Impostare una chiave OCI Hold Your Own Key utilizzando Thales CipherTrust Manager senza il gateway API OCI

Introduzione

Questa esercitazione fornisce istruzioni dettagliate per impostare la chiave HYOK (Hold Your Own Key) con Thales CipherTrust Manager (CTM) senza utilizzare l'opzione API Gateway di Oracle Cloud Infrastructure (OCI). Questo approccio consente di controllare completamente le chiavi di cifratura abilitando l'integrazione con i servizi OCI che supportano la gestione delle chiavi esterne.

immagine

Esamineremo l'intera configurazione, iniziando con la revisione dell'architettura di rete e l'impostazione delle integrazioni delle applicazioni in OCI, quindi configurando Thales CipherTrust Manager per comunicare direttamente con Oracle Cloud Infrastructure External Key Management Service (OCI External Key Management Service) su un endpoint privato. L'esercitazione include anche la creazione e la registrazione di provider di identità, tenancy OCI, vault esterni e chiavi, nonché il test dell'accesso allo storage degli oggetti gestito dal cliente utilizzando queste chiavi esterne.

Alla fine di questa esercitazione, avrai un'impostazione HYOK completamente operativa, in grado di cifrare e controllare l'accesso alle risorse OCI utilizzando chiavi gestite esternamente ospitate sul tuo Thales CipherTrust Manager senza la necessità di un gateway API OCI intermedio.

immagine

Nota: in questa esercitazione i termini Thales CipherTrust Cloud Key Manager (CCKM) e Thales CipherTrust Manager (CTM) vengono utilizzati in modo intercambiabile. Entrambi si riferiscono allo stesso prodotto.

Questa esercitazione si basa su technical foundation descritta nell'esercitazione: Imposta due appliance Thales CipherTrust Cloud Key Manager in OCI, Crea un cluster tra di esse e Configura una come autorità di certificazione.

Se si desidera implementare l'opzione Hold Your Own Key (HYOK) utilizzando Thales CipherTrust Manager con OCI API Gateway, seguire questa esercitazione: Impostare OCI Hold Your Own Key utilizzando CipherTrust Manager con OCI API Gateway.

Obiettivi

immagine

Nell'immagine seguente sono illustrati i componenti e la configurazione che consentono di impostare tutti i passi di questa esercitazione.

immagine

Task 1: Revisione dell'architettura di rete cloud

Prima di addentrarci nei passi tecnici della configurazione di Hold Your Own Key (HYOK) con Thales CipherTrust Manager, è fondamentale comprendere l'architettura di rete cloud in cui risiede questa impostazione.

In questo scenario vengono utilizzate tre aree OCI:

La connettività tra i due data center on premise simulati viene stabilita utilizzando le connessioni peering remoto (RPC). Tuttavia, per questa esercitazione, i dettagli dell'impostazione VPN, della configurazione RPC e dell'architettura VCN hub e spoke sono considerati non inclusi nell'ambito e non verranno coperti.

Questo tutorial si concentra strettamente sull'impostazione di HYOK utilizzando Thales CipherTrust Manager implementato nell'area di Amsterdam (AMS), che è uno dei data center on-premise simulati. Tutte le operazioni di gestione delle chiavi verranno eseguite da questa istanza di Thales CipherTrust Manager.

Il key manager esterno privato consente a OCI di comunicare in modo sicuro con Thales CipherTrust Manager esterno e verrà distribuito in una delle VCN spoke nell'area OCI primaria. Ciò garantisce un percorso di comunicazione sicuro e diretto tra i servizi OCI e il key manager esterno senza esporre il traffico alla rete Internet pubblica.

Questa architettura supporta impostazioni avanzate di sicurezza e conformità per i carichi di lavoro sensibili in OCI isolando la gestione delle chiavi all'interno di un limite di rete ben definito e sicuro.

L'immagine seguente illustra l'architettura completa.

immagine

Task 2: Creare un'applicazione di risorse riservate e associare applicazioni client riservate (integrazioni delle applicazioni) e raccogliere client e segreti in OCI

Per abilitare l'integrazione HYOK con Thales CipherTrust Manager, è necessario stabilire l'affidabilità tra OCI e il key manager esterno.

A tale scopo, registrare due componenti chiave in OCI Identity and Access Management (OCI IAM): un'applicazione di risorse riservate e un'applicazione client riservata. Questi elementi sono essenziali per autenticare e autorizzare la comunicazione tra OCI e Thales CipherTrust Manager.

Questa impostazione consente a Thales CipherTrust Manager di eseguire l'autenticazione con IAM OCI tramite OAuth 2.0. Il client riservato agisce per conto del key manager esterno, mentre la risorsa riservata definisce l'ambito della configurazione di accesso e trust. OCI non può convalidare o comunicare in modo sicuro con l'origine chiave esterna senza questi componenti.

