Impostare una chiave OCI Hold Your Own Key utilizzando Thales CipherTrust Manager senza il gateway API OCI

Introduzione

Questa esercitazione fornisce istruzioni dettagliate per impostare la chiave HYOK (Hold Your Own Key) con Thales CipherTrust Manager (CTM) senza utilizzare l'opzione API Gateway di Oracle Cloud Infrastructure (OCI). Questo approccio consente di controllare completamente le chiavi di cifratura abilitando l'integrazione con i servizi OCI che supportano la gestione delle chiavi esterne.

Esamineremo l'intera configurazione, iniziando con la revisione dell'architettura di rete e l'impostazione delle integrazioni delle applicazioni in OCI, quindi configurando Thales CipherTrust Manager per comunicare direttamente con Oracle Cloud Infrastructure External Key Management Service (OCI External Key Management Service) su un endpoint privato. L'esercitazione include anche la creazione e la registrazione di provider di identità, tenancy OCI, vault esterni e chiavi, nonché il test dell'accesso allo storage degli oggetti gestito dal cliente utilizzando queste chiavi esterne.

Alla fine di questa esercitazione, avrai un'impostazione HYOK completamente operativa, in grado di cifrare e controllare l'accesso alle risorse OCI utilizzando chiavi gestite esternamente ospitate sul tuo Thales CipherTrust Manager senza la necessità di un gateway API OCI intermedio.

Nota: in questa esercitazione i termini Thales CipherTrust Cloud Key Manager (CCKM) e Thales CipherTrust Manager (CTM) vengono utilizzati in modo intercambiabile. Entrambi si riferiscono allo stesso prodotto.

Questa esercitazione si basa su technical foundation descritta nell'esercitazione: Imposta due appliance Thales CipherTrust Cloud Key Manager in OCI, Crea un cluster tra di esse e Configura una come autorità di certificazione.

Se si desidera implementare l'opzione Hold Your Own Key (HYOK) utilizzando Thales CipherTrust Manager con OCI API Gateway, seguire questa esercitazione: Impostare OCI Hold Your Own Key utilizzando CipherTrust Manager con OCI API Gateway.

Obiettivi

• Task 1: Esaminare l'architettura di rete cloud.
• Task 2: creare un'applicazione risorsa riservata e le applicazioni client riservate associate (integrazioni delle applicazioni) e raccogliere il client e i segreti in OCI.
• Task 3: raccogliere l'URL del dominio di Identity da OCI.
• Task 4: Creare provider di identità in Thales CipherTrust Manager.
• Task 5: aggiungere le tenancy Oracle in Thales CipherTrust Manager.
• Task 6: creare un endpoint privato per il servizio OCI External Key Manager.
• Task 7: aggiungere vault esterni in Thales CipherTrust Manager.
• Task 8: creare un vault di servizi di gestione delle chiavi esterne OCI.
• Task 9: Aggiungere chiavi esterne in Thales CipherTrust Manager.
• Task 10: Creare riferimenti chiave in OCI.
• Task 11: creare un bucket di storage degli oggetti OCI con chiavi gestite dal cliente.
• Task 12: bloccare e sbloccare le chiavi Oracle e testare l'accesso facilitato al bucket di storage degli oggetti in Thales CipherTrust Manager e OCI.

Nell'immagine seguente sono illustrati i componenti e la configurazione che consentono di impostare tutti i passi di questa esercitazione.

Task 1: Revisione dell'architettura di rete cloud

Prima di addentrarci nei passi tecnici della configurazione di Hold Your Own Key (HYOK) con Thales CipherTrust Manager, è fondamentale comprendere l'architettura di rete cloud in cui risiede questa impostazione.

