Chiavi di cifratura master in Autonomous Database sull'infrastruttura Exadata dedicata

Per impostazione predefinita, Autonomous Database on Dedicated Exadata Infrastructure crea e gestisce tutte le chiavi di cifratura master utilizzate per proteggere i dati, memorizzandoli in un keystore PKCS 12 sicuro negli stessi sistemi Exadata in cui risiedono i database. Tali chiavi vengono definite chiavi di cifratura gestite da Oracle.

Utilizzando le chiavi gestite da Oracle, Oracle garantisce il ciclo di vita completo delle chiavi come metadati gestiti da Oracle. Nelle distribuzioni Exadata Cloud@Customer, l'accesso ai backup è una responsabilità condivisa e il cliente deve garantire l'accesso all'ambiente del database e ai file di backup per consentire alle API Oracle di lavorare con le operazioni interne del ciclo di vita di gestione delle chiavi.

Se i criteri di sicurezza della tua azienda lo richiedono, Autonomous Database può utilizzare le chiavi create e gestite utilizzando Oracle Key Store. Per le distribuzioni di Oracle Public Cloud, è inoltre possibile utilizzare il servizio Vault di Oracle Cloud Infrastructure per creare e gestire le chiavi. I clienti con compliance normativa per memorizzare le chiavi all'esterno di Oracle Cloud o di qualsiasi sede cloud di terze parti possono utilizzare un servizio di gestione delle chiavi esterno (KMS esterno).

Quando crei una chiave gestita dal cliente utilizzando il servizio OCI Vault, puoi anche importare il materiale della chiave personale (Bring Your Own Key o BYOK) invece di lasciare che il servizio Vault generi internamente il materiale della chiave.

Attenzione

Poiché le chiavi gestite dal cliente memorizzate in Oracle Key Vault (OKV) sono esterne all'host del database, qualsiasi modifica o interruzione della configurazione che renda OKV inaccessibile al database utilizzando le relative chiavi rende i dati inaccessibili.

Inoltre, indipendentemente dal fatto che tu utilizzi chiavi gestite da Oracle o gestite dal cliente, puoi ruotare le chiavi utilizzate nei database esistenti quando necessario per soddisfare i criteri di sicurezza della tua azienda. Per ulteriori dettagli, vedere Ruota le chiavi di cifratura.

Prima di iniziare: best practice sulla gerarchia dei compartimenti

Oracle consiglia di creare una gerarchia di compartimenti per la distribuzione di Autonomous Database su un'infrastruttura dedicata come indicato di seguito.
  • Compartimento "padre" per l'intera distribuzione
  • Compartimenti "figlio" per ciascuno dei vari tipi di risorse:
    • Autonomous Database
    • Autonomous Container Database e risorse dell'infrastruttura (infrastrutture Exadata e cluster VM Autonomous Exadata)
    • La VCN (rete cloud virtuale) e le relative subnet
    • Vault che contengono le chiavi gestite dal cliente

Seguire questa best practice è particolarmente importante quando si utilizzano chiavi gestite dal cliente perché l'istruzione dei criteri creata per concedere l'accesso a Autonomous Database alle chiavi deve essere aggiunta a un criterio superiore nella gerarchia del compartimento rispetto al compartimento contenente i vault e le relative chiavi.

Argomenti correlati

Usa chiavi gestite dal cliente nel servizio Vault

Prima di poter utilizzare le chiavi gestite dal cliente memorizzate nel servizio Vault, è necessario eseguire una serie di task di configurazione preparatori per creare un vault e le chiavi di cifratura master, quindi rendere disponibile tale vault e le relative chiavi per Autonomous Database. In particolare:

  1. Creare un vault nel servizio Vault seguendo le istruzioni riportate nella sezione Per creare un nuovo vault della documentazione di Oracle Cloud Infrastructure. Quando si seguono queste istruzioni, Oracle consiglia di creare il vault in un compartimento creato appositamente per contenere i vault contenenti chiavi gestite dal cliente, come descritto in Best Practice sulla gerarchia dei compartimenti.
    Dopo aver creato il vault, è possibile creare almeno una chiave di cifratura principale nel vault seguendo le istruzioni riportate nella sezione Per creare una nuova chiave di cifratura principale della documentazione di Oracle Cloud Infrastructure. Attenersi alle istruzioni indicate di seguito.
    • Crea nel compartimento: Oracle consiglia di creare la chiave di cifratura master nello stesso compartimento del relativo vault, ovvero nel compartimento creato specificamente per contenere i vault che contengono chiavi gestite dal cliente.
    • Modalità di protezione: scegliere un valore appropriato dall'elenco a discesa:
      • HSM per creare una chiave di cifratura master che viene memorizzata ed elaborata su un modulo di sicurezza hardware (HSM).
      • Software per creare una chiave di cifratura master memorizzata in un file system software nel servizio Vault. Le chiavi protette da software sono protette in archivio utilizzando una chiave root basata su HSM. Puoi esportare le chiavi software in altri dispositivi di gestione delle chiavi o in un'altra cloud region OCI. A differenza delle chiavi HSM, le chiavi protette dal software sono gratuite.
    • Algoritmo della forma della chiave: AES
    • Lunghezza forma chiave: 256 bit

    Nota

    È inoltre possibile aggiungere una chiave di cifratura a un vault esistente.
  2. Utilizzare il servizio di networking per creare un gateway di servizio, una regola di instradamento e una regola di sicurezza in uscita nella VCN (rete cloud virtuale) e nelle subnet in cui risiedono le risorse di Autonomous Database.
  3. Utilizzare il servizio IAM per creare un gruppo dinamico che identifichi le risorse di Autonomous Database e un'istruzione dei criteri che conceda a tale gruppo dinamico l'accesso alle chiavi di cifratura master create.

Suggerimento

Per un'alternativa che dimostri queste istruzioni, vedere Lab 17: Customer Controlled Database Encryption Keys in Oracle Autonomous Database Dedicated for Security Administrators.

Dopo aver configurato la chiave gestita dal cliente utilizzando i passi precedenti, è possibile configurarla durante il provisioning di un Autonomous Container Database (ACD) o ruotando la chiave di cifratura esistente dalla pagina Dettagli di ACD o Autonomous Database. Gli Autonomous Database di cui è stato eseguito il provisioning in questo ACD erediteranno automaticamente queste chiavi di cifratura. Per ulteriori dettagli, vedere Creare un Autonomous Container Database o Ruota la chiave di cifratura di un Autonomous Container Database.

Se desideri abilitare Autonomous Data Guard tra più aree, devi prima replicare il vault OCI nell'area in cui desideri aggiungere il database di standby. Per ulteriori dettagli, vedere Replica di vault e chiavi.

Nota

I vault virtuali creati prima dell'introduzione della funzione di replica del vault tra più aree non possono essere replicati in più aree. Creare un nuovo vault e nuove chiavi se si dispone di un vault che è necessario replicare in un'altra area e la replica non è supportata per tale vault. Tuttavia, tutti i vault privati supportano la replica tra più aree. Per i dettagli, vedere Replica del vault virtuale tra più aree.

Usa BYOK (Bring Your Own Keys) nel servizio Vault

SI APPLICA A: Applicabile solo Oracle Public Cloud

Quando crei una chiave gestita dal cliente utilizzando il servizio OCI Vault, puoi anche importare il materiale della chiave personale (Bring Your Own Key o BYOK) invece di lasciare che il servizio Vault generi internamente il materiale della chiave.

