Implantar el cifrado de nivel de mensaje en Oracle Integration Cloud mediante OCI Vault
El cifrado de nivel de mensaje (MLE) es una técnica de seguridad utilizada para proteger la confidencialidad e integridad de un mensaje durante la transmisión. Implica el uso de algoritmos de cifrado para codificar el contenido de un mensaje de modo que sólo el destinatario deseado, con las claves de descifrado, pueda leerlo.
Las API de Rest no tienen estado por arquitectura, lo que significa que el servidor no mantiene una sesión y no tiene información sobre el cliente. En la solicitud, el cliente debe enviar toda la información para permitir que el servidor responda. Al trabajar con la API de Rest y la seguridad, se centra en la autenticación, la autorización y la confidencialidad.
Para la autenticación y autorización, hay protocolos y mejores prácticas que varían de claves de API, autenticación básica, token de JWT a oAuth. Para garantizar la confidencialidad, puede activar la seguridad de nivel de transporte (TLS), el proceso de protección de la comunicación a través de una red mediante el cifrado del tráfico. Por este motivo, la mayoría de las API Rest aplican HTTPS en lugar de HTTP simple. Todas estas tienen sus propias ventajas e inconvenientes, y cuentan con el soporte de Oracle Integration Cloud listo para usar.
Si bien la seguridad a nivel de red cumple los requisitos la mayor parte del tiempo, hay ocasiones en las que se requiere aplicar el cifrado a nivel de carga útil o mensaje (por ejemplo, cuando incluye información confidencial, como información de identificación personal [PII], números de tarjetas de crédito, detalles de cuentas bancarias, registros médicos o similares). Por este motivo, muchos gateways de pago (Visa, MasterCard, entidades gubernamentales) aplican MLE a las API de Rest que contienen datos confidenciales.
Oracle Integration Cloud proporciona funciones listas para usar para cumplir con la autenticación, autorización y TLS. La MLE se puede lograr mediante OCI Vault.
Arquitectura
Esta arquitectura de referencia demuestra cómo utilizar OCI Vault para lograr MLE en Oracle Integration Cloud.
OCI Vault es un servicio de gestión de cifrado que almacena y gestiona claves y secretos de cifrado para acceder de forma segura a los recursos. Proporciona API para permitir la gestión de claves, así como la firma, el cifrado y el descifrado de datos mediante estas claves.
Al trabajar con criptografía, hay dos tipos fundamentales de sistemas para proteger los datos.
- La criptografía simétrica utiliza la misma clave (privada) para el cifrado y descifrado. El remitente y el receptor deben tener la misma clave secreta que utilizan para cifrar y descifrar los datos. Esto significa que si alguien intercepta la clave, puede descifrar los datos.
- Por otro lado, la criptografía asimétrica utiliza dos claves diferentes: una clave pública y una clave privada. El remitente utiliza la clave pública del destinatario para cifrar los datos y el destinatario utiliza su clave privada para descifrarlos. La clave privada se mantiene en secreto y nunca se comparte, lo que la hace mucho más segura que la criptografía simétrica.
La criptografía simétrica tiene la ventaja de la velocidad, pero es menos segura, ya que utiliza la misma clave tanto para el cifrado como para el descifrado. La criptografía asimétrica, aunque es más lenta, es más segura porque la clave privada utilizada para el descifrado nunca se comparte y solo el destinatario puede acceder a ella.
OCI Vault soporta estos algoritmos de unidad de clave.
| Algoritmo de unidad de clave | Descripción |
|---|---|
| Estándar de cifrado avanzado (AES) | Las claves AES son claves simétricas que puede utilizar para cifrar datos. |
| Rivest-Shamir-Adleman (RSA) | Las claves RSA son claves asimétricas, también conocidas como pares de claves, que constan de una clave pública y una clave privada que puede utilizar para cifrar datos en tránsito, firmar datos y verificar la integridad de los datos firmados. |
| Algoritmo de firma digital de criptografía de curva elíptica (ECDSA) | Las claves ECDSA son claves asimétricas que se pueden utilizar para firmar datos y verificar la integridad de los datos firmados. |
A veces, debe utilizar tanto simétrico como asimétrico. Por ejemplo, un cliente comparte su clave pública RSA con usted; genera y utiliza una clave privada AES para cifrar los datos; y cifra la clave privada con la clave pública RSA del cliente, que envía en la carga útil. Como el cliente no ha compartido su clave privada RSA, solo puede descifrar los datos, primero descifrando la clave AES y, a continuación, usándola para descifrar la carga útil. Esto se realiza cuando el tamaño de la carga útil es mayor que el que puede cifrar una clave RSA.