In questo scenario vengono utilizzate tre aree OCI:

• Due region OCI simulano data center on-premise. Queste region sono connesse a OCI tramite tunnel VPN, che rappresentano ambienti ibridi.
• La terza area OCI rappresenta l'ambiente OCI primario e segue un'architettura della rete cloud virtuale (VCN, Virtual Cloud Network) hub-and-spoke. In questo disegno:
  • La VCN hub ospita servizi di rete condivisi quali i firewall.
  • Più VCN con spoke si connettono all'hub e ospitano vari carichi di lavoro.

La connettività tra i due data center on premise simulati viene stabilita utilizzando le connessioni peering remoto (RPC). Tuttavia, per questa esercitazione, i dettagli dell'impostazione VPN, della configurazione RPC e dell'architettura VCN hub e spoke sono considerati non inclusi nell'ambito e non verranno coperti.

• Per impostare le connessioni VPN a OCI in cui viene simulato un data center, vedere Impostare una VPNOracle Cloud Infrastructure Site-to-Site VPN Site-to-Site di Oracle Cloud Infrastructure con instradamento statico tra due aree OCI.

• Per impostare le connessioni RPC tra le aree OCI, vedere Impostare la connessione RPC tra due tenant e i relativi gateway di instradamento dinamico.

• Per impostare un hub OCI e un'architettura di rete VNC spoke, vedere Hub di instradamento e VCN spoke con pfSense Firewall nella VCN hub.

Questo tutorial si concentra strettamente sull'impostazione di HYOK utilizzando Thales CipherTrust Manager implementato nell'area di Amsterdam (AMS), che è uno dei data center on-premise simulati. Tutte le operazioni di gestione delle chiavi verranno eseguite da questa istanza di Thales CipherTrust Manager.

Il key manager esterno privato consente a OCI di comunicare in modo sicuro con Thales CipherTrust Manager esterno e verrà distribuito in una delle VCN spoke nell'area OCI primaria. Ciò garantisce un percorso di comunicazione sicuro e diretto tra i servizi OCI e il key manager esterno senza esporre il traffico alla rete Internet pubblica.

Questa architettura supporta impostazioni avanzate di sicurezza e conformità per i carichi di lavoro sensibili in OCI isolando la gestione delle chiavi all'interno di un limite di rete ben definito e sicuro.

L'immagine seguente illustra l'architettura completa.

Task 2: Creare un'applicazione di risorse riservate e associare applicazioni client riservate (integrazioni delle applicazioni) e raccogliere client e segreti in OCI

Per abilitare l'integrazione HYOK con Thales CipherTrust Manager, è necessario stabilire l'affidabilità tra OCI e il key manager esterno.

A tale scopo, registrare due componenti chiave in OCI Identity and Access Management (OCI IAM): un'applicazione di risorse riservate e un'applicazione client riservata. Questi elementi sono essenziali per autenticare e autorizzare la comunicazione tra OCI e Thales CipherTrust Manager.

Questa impostazione consente a Thales CipherTrust Manager di eseguire l'autenticazione con IAM OCI tramite OAuth 2.0. Il client riservato agisce per conto del key manager esterno, mentre la risorsa riservata definisce l'ambito della configurazione di accesso e trust. OCI non può convalidare o comunicare in modo sicuro con l'origine chiave esterna senza questi componenti.

L'immagine seguente illustra i componenti e l'impostazione della configurazione in questo passo.

• Eseguire il login alla console OCI, andare a Identità e sicurezza e Fare clic su Domini.

  

• Fare clic sul dominio che si desidera utilizzare per l'autenticazione.

  

• Fare clic su Applicazioni integrate e su Aggiungi applicazione.

  

• Selezionare Applicazione riservata e fare clic su Avvia workflow.

  

• Immettere il nome dell'applicazione (Resource_App) e fare clic su Successivo.

  

• Nella sezione Configurazione server risorse immettere le seguenti informazioni.

  • Selezionare Configura l'applicazione come server risorse ora.
  • In Audience principale immettere https://10.222.10.111/ (l'indirizzo IP del server CTM1 AMS).

  

• In Aggiungi ambito, immettere le seguenti informazioni.