Prima di poter trasferire le proprie chiavi nel servizio Vault, è necessario eseguire il numero di task di configurazione preparatori per creare un vault e importare la chiave di cifratura master, quindi rendere disponibile per Autonomous Database il vault e le relative chiavi, in particolare:
  1. Creare un vault nel servizio Vault seguendo le istruzioni riportate nella sezione Per creare un nuovo vault della documentazione di Oracle Cloud Infrastructure. Quando si seguono queste istruzioni, Oracle consiglia di creare il vault in un compartimento creato appositamente per contenere i vault contenenti chiavi gestite dal cliente, come descritto in Best Practice sulla gerarchia dei compartimenti.
    Dopo aver creato il vault, è possibile creare almeno una chiave di cifratura principale nel vault seguendo le istruzioni riportate nella sezione Per creare una nuova chiave di cifratura principale della documentazione di Oracle Cloud Infrastructure. È anche possibile importare una chiave di cifratura cliente in un vault esistente. Attenersi alle istruzioni indicate di seguito.
    • Crea nel compartimento: Oracle consiglia di creare la chiave di cifratura master nello stesso compartimento del relativo vault, ovvero nel compartimento creato specificamente per contenere i vault che contengono chiavi gestite dal cliente.
    • Modalità di protezione: scegliere un valore appropriato dall'elenco a discesa:
      • HSM per creare una chiave di cifratura master che viene memorizzata ed elaborata su un modulo di sicurezza hardware (HSM).
      • Software per creare una chiave di cifratura master memorizzata in un file system software nel servizio Vault. Le chiavi protette da software sono protette in archivio utilizzando una chiave root basata su HSM. Puoi esportare le chiavi software in altri dispositivi di gestione delle chiavi o in un'altra cloud region OCI. A differenza delle chiavi HSM, le chiavi protette dal software sono gratuite.
    • Algoritmo della forma della chiave: AES
    • Lunghezza forma chiave: 256 bit
    • Importa chiave esterna: per utilizzare una chiave di cifratura cliente (BYOK), selezionare Importa chiave esterna e fornire i dettagli riportati di seguito.
      • Informazioni sulle chiavi di wrapping. Questa sezione è di sola lettura, ma è possibile visualizzare i dettagli della chiave di wrapping pubblica.
      • Algoritmo di wrapping. Selezionare un algoritmo di wrapping dall'elenco a discesa.
      • Origine dati chiave esterna. Caricare il file contenente il materiale della chiave RSA con wrapping.

    Nota

    È possibile importare il materiale chiave come nuova versione di chiave esterna oppure fare clic sul nome di una chiave di cifratura principale esistente e ruotarla in una nuova versione di chiave.

    Per ulteriori dettagli, vedere Importazione del materiale chiave come versione chiave esterna.

  2. Utilizzare il servizio di networking per creare un gateway di servizio, una regola di instradamento e una regola di sicurezza in uscita nella VCN (rete cloud virtuale) e nelle subnet in cui risiedono le risorse di Autonomous Database.
  3. Utilizzare il servizio IAM per creare un gruppo dinamico che identifichi le risorse di Autonomous Database e un'istruzione dei criteri che conceda a tale gruppo dinamico l'accesso alle chiavi di cifratura master create.

Dopo aver configurato il BYOK gestito dal cliente utilizzando i passi precedenti, è possibile utilizzarlo ruotando la chiave di cifratura esistente dalla pagina Dettagli di Autonomous Container Database o Autonomous Database. Per ulteriori dettagli, vedere Ruota la chiave di cifratura di un Autonomous Container Database.

Usa chiavi esterne da OCI External Key Management Service (OCI EKMS)

SI APPLICA A: Applicabile solo Oracle Public Cloud

Prima di poter utilizzare le chiavi esterne da EKMS OCI, è necessario eseguire il numero di task di configurazione preparatori per creare un vault, quindi rendere disponibile tale vault e le relative chiavi per Autonomous Database.