L'immagine seguente illustra i componenti e l'impostazione della configurazione in questo passo.

immagine

Nota:

Task 3: Raccogliere l'URL del dominio di Identity da OCI

Per abilitare la comunicazione basata su OAuth tra OCI e Thales CipherTrust Manager, è necessario fornire l'URL del dominio di Identity durante la configurazione del provider di identità in Thales CipherTrust Manager.

Task 4: Creare provider di identità in Thales CipherTrust Manager

In questo task, verrà configurato il provider di identità in Thales CipherTrust Manager. Questa impostazione consente a Thales CipherTrust Manager di eseguire l'autenticazione con OCI utilizzando le credenziali OAuth 2.0 create nel task 3.

L'immagine seguente illustra i componenti e l'impostazione della configurazione in questo task.

immagine

Task 5: aggiungere tenancy OCI in Thales CipherTrust Manager

Dopo aver configurato il provider di identità in Thales CipherTrust Manager, il task successivo consiste nella registrazione della tenancy OCI. Ciò consente a Thales CipherTrust Manager di gestire vault e chiavi esterni per conto dell'ambiente OCI utilizzando le credenziali OAuth configurate in precedenza.

L'immagine seguente illustra i componenti e la configurazione impostati in questo task.

immagine

Task 6: creare un endpoint privato per il servizio Key Manager esterno in OCI

Per connettere in modo sicuro OCI a Thales CipherTrust Manager senza esporre il traffico alla rete Internet pubblica, è necessario creare un endpoint privato per il servizio di gestione delle chiavi esterne OCI.

Ciò garantisce che tutte le comunicazioni tra OCI e Thales CipherTrust Manager vengano eseguite su un percorso di rete privato e controllato.

Assicurarsi che vengano soddisfatti i prerequisiti riportati di seguito.

L'immagine seguente illustra i componenti e l'impostazione della configurazione in questo task.

immagine

Task 7: Aggiunta di vault esterni in Thales CipherTrust Manager

Con la tenancy OCI e l'endpoint privato in atto, il task successivo consiste nell'aggiungere un Vault esterno in Thales CipherTrust Manager. Un vault esterno in Thales CipherTrust Manager è un contenitore logico mappato al vault di gestione delle chiavi esterne in OCI, consentendo al responsabile Thales CipherTrust di gestire le chiavi utilizzate per la cifratura HYOK.

L'immagine seguente illustra i componenti e l'impostazione della configurazione in questo task.

immagine

Una volta configurato, questo vault diventa la posizione di destinazione per la memorizzazione delle chiavi esterne a cui i servizi OCI faranno riferimento. Collega l'ambiente OCI e le chiavi gestite da CipherTrust, consentendo il controllo completo delle operazioni di cifratura in un modello HYOK.

Task 8: Creare un vault del servizio di gestione delle chiavi esterne OCI

Ora che il vault esterno è stato definito in Thales CipherTrust Manager, il task successivo consiste nel creare un Vault di gestione delle chiavi esterne corrispondente in OCI Console.

Questo vault OCI verrà collegato a Thales CipherTrust Manager e utilizzato dai servizi OCI per eseguire operazioni di cifratura e decifrazione utilizzando chiavi esterne.

L'immagine seguente illustra i componenti e l'impostazione della configurazione in questo task.

immagine

OCI ora si connetterà a Thales CipherTrust Manager utilizzando l'endpoint privato specificato. Una volta attivo, questo vault diventa l'interfaccia attraverso la quale OCI interagisce con le chiavi esterne gestite da CCKM, abilitando il supporto HYOK per i servizi OCI come OCI Object Storage, OCI Block Volumes e altro ancora. In seguito, eseguiremo alcuni test con OCI Object Storage.

Task 9: Aggiunta di chiavi esterne in Thales CipherTrust Manager

Con il vault esterno impostato in Thales CipherTrust Manager e collegato a OCI, il task successivo consiste nel creare o importare le chiavi di cifratura esterne che OCI utilizzerà per i servizi abilitati per HYOK.

Queste chiavi risiedono in modo sicuro all'interno di Thales CipherTrust Manager e vengono utilizzate come riferimento da OCI tramite l'interfaccia di gestione delle chiavi esterne. A seconda dei requisiti organizzativi, è possibile generare una nuova chiave direttamente in Thales CipherTrust Manager o importarne una esistente.

L'immagine seguente illustra i componenti e l'impostazione della configurazione in questo task.

immagine

Una volta aggiunta, la chiave diventa disponibile per OCI tramite il vault di gestione delle chiavi esterne. Tuttavia, per consentire ai servizi OCI di utilizzare la chiave, è necessario creare un riferimento chiave nella console OCI, che verrà trattato nel task successivo.

Nota:

Task 10: Crea riferimenti chiave in OCI

Una volta creata o importata la chiave esterna in Thales CipherTrust Manager, il task successivo consiste nel creare un riferimento chiave in OCI Console. Un riferimento chiave funge da puntatore che consente ai servizi OCI di accedere e utilizzare la chiave esterna memorizzata nel manager Thales CipherTrust tramite il vault di gestione delle chiavi esterne.