  • Selezionare Aggiungi ambiti.
  • Fare clic su Aggiungi.
  • In Ambito, immettere oci_ekms.
  • Fare clic su Aggiungi.

  

• Osservare l'ambito aggiunto oci_ekms e scorrere verso il basso.

  

• Nella sezione Configurazione client, immettere le informazioni riportate di seguito.

  • Selezionare Configurare questa applicazione come client ora.
  • Selezionare Credenziali client.
  • Fare clic su Avanti.

  

• Fare clic su Ignora ed esegui in seguito per saltare la creazione del criterio del livello Web e fare clic su Fine.

  

• Andare alla pagina Applicazioni integrate.

  • Si noti che viene creata l'applicazione di integrazione Resource_App.
  • Selezionare l'applicazione di integrazione Resource_App.
  • Fare clic sul menu a discesa Azioni.
  • Fare clic su Attiva.

  

• Fare clic su Attiva applicazione.

  

• Fare clic sull'applicazione di integrazione Resource_App.

  

• scorrere in Basso.

  

• Copiare l'ID client e memorizzarlo in un blocco note. Fare clic su Mostra segreto per visualizzare il segreto del client.

  

• Fare clic su Copia per copiare il segreto client e memorizzarlo in un blocco note. Fare clic su Chiudi.

  

• fare clic su Aggiungi applicazione;

  

• Selezionare Applicazione riservata e fare clic su Avvia workflow.

  

• Immettere il nome dell'applicazione (Client_App) e fare clic su Successivo.

  

• In Configurazione server risorse, selezionare Ignora per dopo.

• In Configurazione client, immettere le seguenti informazioni.

  • Selezionare Configurare questa applicazione come client ora.
  • Selezionare Credenziali client.
  • scorrere in Basso.

  

• In Aggiungi ambito, immettere le seguenti informazioni.

  • Selezionare Aggiungi risorse.
  • Selezionare Aggiungi ambiti.
  • In Ambito, immettere Resource_App.
  • Fare clic su Aggiungi.

  

• Prendere nota della risorsa aggiunta Resource_App e fare clic su Avanti.

  

• Fare clic su Ignora ed esegui in seguito per saltare la creazione del criterio del livello Web e fare clic su Fine.

  

• Andare alla pagina Applicazioni integrate.

  • Si noti che viene creata l'applicazione di integrazione Client_App.
  • Selezionare l'applicazione di integrazione Client_App.
  • Fare clic sul menu a discesa Azioni.
  • Fare clic su Attiva.

  

• Fare clic su Attiva applicazione.

  

• Fare clic sull'applicazione di integrazione Client_App.

  

• scorrere in Basso.

  

• Copiare l'ID client e memorizzarlo in un blocco note. Fare clic su Mostra segreto per visualizzare il segreto del client.

  

• Fare clic su Copia per copiare il segreto client e memorizzarlo in un blocco note. Fare clic su Chiudi.

  

Nota:

• Avete raccolto gli ID client Resource_App e Client_App e i segreti client.
• Non mescolare questi due e configurarli nei luoghi appropriati.

Task 3: Raccogliere l'URL del dominio di Identity da OCI

Per abilitare la comunicazione basata su OAuth tra OCI e Thales CipherTrust Manager, è necessario fornire l'URL del dominio di Identity durante la configurazione del provider di identità in Thales CipherTrust Manager.

• Andare alla console OCI, andare a Identità e sicurezza e Fare clic su Domini.

  

• Selezionare il dominio di Identity in cui sono state create le applicazioni riservate.

  

• Nella pagina dei dettagli del dominio fare clic su Copia per copiare l'URL del dominio e memorizzarlo in un blocco note.

  

Task 4: Creare provider di identità in Thales CipherTrust Manager

In questo task, verrà configurato il provider di identità in Thales CipherTrust Manager. Questa impostazione consente a Thales CipherTrust Manager di eseguire l'autenticazione con OCI utilizzando le credenziali OAuth 2.0 create nel task 3.

