault, è necessario eseguire una serie di task di configurazione preparatori per creare un vault e le chiavi di cifratura master e quindi rendere tale vault e le relative chiavi disponibili per Autonomous AI Database; in particolare:

1. Creare un vault nel servizio Vault seguendo le istruzioni riportate in Per creare un nuovo vault in Oracle Cloud Infrastructure Documentation. Quando si seguono queste istruzioni, Oracle consiglia di creare il vault in un compartimento creato in modo specifico per contenere i vault contenenti chiavi gestite dal cliente.
   
   Dopo aver creato il vault, è possibile creare almeno una chiave di cifratura master nel vault seguendo le istruzioni riportate in Per creare una nuova chiave di cifratura master nella Documentazione di Oracle Cloud Infrastructure. Quando si seguono queste istruzioni, effettuare le scelte riportate di seguito.

   • Crea nel compartimento: Oracle consiglia di creare la chiave di cifratura master nello stesso compartimento del relativo vault, ovvero il compartimento creato in modo specifico per contenere i vault contenenti chiavi gestite dal cliente.

   • Modalità di protezione: scegliere un valore appropriato dall'elenco a discesa.

     • HSM per creare una chiave di cifratura master che viene memorizzata ed elaborata in un modulo di sicurezza hardware (HSM).

     • Software per creare una chiave di cifratura master memorizzata in un file system software nel servizio Vault. Le chiavi protette da software sono protette in archivio mediante una chiave root basata su HSM. È possibile esportare le chiavi software in altri dispositivi di gestione delle chiavi o in un'area cloud OCI diversa. A differenza delle chiavi HSM, le chiavi protette dal software sono gratuite.

   • Algoritmo della forma chiave: AES

   • Lunghezza forma chiave: 256 bit

   Nota: è anche possibile aggiungere una chiave di cifratura a un vault esistente.

2. Utilizzare il servizio di networking per creare un gateway del servizio, una regola di instradamento e una regola di sicurezza in uscita per la VCN (rete cloud virtuale) e le subnet in cui risiedono le risorse di Autonomous AI Database.

3. Utilizzare il servizio IAM per creare un gruppo dinamico che identifichi le risorse di Autonomous AI Database e un'istruzione criterio che conceda a tale gruppo dinamico l'accesso alle chiavi di cifratura principali create.

   Suggerimento: per un'alternativa "prova" che illustra queste istruzioni, vedere Lab 17: Customer Controlled Database Encryption Keys in Oracle Autonomous AI Database dedicato per gli amministratori della sicurezza.

Dopo aver configurato la chiave gestita dal cliente utilizzando i passi precedenti, puoi configurarla durante il provisioning di un Autonomous Container Database (ACD) o ruotando la chiave di cifratura esistente dalla pagina Dettagli di ACD o Autonomous AI Database. I database AI autonomi di cui è stato eseguito il provisioning in questo ACD erediteranno automaticamente queste chiavi di cifratura. Per ulteriori dettagli, vedere Crea un Autonomous Container Database o Ruota la chiave di cifratura di un Autonomous Container Database.

Se desideri abilitare Autonomous Data Guard tra più aree, devi prima replicare il vault OCI nell'area in cui desideri aggiungere il database di standby. Per ulteriori dettagli, vedere Replica di vault e chiavi.

Nota: i vault virtuali creati prima dell'introduzione della funzione di replica del vault tra più aree non possono essere replicati in più aree. Creare un nuovo vault e nuove chiavi se si dispone di un vault che è necessario replicare in un'altra area e la replica non è supportata per tale vault. Tuttavia, tutti i vault privati supportano la replica tra più aree. Per i dettagli, vedere Replica del vault virtuale tra più aree.

Usa BYOK (Bring Your Own Keys) nel servizio vault

SI APPLICA A: Solo Oracle Public Cloud

Quando crei una chiave gestita dal cliente utilizzando il servizio OCI Vault, puoi anche importare il tuo materiale chiave (Bring Your Own Key o BYOK) invece di consentire al servizio Vault di generare internamente il materiale della chiave.

Prima di poter trasferire le proprie chiavi nel servizio Vault, è necessario eseguire il numero di task di configurazione preparatori per creare un vault e importare la chiave di cifratura master, quindi rendere tale vault e le relative chiavi disponibili per Autonomous AI Database; in particolare:

1. Creare un vault nel servizio Vault seguendo le istruzioni riportate in Per creare un nuovo vault in Oracle Cloud Infrastructure Documentation. Quando si seguono queste istruzioni, Oracle consiglia di creare il vault in un compartimento creato in modo specifico per contenere i vault contenenti chiavi gestite dal cliente.