OCI Vault permite importar o crear sus propias claves de cifrado maestras. Al utilizar el material de claves importado, sigue siendo responsable del material de claves, al tiempo que permite que OCI Vault utilice una copia del mismo. Consulte Explorar más para obtener información sobre la importación de claves.
OCI Vault proporciona una serie de API que puede utilizar Oracle Integration Cloud. Consulte Más información sobre la API de gestión de claves de almacén. A continuación, se muestran algunas de las API que se utilizan con frecuencia en escenarios de cifrado a nivel de mensaje.
| API | Descripción |
|---|---|
| Cifrar | Cifra los datos mediante los detalles de cifrado proporcionados como parte de la solicitud. |
| Cancelar | Descifra los datos mediante los detalles de descifrado proporcionados como parte de la solicitud. |
| Signo | Crea una firma digital para un resumen de mensaje o mensaje mediante la clave privada de un par de claves pública y privada, también conocida como clave asimétrica. |
| Verificar | Verifica una firma digital generada por la operación de signo mediante la clave pública de la misma clave asimétrica que se utilizó para firmar los datos. Si desea validar la firma digital fuera del servicio, puede hacerlo mediante la clave pública de la clave asimétrica. |
Al trabajar en Oracle Integration Cloud y tiene que cifrar la carga útil antes de enviar la solicitud a una API de Rest, puede utilizar OCI Vault. Si está trabajando con criptografía simétrica, puede recibir la clave privada AES, cargarla en OCI Vault y utilizar las API de OCI Vault para cifrar los datos y enviar estos datos cifrados a la API de Rest. Si necesita criptografía asimétrica, puede recibir la clave pública RSA, cargarla en OCI Vault y utilizar las API de OCI Vault para cifrar los datos y enviar estos datos cifrados a la API de Rest. Asimismo, si desea aplicar las API de Rest en Oracle Integration Cloud para que tengan carga útil cifrada, puede crear claves, compartirlas con sus clientes y utilizar las API de OCI Vault para descifrar los datos y verificarlos. Además, puede combinar ambas claves cuando necesite utilizar criptografía asimétrica y simétrica.
En el siguiente diagrama se ilustra esta arquitectura de referencia.
oci-vault-architecture: oracle.zip
La arquitectura tiene los siguientes componentes:
- Oracle Integration Cloud
Oracle Integration Cloud (OIC) proporciona un completo conjunto de herramientas y servicios para ayudar a las organizaciones a integrar sus diversas aplicaciones, servicios y orígenes de datos, tanto locales como en la nube. OIC ofrece una gama de funciones que incluyen conectores incorporados para la integración con diversas aplicaciones populares como Oracle Fusion, Salesforce, SAP, Workday y muchas más, así como conectores personalizados para la integración con otras aplicaciones y servicios. También proporciona una interfaz visual intuitiva para diseñar, probar y desplegar integraciones, lo que facilita a los usuarios la creación de flujos de trabajo de integración complejos sin necesidad de utilizar habilidades de codificación.
- Oracle Cloud Infrastructure Vault
OCI Vault es un servicio de gestión de claves seguro y escalable que ofrece Oracle Cloud Infrastructure (OCI). Proporciona una ubicación centralizada para gestionar claves criptográficas y secretos utilizados para proteger recursos y aplicaciones de OCI. OCI Vault ofrece una amplia gama de funciones, incluidas la generación y el almacenamiento de claves, la distribución segura de claves, el cifrado y el descifrado. Permite a los usuarios gestionar sus propias claves o utilizar claves gestionadas por OCI. Los usuarios también pueden rotar sus claves regularmente para garantizar la máxima seguridad.
OCI Vault también ofrece un amplio conjunto de API de Rest para gestionar almacenes y claves.
Consideraciones
Tenga en cuenta los siguientes puntos al implantar esta arquitectura de referencia.
- Seguridad
Utilice las políticas de Oracle Cloud Infrastructure Identity and Access Management (IAM) para controlar quién puede acceder a sus recursos en la nube y qué operaciones se pueden realizar. Asigne acceso con privilegios mínimos para usuarios y grupos de IAM a tipos de recursos.
- Límites de servicio
Considere los límites y las cuotas de los servicios de OCI utilizados en la topología. Consulte Explorar más.