L'immagine seguente illustra i componenti e l'impostazione della configurazione in questo task.

• In Thales CipherTrust Manager, andare a CTM1 in AMS e fare clic su Prodotti e Cloud Key Manager.

  

• Fare clic su KMS Containers, Oracle Vaults, selezionare Vault esterni e fare clic su Aggiungi provider di identità.

  

• In Aggiungi provider di identità immettere le informazioni riportate di seguito e fare clic su Aggiungi.

  • Immettere Nome (OCI).
  • Selezionare OpenID Configuration URL come Provider Verifier.
  • Immettere OpenID URL di configurazione, l'URL del dominio copiato nel task 3.
    • Aggiungere il suffisso seguente all'URL: .well-known/openid-configuration. Pertanto l'URL di configurazione OpenID completo sarà: https://idcs-<xxx>.identity.oraclecloud.com:443/.well-known/openid-configuration.
  • Selezionare jwks Protected URL.
  • Immettere ID client e Segreto client dell'applicazione integrata Resource_App.

  

• Si noti che viene creato il provider di identità.

  

Task 5: aggiungere tenancy OCI in Thales CipherTrust Manager

Dopo aver configurato il provider di identità in Thales CipherTrust Manager, il task successivo consiste nella registrazione della tenancy OCI. Ciò consente a Thales CipherTrust Manager di gestire vault e chiavi esterni per conto dell'ambiente OCI utilizzando le credenziali OAuth configurate in precedenza.

L'immagine seguente illustra i componenti e la configurazione impostati in questo task.

• In primo luogo, dobbiamo ottenere il nome e l'OCID del tenant da OCI. Fare clic sul profilo nell'angolo superiore destro e fare clic su Tenancy.

  

• Copiare il nome del tenant e l'OCID del tenant e memorizzarli entrambi in un blocco note.

  

• Andare alla console del Key Manager di Thales Cloud.

  • Fare clic su KMS Containers.
  • Fare clic su Vault Oracle.
  • Fare clic su Tenancy.
  • Fare clic su Aggiungi tenancy.

  

• In Aggiungi tenancy immettere le informazioni riportate di seguito.

  • Selezionare Tenancy Oracle (nessuna connessione) come metodo.
  • Immettere il nome della tenancy raccolta da OCI.
  • Immettere l'OCID tenancy raccolto da OCI.
  • Fare clic su Aggiungi.

  

• Si noti che il tenant OCI viene aggiunto al manager Thales CipherTrust.

  

Task 6: creare un endpoint privato per il servizio Key Manager esterno in OCI

Per connettere in modo sicuro OCI a Thales CipherTrust Manager senza esporre il traffico alla rete Internet pubblica, è necessario creare un endpoint privato per il servizio di gestione delle chiavi esterne OCI.

Ciò garantisce che tutte le comunicazioni tra OCI e Thales CipherTrust Manager vengano eseguite su un percorso di rete privato e controllato.

Assicurarsi che vengano soddisfatti i prerequisiti riportati di seguito.

• Thales CipherTrust Manager deve essere raggiungibile da OCI tramite l'impostazione della rete privata. Ad esempio tramite VPN.
• Assicurarsi che la subnet disponga di regole di instradamento e sicurezza che consentano il traffico all'istanza di Thales CipherTrust Manager.

L'immagine seguente illustra i componenti e l'impostazione della configurazione in questo task.

• Nella Console OCI andare a Identità e sicurezza e fare clic su Endpoint privati.

  

• Andare a Endpoint privati e fare clic su Crea endpoint privato.

  

• In Crea endpoint privato, immettere le seguenti informazioni.

  • Immettere il nome dell'endpoint privato (Private-Endpoint-For-Vault).
  • Selezionare una VCN e una subnet in cui deve trovarsi questo endpoint privato.
  • Immettere l'indirizzo IP privato del gestore chiavi esterno come 10.222.10.111 L'indirizzo IP del server CTM1 AMS.
  • Immettere Porta come 443.
  • Caricare il bundle CA di gestione chiavi esterne e fare clic su Sfoglia.