In OCI EKMS, puoi memorizzare e controllare le chiavi di cifratura master (come chiavi esterne) su un sistema di gestione delle chiavi di terze parti ospitato all'esterno di OCI. Puoi utilizzarlo per una maggiore sicurezza dei dati o se hai la conformità normativa per memorizzare le chiavi al di fuori di Oracle Public Cloud o di qualsiasi sede cloud di terze parti. Con le chiavi effettive che risiedono nel sistema di gestione delle chiavi di terze parti, crei solo riferimenti chiave in OCI.
  1. Puoi creare e gestire un vault che contiene i riferimenti chiave in OCI EKMS. È possibile utilizzare le chiavi di OCI EKMS con Autonomous Database on Dedicated Exadata Infrastructure distribuito su Oracle Public Cloud. Per ulteriori dettagli, vedere Creazione di un vault in OCI EKMS. Attenersi alle istruzioni indicate di seguito.
    • Crea nel compartimento: selezionare un compartimento per il vault EKMS OCI.
    • URL nome account IDCS: immettere l'URL di autenticazione utilizzato per accedere al servizio KMS. La console viene reindirizzata a una schermata di accesso.
    • Fornitore gestione chiavi: selezionare un fornitore di terze parti che distribuisce il servizio di gestione delle chiavi. Per il momento, il KMS OCI supporta solo Thales come fornitore esterno di gestione delle chiavi.
    • ID applicazione client: immettere l'ID client KMS OCI generato quando si registra l'applicazione client riservata nel dominio di Oracle Identity.
    • Segreto applicazione client: immettere l'ID segreto dell'applicazione client riservata registrata nel dominio di Oracle Identity.
    • Endpoint privato nel compartimento: selezionare il GUID dell'endpoint privato per la gestione delle chiavi esterne.
    • URL vault esterno: immettere l'URL del vault generato al momento della creazione del vault nella gestione delle chiavi esterne.
  2. Utilizzare il servizio di networking per creare un gateway di servizio, una regola di instradamento e una regola di sicurezza in uscita nella VCN (rete cloud virtuale) e nelle subnet in cui risiedono le risorse di Autonomous Database.
  3. Utilizzare il servizio IAM per creare un gruppo dinamico che identifichi le risorse di Autonomous Database e un'istruzione dei criteri che conceda a tale gruppo dinamico l'accesso alle chiavi di cifratura master create.

Creare un gateway di servizio, una regola di instradamento e una regola di sicurezza di uscita

Oracle Cloud Infrastructure (OCI) Service Gateway fornisce accesso privato e sicuro a più servizi Oracle Cloud contemporaneamente da una rete cloud virtuale (VCN) o on premise tramite un unico gateway senza attraversare Internet.

Creare un gateway di servizi nella VCN (rete cloud virtuale) in cui le risorse di Autonomous Database risiedono seguendo le istruzioni riportate nel task 1: creare il gateway di servizi nella documentazione di Oracle Cloud Infrastructure.

Dopo aver creato il gateway del servizio, aggiungere una regola di instradamento e una regola di sicurezza di uscita a ogni subnet (nella VCN) in cui risiedono le risorse di Autonomous Database in modo che queste risorse possano utilizzare il gateway per accedere al servizio vault:
  1. Andare alla pagina Dettagli subnet per la subnet.
  2. Nella scheda Informazioni subnet, fare clic sul nome della tabella di instradamento della subnet per visualizzare la relativa pagina Dettagli tabella di instradamento.
  3. Nella tabella delle regole di instradamento esistenti, verificare se esiste già una regola con le seguenti caratteristiche:
    • Destinazione: tutti i servizi IAD in Oracle Services Network
    • Tipo di destinazione: gateway del servizio.
    • Destinazione: il nome del gateway di servizi appena creato nella VCN.

    Se la regola non esiste, fare clic su Aggiungi regole di instradamento e aggiungere una regola di instradamento con queste caratteristiche.

  4. Tornare alla pagina Dettagli subnet per la subnet.
  5. Nella tabella Elenchi di sicurezza della subnet, fare clic sul nome della lista di sicurezza della subnet per visualizzare la relativa pagina Dettagli lista di sicurezza.
  6. Nel menu laterale, in Risorse, fare clic su Regole di uscita.
  7. Nella tabella delle regole di uscita esistenti, verificare se esiste già una regola con le seguenti caratteristiche:
    • Stateless: No
    • Destinazione: tutti i servizi IAD in Oracle Services Network
    • Protocollo IP: TCP
    • Intervallo porte di origine: tutto
    • Intervallo di porte di destinazione: 443

    Se una regola di questo tipo non esiste, fare clic su Aggiungi regole di uscita e aggiungere una regola di uscita con queste caratteristiche.

Creare un gruppo dinamico e un'istruzione criterio

Per concedere alle risorse di Autonomous Database l'autorizzazione per accedere alle chiavi gestite dal cliente, è necessario creare un gruppo dinamico IAM che identifichi queste risorse e quindi creare un criterio IAM che conceda a questo gruppo dinamico l'accesso alle chiavi di cifratura master create nel servizio Vault.