   Dopo aver creato il vault, è possibile creare almeno una chiave di cifratura master nel vault seguendo le istruzioni riportate in Per creare una nuova chiave di cifratura master nella Documentazione di Oracle Cloud Infrastructure. È inoltre possibile importare una chiave di cifratura cliente in un vault esistente. Quando si seguono queste istruzioni, effettuare le scelte riportate di seguito.

   • Crea nel compartimento: Oracle consiglia di creare la chiave di cifratura master nello stesso compartimento del relativo vault, ovvero il compartimento creato in modo specifico per contenere i vault contenenti chiavi gestite dal cliente.

   • Modalità di protezione: scegliere un valore appropriato dall'elenco a discesa.

     • HSM per creare una chiave di cifratura master che viene memorizzata ed elaborata in un modulo di sicurezza hardware (HSM).

     • Software per creare una chiave di cifratura master memorizzata in un file system software nel servizio Vault. Le chiavi protette da software sono protette in archivio mediante una chiave root basata su HSM. È possibile esportare le chiavi software in altri dispositivi di gestione delle chiavi o in un'area cloud OCI diversa. A differenza delle chiavi HSM, le chiavi protette dal software sono gratuite.

   • Algoritmo della forma chiave: AES

   • Lunghezza forma chiave: 256 bit

   • Importa chiave esterna: per utilizzare una chiave di cifratura cliente (BYOK), selezionare Importa chiave esterna e fornire i dettagli riportati di seguito.

     • Informazioni sulle chiavi di wrapping. Questa sezione è di sola lettura, ma è possibile visualizzare i dettagli della chiave di wrapping pubblica.

     • Algoritmo di wrapping. Selezionare un algoritmo di wrapping dall'elenco a discesa.

     • Origine dati chiave esterna. Caricare il file contenente il materiale della chiave RSA sottoposto a wrapping.

     Nota: è possibile importare il materiale chiave come nuova versione di chiave esterna oppure fare clic sul nome di una chiave di cifratura principale esistente e ruotarlo in una nuova versione di chiave. Per ulteriori dettagli, vedere Importazione del materiale chiave come versione di una chiave esterna.

2. Utilizzare il servizio di networking per creare un gateway del servizio, una regola di instradamento e una regola di sicurezza in uscita per la VCN (rete cloud virtuale) e le subnet in cui risiedono le risorse di Autonomous AI Database.

3. Utilizzare il servizio IAM per creare un gruppo dinamico che identifichi le risorse di Autonomous AI Database e un'istruzione criterio che conceda a tale gruppo dinamico l'accesso alle chiavi di cifratura principali create.

Dopo aver configurato il BYOK gestito dal cliente utilizzando i passi precedenti, è possibile utilizzarlo ruotando la chiave di cifratura esistente dalla pagina Dettagli di Autonomous Container Database o Autonomous AI Database. Per ulteriori dettagli, vedere Ruota la chiave di cifratura di un Autonomous Container Database.

Usa chiavi esterne da OCI External Key Management Service (OCI EKMS)

SI APPLICA A: Solo Oracle Public Cloud

Prima di poter utilizzare le chiavi esterne di OCI EKMS, è necessario eseguire il numero di task di configurazione preparatori per creare un vault, quindi rendere tale vault e le relative chiavi disponibili per Autonomous AI Database.

In OCI EKMS, puoi memorizzare e controllare le chiavi di cifratura master (come chiavi esterne) su un sistema di gestione delle chiavi di terze parti ospitato all'esterno di OCI. Puoi utilizzarlo per migliorare la sicurezza dei dati o se hai la compliance normativa per memorizzare le chiavi al di fuori di Oracle Public Cloud o di qualsiasi sede cloud di terze parti. Con le chiavi effettive che risiedono nel sistema di gestione delle chiavi di terze parti, crei solo riferimenti chiave in OCI.

1. È possibile creare e gestire un vault che contiene riferimenti chiave in OCI EKMS. Puoi utilizzare le chiavi di OCI EKMS con Autonomous AI Database su un'infrastruttura Exadata dedicata distribuita su Oracle Public Cloud. Per ulteriori dettagli, vedere Creazione di un vault in OCI EKMS. Quando si seguono queste istruzioni, effettuare le scelte riportate di seguito.

   • Crea nel compartimento: selezionare un compartimento per il vault EKMS OCI.