  

• Abbiamo selezionato il certificato dell'intera catena creato in questa esercitazione: Imposta due appliance Thales CipherTrust Cloud Key Manager in OCI, Crea un cluster tra di esse e Configura un cluster come autorità di certificazione, ma è anche possibile selezionare solo il certificato radice CA. Fare clic su Apri.

  

• Assicurarsi che il certificato, l'autorità di certificazione root o i certificati dell'intera catena di Thales CipherTrust Manager siano selezionati. Fare clic su Crea.

  

• Tenere presente che viene creato l'endpoint privato. Ora, fare clic sull'endpoint privato.

  

• Si noti che l'indirizzo IP dell'endpoint privato è configurato.

  

Task 7: Aggiunta di vault esterni in Thales CipherTrust Manager

Con la tenancy OCI e l'endpoint privato in atto, il task successivo consiste nell'aggiungere un Vault esterno in Thales CipherTrust Manager. Un vault esterno in Thales CipherTrust Manager è un contenitore logico mappato al vault di gestione delle chiavi esterne in OCI, consentendo al responsabile Thales CipherTrust di gestire le chiavi utilizzate per la cifratura HYOK.

L'immagine seguente illustra i componenti e l'impostazione della configurazione in questo task.

• Passare alla console del Key Manager di Thales Cloud.

  • Fare clic su KMS Containers.
  • Fare clic su Vault Oracle.
  • Selezionare Vault esterni.
  • Fare clic su Aggiungi vault esterno.

  

• In Aggiungi vault esterno, immettere le informazioni seguenti.

  • Immettere Nome (OCI).
  • Selezionare Tenancy Oracle (nessuna connessione) come Metodi.
  • Selezionare la creazione Tenancy nel task 5.
  • Selezionare l'emittente, il provider di identità creato nel task 4.
  • scorrere in Basso.

  

  • Immettere l'ID client dell'applicazione integrata Client_App.
  • Immettere il nome host URL endpoint come 10.222.10.111, l'indirizzo IP del server AMS CTM1.
  • Immettere Porta come 443.
  • Fare clic su Aggiungi.

  

• Si noti che il vault esterno è configurato. Copiare l'URL del vault esterno e memorizzarlo in un blocco note.

  

Una volta configurato, questo vault diventa la posizione di destinazione per la memorizzazione delle chiavi esterne a cui i servizi OCI faranno riferimento. Collega l'ambiente OCI e le chiavi gestite da CipherTrust, consentendo il controllo completo delle operazioni di cifratura in un modello HYOK.

Task 8: Creare un vault del servizio di gestione delle chiavi esterne OCI

Ora che il vault esterno è stato definito in Thales CipherTrust Manager, il task successivo consiste nel creare un Vault di gestione delle chiavi esterne corrispondente in OCI Console.

Questo vault OCI verrà collegato a Thales CipherTrust Manager e utilizzato dai servizi OCI per eseguire operazioni di cifratura e decifrazione utilizzando chiavi esterne.

L'immagine seguente illustra i componenti e l'impostazione della configurazione in questo task.

• Recupera l'URL del dominio dal task 3. È necessario eseguire questa operazione per configurare il vault di chiavi esterne in OCI.

  

• Nella console OCI, andare a Identità e sicurezza e fare clic su Gestione chiavi esterne.

  

• Fare clic su Crea vault.

  

• In Crea vault, immettere le seguenti informazioni.

  • Immettere Nome (OCI_EKMS_Vault).
  • Inserire URL nome account IDCS, l'URL del dominio copiato dal task 7. Quindi l'URL completo sarà: https://idcs-<xxx>.identity.oraclecloud.com:443/.
  • Immettere ID client e Segreto applicazione client dell'applicazione integrata Client_App.
  • scorrere in Basso.