L'immagine seguente illustra i componenti e l'impostazione della configurazione in questo task.

immagine

OCI ora assocerà questo riferimento chiave alla chiave esterna gestita in Thales CipherTrust Manager. Ciò consente ai servizi OCI, come OCI Object Storage, OCI Block Volumes e altri, di inviare richieste di cifratura alla chiave esterna sull'endpoint privato. Al contrario, il materiale chiave rimane interamente sotto il tuo controllo.

Testeremo immediatamente il riferimento alla chiave collegandolo a un bucket di storage degli oggetti OCI per verificare che l'integrazione funzioni come previsto.

Task 11: creare un bucket di storage degli oggetti OCI con chiavi gestite dal cliente

È possibile cifrare le risorse utilizzando la chiave esterna a cui viene fatto riferimento in OCI. In questa attività, verrà creato un bucket di storage degli oggetti OCI che utilizza la chiave esterna gestita dal cliente in hosting in Thales CipherTrust Manager tramite il vault di gestione delle chiavi esterne.

Questa impostazione garantisce che tutti gli oggetti memorizzati nel bucket vengano cifrati utilizzando una chiave che puoi controllare completamente, soddisfacendo rigorosi requisiti di conformità, sovranità o criteri interni.

L'immagine seguente illustra i componenti e l'impostazione della configurazione in questo task.

immagine

Una volta creato il bucket, tutti i dati in esso memorizzati verranno cifrati utilizzando la chiave esterna gestita da Thales CipherTrust Manager. Ciò garantisce che OCI si affida all'infrastruttura chiave per l'accesso e il controllo, abilitando funzionalità HYOK (Hold Your Own Key) complete.

Si supponga che la chiave esterna non sia più disponibile, ad esempio disabilitata o bloccata in Thales CipherTrust Manager. In tal caso, l'accesso al bucket e ai relativi contenuti verrà negato, offrendo un potente punto di controllo per il livello di sicurezza dei dati. Questo è qualcosa che testeremo nel prossimo compito.

Task 12: bloccare e sbloccare le chiavi Oracle e testare l'accessibilità del bucket di storage degli oggetti OCI in Thales CipherTrust Manager e OCI

Uno dei vantaggi principali del modello HYOK (Hold Your Own Key) è la possibilità di ottenere il controllo operativo completo sulle chiavi di cifratura, inclusa la possibilità di bloccarle o sbloccarle in qualsiasi momento. In questa sezione viene descritto come utilizzare Thales CipherTrust Manager per controllare l'accesso a un bucket di storage degli oggetti gestito da Oracle mediante il blocco o lo sblocco della chiave esterna.

Il blocco di una chiave limita in modo efficace l'accesso a qualsiasi risorsa OCI cifrata con tale chiave senza eliminare la chiave o i dati. Lo sblocco ripristina l'accesso.

immagine

immagine

Ora sblocchiamo di nuovo la chiave in Thales CipherTrust Manager.

Il diagramma riportato di seguito illustra i componenti e l'impostazione della configurazione in questo task.

immagine

Questa funzionalità fornisce un potente meccanismo per la risposta alle emergenze, la compliance normativa e l'applicazione della sovranità dei dati, assicurandoti di mantenere il controllo completo su quando e come i tuoi dati sono accessibili in OCI.

Passi successivi

In questa esercitazione è stata completata l'impostazione di OCI Hold Your Own Key utilizzando Thales CipherTrust Manager senza fare affidamento sull'opzione OCI API Gateway. Seguendo i passi dalla configurazione delle integrazioni delle identità e della rete alla distribuzione di vault e chiavi esterni, è stata abilitata un'architettura di gestione delle chiavi sicura e conforme in cui è possibile mantenere il controllo completo sulle chiavi di cifratura.

Questa impostazione garantisce che i servizi OCI come OCI Object Storage utilizzino le chiavi gestite esternamente per le operazioni di cifratura, mentre il materiale chiave rimane interamente sotto la tua governance. Hai anche visto quanto può essere potente HYOK, con la possibilità di bloccare e sbloccare l'accesso alle risorse cloud semplicemente attivando lo stato chiave all'interno di Thales CipherTrust Manager.

Non utilizzando il gateway API OCI, hai semplificato l'architettura applicando al contempo un confine di sicurezza costante attraverso il networking privato e l'affidabilità delle identità basata su OAuth.

Ora hai un'implementazione HYOK pronta per la produzione che supporta le policy di sicurezza aziendali, la compliance normativa e i requisiti di sovranità dei dati, offrendoti il controllo completo della tua strategia di crittografia cloud.

Conferme

Altre risorse di apprendimento

Esplora altri laboratori su docs.oracle.com/learn o accedi a più contenuti di formazione gratuiti sul canale YouTube di Oracle Learning. Inoltre, visitare education.oracle.com/learning-explorer per diventare Oracle Learning Explorer.

Per la documentazione del prodotto, visitare Oracle Help Center.