   • URL nome account IDCS: immettere l'URL di autenticazione utilizzato per accedere al servizio KMS. La console reindirizza a una schermata di accesso.

   • Fornitore Key Management: selezionare un fornitore di terze parti che distribuisce il servizio di gestione delle chiavi. Per ora, OCI KMS supporta solo Thales come fornitore di gestione delle chiavi esterno.

   • ID applicazione client: immettere l'ID client KMS OCI generato quando si registra l'applicazione client riservata nel dominio di Oracle Identity.

   • Segreto applicazione client: immettere l'ID segreto dell'applicazione client riservata registrata nel dominio Oracle Identity.

   • Endpoint privato nel compartimento: selezionare il GUID dell'endpoint privato della gestione delle chiavi esterne.

   • URL vault esterno: immettere l'URL del vault generato durante la creazione del vault nella gestione delle chiavi esterne.

2. Utilizzare il servizio di networking per creare un gateway del servizio, una regola di instradamento e una regola di sicurezza in uscita per la VCN (rete cloud virtuale) e le subnet in cui risiedono le risorse di Autonomous AI Database.

3. Utilizzare il servizio IAM per creare un gruppo dinamico che identifichi le risorse di Autonomous AI Database e un'istruzione criterio che conceda a tale gruppo dinamico l'accesso alle chiavi di cifratura principali create.

Utilizzo di chiavi gestite dal cliente in AWS KMS

In Autonomous AI Database su Oracle Database@AWS, puoi utilizzare AWS Key Management Service (AWS KMS) per gestire le chiavi di cifratura master.

Prima di poter utilizzare le chiavi gestite dal cliente in AWS KMS, è necessario abilitare la gestione delle chiavi AWS a livello AVMC. Dopo aver creato AVMC, hai la possibilità di abilitare AWS KMS dalla pagina Dettagli AVMC. Finché l'AVMC è vuoto e non contiene ACD, avrai la possibilità di disabilitare la configurazione di gestione delle chiavi AWS KMS dalla pagina dei dettagli AVMC. Durante la creazione di ACD, è possibile scegliere una chiave KMS AWS come tipo di chiave.

Creare un gateway del servizio, una regola di instradamento e una regola di sicurezza in uscita

Oracle Cloud Infrastructure (OCI) Service Gateway fornisce un accesso privato e sicuro a più servizi Oracle Cloud contemporaneamente dall'interno di una rete cloud virtuale (VCN) o on-premise tramite un singolo gateway senza attraversare Internet.

Creare un gateway di servizi nella VCN (Virtual Cloud Network) in cui risiedono le risorse di Autonomous AI Database seguendo le istruzioni riportate nel Task 1: Creare il gateway di servizi nella documentazione di Oracle Cloud Infrastructure.

Dopo aver creato il gateway di servizi, aggiungere una regola di instradamento e una regola di sicurezza in uscita a ogni subnet (nella VCN) in cui risiedono le risorse di Autonomous AI Database in modo che queste risorse possano utilizzare il gateway per accedere al servizio Vault:

1. Andare alla pagina Dettagli subnet per la subnet.

2. Nella scheda Informazioni subnet fare clic sul nome della tabella di instradamento della subnet per visualizzare la relativa pagina Dettagli tabella di instradamento.

3. Nella tabella delle regole di instradamento esistenti, verificare se esiste già una regola con le seguenti caratteristiche:

   • Destinazione: tutti i servizi IAD in Oracle Services Network

   • Tipo di destinazione: gateway del servizio

   • Destinazione: il nome del gateway di servizi appena creato nella VCN

   Se tale regola non esiste, fare clic su Aggiungi regole di instradamento e aggiungere una regola di instradamento con queste caratteristiche.

4. Tornare alla pagina Dettagli subnet per la subnet.

5. Nella tabella Elenchi sicurezza della subnet fare clic sul nome della lista di sicurezza della subnet per visualizzare la relativa pagina Dettagli elenco di sicurezza.

6. Nel menu laterale, in Risorse, fare clic su Regole di uscita.

7. Nella tabella delle regole di uscita esistenti, verificare se esiste già una regola con le seguenti caratteristiche:

   • Senza stato: No

   • Destinazione: tutti i servizi IAD in Oracle Services Network

   • Protocollo IP: TCP

   • Intervallo di porte di origine: Tutto

   • Intervallo di porte di destinazione: 443

   Se una regola di questo tipo non esiste, fare clic su Aggiungi regole di uscita e aggiungere una regola di uscita con queste caratteristiche.