  

  • Selezionare l'endpoint privato creato nel task 6.
  • Immettere l'URL del vault esterno copiato dal task 7 quando è stato creato il vault esterno su CTM1.
  • Fare clic su Crea vault.

  

• Tenere presente che il vault è stato creato. Ora, fare clic sul vault.

  

• Rivedere i dettagli del vault.

  

OCI ora si connetterà a Thales CipherTrust Manager utilizzando l'endpoint privato specificato. Una volta attivo, questo vault diventa l'interfaccia attraverso la quale OCI interagisce con le chiavi esterne gestite da CCKM, abilitando il supporto HYOK per i servizi OCI come OCI Object Storage, OCI Block Volumes e altro ancora. In seguito, eseguiremo alcuni test con OCI Object Storage.

Task 9: Aggiunta di chiavi esterne in Thales CipherTrust Manager

Con il vault esterno impostato in Thales CipherTrust Manager e collegato a OCI, il task successivo consiste nel creare o importare le chiavi di cifratura esterne che OCI utilizzerà per i servizi abilitati per HYOK.

Queste chiavi risiedono in modo sicuro all'interno di Thales CipherTrust Manager e vengono utilizzate come riferimento da OCI tramite l'interfaccia di gestione delle chiavi esterne. A seconda dei requisiti organizzativi, è possibile generare una nuova chiave direttamente in Thales CipherTrust Manager o importarne una esistente.

L'immagine seguente illustra i componenti e l'impostazione della configurazione in questo task.

• Andare alla console del Key Manager di Thales Cloud.

  • Fare clic su Chiavi cloud.
  • Fare clic su Oracle.
  • fare clic su Aggiungi chiave;

  

• In Aggiungi chiave Oracle, immettere le seguenti informazioni.

  • Selezionare Oracle External (HYOK).
  • Selezionare il Vault di Thales CipherTrust Manager creato nel Task 8.
  • Selezionare l'origine in modo che sia CipherTrust (Locale).
  • Fare clic su Avanti.

  

• In Chiave di origine immettere le seguenti informazioni.

  • Selezionare Materiale chiave di origine come Crea nuova chiave.
  • Immettere il nome della chiave (CM_Key).
  • Fare clic su Avanti.

  

• In Configure Oracle Key immettere le informazioni riportate di seguito.

  • Immettere il nome chiave Oracle (CM_Key).
  • Fare clic su Avanti.

  

• Fare clic su Aggiungi chiave

  

• Fare clic su Chiudi.

  

• Prendere nota della chiave creata.

  

Una volta aggiunta, la chiave diventa disponibile per OCI tramite il vault di gestione delle chiavi esterne. Tuttavia, per consentire ai servizi OCI di utilizzare la chiave, è necessario creare un riferimento chiave nella console OCI, che verrà trattato nel task successivo.

Nota:

• Queste chiavi non lasciano mai il Gestore CipherTrust di Thales.
• OCI invia solo richieste di cifratura/decifrazione al key manager esterno, assicurandoti di mantenere sempre il controllo completo sul materiale chiave.

Task 10: Crea riferimenti chiave in OCI

Una volta creata o importata la chiave esterna in Thales CipherTrust Manager, il task successivo consiste nel creare un riferimento chiave in OCI Console. Un riferimento chiave funge da puntatore che consente ai servizi OCI di accedere e utilizzare la chiave esterna memorizzata nel manager Thales CipherTrust tramite il vault di gestione delle chiavi esterne.

L'immagine seguente illustra i componenti e l'impostazione della configurazione in questo task.

• Andare alla console del Key Manager di Thales Cloud.

  • Fare clic su Chiavi cloud.
  • Fare clic su Oracle.
  • Fare clic su Chiave creata nel task 9.

  

• Si noti che la chiave avrà un ID chiave esterna, copiare questo ID.

  

• Tornare al vault in OCI creato nel task 9 e fare clic sul vault.