Quando si definisce il gruppo dinamico, si identificano le risorse di Autonomous Database specificando l'OCID del compartimento contenente la risorsa dell'infrastruttura Exadata.
  1. Copiare l'OCID del compartimento contenente la risorsa dell'infrastruttura Exadata. Puoi trovare questo OCID nella pagina Dettagli compartimento del compartimento.
  2. Creare un gruppo dinamico seguendo le istruzioni riportate nella sezione Per creare un gruppo dinamico della documentazione di Oracle Cloud Infrastructure. Quando si seguono queste istruzioni, immettere una regola di corrispondenza in questo formato:
    ALL {resource.compartment.id ='<compartment-ocid>'}

    dove <compartment-ocid> è l'OCID del compartimento contenente la risorsa cluster VM Autonomous Exadata.

Dopo aver creato il gruppo dinamico, passare a (o creare) un criterio IAM in un compartimento più in alto nella gerarchia del compartimento rispetto al compartimento contenente i vault e le chiavi. Aggiungere quindi un'istruzione criterio di questo formato:
allow dynamic-group <dynamic-group-name>
to manage keys
in compartment <vaults-and-keys-compartment>
where all {
target.key.id='<key_ocid>',
request.permission!='KEY_MOVE',
request.permission!='KEY_IMPORT'
}
Se si utilizza un vault virtuale replicato o un vault privato virtuale replicato per la distribuzione di Autonomous Data Guard, aggiungere un'istruzione criterio aggiuntiva con il seguente formato:
allow dynamic-group <dynamic-group>
to read vaults
in tenancy | compartment <vaults-and-keys-compartment>

dove <dynamic-group> è il nome del gruppo dinamico creato e <vaults-and-keys-compartment> è il nome del compartimento in cui sono stati creati i vault e le chiavi di cifratura master.

Usa chiavi gestite dal cliente in Oracle Key Vault

Oracle Key Vault (OKV) è un'appliance software full-stack e con protezione avanzata creata per centralizzare la gestione delle chiavi e degli oggetti di sicurezza all'interno dell'azienda. Puoi integrare la tua distribuzione OKV on-premise con Oracle Autonomous Database per creare e gestire le tue chiavi master.

Prima di poter utilizzare le chiavi gestite dal cliente memorizzate in OKV, è necessario eseguire una serie di task di configurazione preparatori, come descritto in Prepara a utilizzare Oracle Key Vault.

Dopo aver completato i task di configurazione preparatori, è possibile associare le chiavi del customer manager in OKV durante il provisioning di un Autonomous Container Database (ACD) e tutti gli Autonomous Database di cui è stato eseguito il provisioning in questo ACD erediteranno automaticamente queste chiavi di cifratura. Per ulteriori dettagli, vedere Creare un Autonomous Container Database.

Nota

Se si desidera abilitare Autonomous Data Guard tra più aree, assicurarsi di aver aggiunto gli indirizzi IP di connessione per il cluster OKV nel keystore.

È possibile aggiornare il gruppo di endpoint OKV dalla pagina Dettagli di un ACD. Facoltativamente, è anche possibile aggiungere un nome di gruppo di endpoint OKV con il keystore OKV durante il provisioning di ACD o release successive.

Per aggiornare il gruppo di endpoint OKV su un ACD, è necessario assicurarsi che:
  • Il nome del gruppo di endpoint OKV dispone dell'accesso al wallet OKV corrispondente.
  • Gli endpoint OKV corrispondenti all'ACD fanno parte del gruppo di endpoint OKV.
  • Il gruppo di endpoint OKV dispone dell'accesso in lettura ai wallet predefiniti degli endpoint.
Per aggiornare il nome del gruppo di endpoint OKV:
  • Andare alla pagina Dettagli dell'ACD. Per istruzioni, vedere Visualizzare i dettagli di un Autonomous Container Database.
  • Fare clic su Modifica accanto al nome del gruppo di endpoint OKV in Cifratura.
  • Scegliere un keystore dall'elenco e immettere un nome per il gruppo di endpoint OKV. Il nome del gruppo di endpoint deve essere in maiuscolo e può includere numeri, trattini (-) e caratteri di sottolineatura (_) e iniziare con una lettera maiuscola.
  • Fare clic su Salva.