Creare un gruppo dinamico e un'istruzione dei criteri

Per concedere alle risorse di Autonomous AI Database l'autorizzazione ad accedere alle chiavi gestite dal cliente, è necessario creare un gruppo dinamico IAM che identifichi tali risorse, quindi creare un criterio IAM che conceda a questo gruppo dinamico l'accesso alle chiavi di cifratura master create nel servizio Vault.

Quando si definisce il gruppo dinamico, è possibile identificare le risorse di Autonomous AI Database specificando l'OCID del compartimento contenente la risorsa dell'infrastruttura Exadata.

1. Copiare l'OCID del compartimento contenente la risorsa dell'infrastruttura Exadata. È possibile trovare questo OCID nella pagina Dettagli compartimento del compartimento.

2. Creare un gruppo dinamico seguendo le istruzioni riportate in Per creare un gruppo dinamico nella Documentazione di Oracle Cloud Infrastructure. Quando si seguono queste istruzioni, immettere una regola di corrispondenza con questo formato:

    ALL {resource.compartment.id ='<compartment-ocid>'}
   

   dove <compartment-ocid> è l'OCID del compartimento contenente la risorsa del cluster VM Autonomous Exadata.

Dopo aver creato il gruppo dinamico, andare a (o creare) un criterio IAM in un compartimento più in alto nella gerarchia del compartimento rispetto al compartimento contenente i vault e le chiavi. Aggiungere quindi un'istruzione criterio di questo formato:

allow dynamic-group <dynamic-group-name>
to manage keys
in compartment <vaults-and-keys-compartment>
where all {
target.key.id='<key_ocid>',
request.permission!='KEY_MOVE',
request.permission!='KEY_IMPORT'
}

Se si utilizza un vault virtuale replicato o un vault privato virtuale replicato per la distribuzione di Autonomous Data Guard, aggiungere un'istruzione criterio aggiuntiva in questo formato:

allow dynamic-group <dynamic-group>
to read vaults
in tenancy | compartment <vaults-and-keys-compartment>

dove <dynamic-group> è il nome del gruppo dinamico creato e <vaults-and-keys-compartment> è il nome del compartimento in cui sono stati creati i vault e le chiavi di cifratura master.

Usa chiavi gestite dal cliente in Oracle Key Vault

Oracle Key Vault (OKV) è un'appliance software full-stack e potenziata per la sicurezza creata per centralizzare la gestione delle chiavi e degli oggetti di sicurezza all'interno dell'azienda. Integra la tua distribuzione OKV on-premise con Oracle Autonomous AI Database sull'infrastruttura Exadata dedicata per creare e gestire le tue chiavi principali.

Per poter utilizzare le chiavi gestite dal cliente memorizzate in OKV, è necessario eseguire una serie di task di configurazione preparatori, come descritto in Preparazione all'uso di Oracle Key Vault.

Dopo aver completato i task di configurazione preparatori, è possibile associare le chiavi di Customer Manager in OKV durante il provisioning di un Autonomous Container Database (ACD) e tutti i database AI autonomi di cui è stato eseguito il provisioning in questo ACD erediteranno automaticamente queste chiavi di cifratura. Per ulteriori dettagli, vedere Creare un Autonomous Container Database.

Nota: se si desidera abilitare Autonomous Data Guard tra più aree, assicurarsi di aver aggiunto gli indirizzi IP di connessione per il cluster OKV nel keystore.

Panoramica degli endpoint OKV:

Gli endpoint di Oracle Key Vault sono sistemi informatici quali database o application server, in cui le chiavi e le credenziali vengono utilizzate per accedere ai dati. È necessario registrare e registrare un endpoint per comunicare con Oracle Key Vault. Successivamente, le chiavi nell'endpoint possono essere caricate in Oracle Key Vault ed essere condivise con altri endpoint e quindi scaricate da questi endpoint in modo che gli utenti possano accedere ai propri dati.

Solo un utente che dispone del ruolo Amministratore di sistema o del privilegio Crea endpoint può aggiungere un endpoint a Oracle Key Vault. Dopo l'aggiunta dell'endpoint, l'amministratore dell'endpoint può registrare l'endpoint scaricando e installando il software dell'endpoint nell'endpoint. L'endpoint può quindi utilizzare le utility incluse nel package del software endpoint per caricare e scaricare gli oggetti di sicurezza da e verso Oracle Key Vault.

Contenuto correlato

Funzioni di sicurezza chiave