  

• scorrere in Basso.

  

• Fare clic su Crea riferimento chiave.

  

• In Crea riferimento chiave, immettere le seguenti informazioni.

  • Immettere Nome (OCI_Key_Reference).
  • Immettere la chiave copiata del campo ID chiave esterna (responsabile Thales CipherTrust).
  • Fare clic su Crea riferimento chiave.

  

• Tenere presente che il riferimento chiave è stato creato.

  

OCI ora assocerà questo riferimento chiave alla chiave esterna gestita in Thales CipherTrust Manager. Ciò consente ai servizi OCI, come OCI Object Storage, OCI Block Volumes e altri, di inviare richieste di cifratura alla chiave esterna sull'endpoint privato. Al contrario, il materiale chiave rimane interamente sotto il tuo controllo.

Testeremo immediatamente il riferimento alla chiave collegandolo a un bucket di storage degli oggetti OCI per verificare che l'integrazione funzioni come previsto.

Task 11: creare un bucket di storage degli oggetti OCI con chiavi gestite dal cliente

È possibile cifrare le risorse utilizzando la chiave esterna a cui viene fatto riferimento in OCI. In questa attività, verrà creato un bucket di storage degli oggetti OCI che utilizza la chiave esterna gestita dal cliente in hosting in Thales CipherTrust Manager tramite il vault di gestione delle chiavi esterne.

Questa impostazione garantisce che tutti gli oggetti memorizzati nel bucket vengano cifrati utilizzando una chiave che puoi controllare completamente, soddisfacendo rigorosi requisiti di conformità, sovranità o criteri interni.

L'immagine seguente illustra i componenti e l'impostazione della configurazione in questo task.

• Andare a OCI Console, andare a Memorizzazione e fare clic su Bucket.

  

• Fare clic su Crea bucket.

  

• In Crea bucket immettere le informazioni riportate di seguito.

  • Immettere Nome (OCI_EKMS_Test_Bucket).
  • scorrere in Basso.

  

  • In Cifratura, selezionare Cifra mediante chiave gestite dal clienti.
  • In Vault selezionare la creazione di External Key Management Vault nel task 8.
  • In Chiave selezionare il riferimento chiave creato nel task 10.
  • Fare clic su Crea.

  

• Tenere presente che il bucket viene creato. Fare clic sul bucket.

  

• Puoi scorrere verso il basso per caricare file o lasciarli vuoti.

  

• Andare alla schermata home della console OCI o di qualsiasi altra pagina.

  

Una volta creato il bucket, tutti i dati in esso memorizzati verranno cifrati utilizzando la chiave esterna gestita da Thales CipherTrust Manager. Ciò garantisce che OCI si affida all'infrastruttura chiave per l'accesso e il controllo, abilitando funzionalità HYOK (Hold Your Own Key) complete.

Si supponga che la chiave esterna non sia più disponibile, ad esempio disabilitata o bloccata in Thales CipherTrust Manager. In tal caso, l'accesso al bucket e ai relativi contenuti verrà negato, offrendo un potente punto di controllo per il livello di sicurezza dei dati. Questo è qualcosa che testeremo nel prossimo compito.

Task 12: bloccare e sbloccare le chiavi Oracle e testare l'accessibilità del bucket di storage degli oggetti OCI in Thales CipherTrust Manager e OCI

Uno dei vantaggi principali del modello HYOK (Hold Your Own Key) è la possibilità di ottenere il controllo operativo completo sulle chiavi di cifratura, inclusa la possibilità di bloccarle o sbloccarle in qualsiasi momento. In questa sezione viene descritto come utilizzare Thales CipherTrust Manager per controllare l'accesso a un bucket di storage degli oggetti gestito da Oracle mediante il blocco o lo sblocco della chiave esterna.

Il blocco di una chiave limita in modo efficace l'accesso a qualsiasi risorsa OCI cifrata con tale chiave senza eliminare la chiave o i dati. Lo sblocco ripristina l'accesso.

• Andare alla console del Key Manager di Thales Cloud.

  • Fare clic su Chiavi cloud.
  • Fare clic su Oracle.
  • Fare clic sui tre punti alla fine della chiave.
  • Selezionare Blocco.

  

• Selezionare Blocco.

  

• Si noti che la chiave è ora Blockata in Thales CipherTrust Manager.

  

• Andare alla Console OCI, andare a Memorizzazione e fare clic su Bucket.

  

• Fare clic sul bucket creato nel task 11.

  

• Tenere presente che ora si verificherà un errore e non sarà possibile accedere al bucket o a qualsiasi file caricato nel bucket.

Ora sblocchiamo di nuovo la chiave in Thales CipherTrust Manager.

Il diagramma riportato di seguito illustra i componenti e l'impostazione della configurazione in questo task.

• Andare alla console del Key Manager di Thales Cloud.

  • Fare clic su Chiavi cloud.
  • Fare clic su Oracle.
  • Fare clic sui tre punti alla fine della chiave.
  • Selezionare Sblocca.

  

• Selezionare Sblocca.

  

• La chiave è ora sbloccata in Thales CipherTrust Manager.

  

• Tornare alla pagina Dettagli bucket oppure aggiornare il browser se si è ancora in quella pagina.

  

• Tenere presente che non è possibile accedere di nuovo al bucket di storage degli oggetti OCI quando è sbloccato.

  

Questa funzionalità fornisce un potente meccanismo per la risposta alle emergenze, la compliance normativa e l'applicazione della sovranità dei dati, assicurandoti di mantenere il controllo completo su quando e come i tuoi dati sono accessibili in OCI.

Passi successivi

In questa esercitazione è stata completata l'impostazione di OCI Hold Your Own Key utilizzando Thales CipherTrust Manager senza fare affidamento sull'opzione OCI API Gateway. Seguendo i passi dalla configurazione delle integrazioni delle identità e della rete alla distribuzione di vault e chiavi esterni, è stata abilitata un'architettura di gestione delle chiavi sicura e conforme in cui è possibile mantenere il controllo completo sulle chiavi di cifratura.

Questa impostazione garantisce che i servizi OCI come OCI Object Storage utilizzino le chiavi gestite esternamente per le operazioni di cifratura, mentre il materiale chiave rimane interamente sotto la tua governance. Hai anche visto quanto può essere potente HYOK, con la possibilità di bloccare e sbloccare l'accesso alle risorse cloud semplicemente attivando lo stato chiave all'interno di Thales CipherTrust Manager.

Non utilizzando il gateway API OCI, hai semplificato l'architettura applicando al contempo un confine di sicurezza costante attraverso il networking privato e l'affidabilità delle identità basata su OAuth.

Ora hai un'implementazione HYOK pronta per la produzione che supporta le policy di sicurezza aziendali, la compliance normativa e i requisiti di sovranità dei dati, offrendoti il controllo completo della tua strategia di crittografia cloud.

Collegamenti correlati

• Creazione dell'applicazione Risorsa riservata

• Associazione dell'applicazione client riservata

• Recupero dei dettagli del dominio di Identity

• Creazione di un vault di gestione delle chiavi esterne

• Creazione di riferimenti chiave

Conferme

• Autore: Iwan Hoogendoorn (Cloud Networking Black Belt)

Altre risorse di apprendimento

Esplora altri laboratori su docs.oracle.com/learn o accedi a più contenuti di formazione gratuiti sul canale YouTube di Oracle Learning. Inoltre, visitare education.oracle.com/learning-explorer per diventare Oracle Learning Explorer.

Per la documentazione del prodotto, visitare Oracle Help Center.

---

Titolo e informazioni sul copyright

Set up an OCI Hold Your Own Key using Thales CipherTrust Manager without OCI API Gateway

G38099-01

Copyright ©2025, Oracle and/or its affiliates.