Chaves de Criptografia Principais no Autonomous Database on Dedicated Exadata Infrastructure

Por padrão, o Autonomous Database on Dedicated Exadata Infrastructure cria e gerencia todas as chaves de criptografia principais usadas para proteger seus dados, armazenando-as em um armazenamento de chaves PKCS 12 seguro nos mesmos sistemas Exadata em que os bancos de dados residem. Elas são chamadas de chaves de criptografia gerenciadas pela Oracle.

Usando as Chaves Gerenciadas da Oracle, a Oracle está garantindo o ciclo de vida completo das chaves como metadados gerenciados pela Oracle. Nas implantações do Exadata Cloud@Customer, o acesso aos backups é uma responsabilidade compartilhada e o cliente deve garantir o ambiente do banco de dados e a acessibilidade do arquivo de backup para que as APIs da Oracle trabalhem com operações internas do ciclo de vida do gerenciamento de chaves.

Se as políticas de segurança da sua empresa exigirem isso, o Autonomous Database poderá usar as chaves que você cria e gerencia usando o Oracle Key Store. Para implantações do Oracle Public Cloud, você também pode usar o serviço Vault do Oracle Cloud Infrastructure para criar e gerenciar chaves. Os clientes com conformidade regulatória para armazenar chaves fora do Oracle Cloud ou de qualquer local de nuvem de terceiros podem usar um Serviço de Gerenciamento de Chaves Externas (KMS Externo).

Ao criar uma chave gerenciada pelo cliente usando o serviço OCI Vault, você também pode importar seu próprio material da chave (Bring Your Own Key ou BYOK), em vez de permitir que o serviço Vault gere o material da chave internamente.

Atenção:

Como as chaves gerenciadas pelo cliente armazenadas no Oracle Key Vault (OKV) são externas ao host do banco de dados, qualquer alteração ou interrupção da configuração que torna o OKV inacessível para o banco de dados usando suas chaves torna os dados inacessíveis.

Além disso, independentemente de você usar chaves gerenciadas pela Oracle ou gerenciadas pelo cliente, poderá rotacionar as chaves usadas em bancos de dados existentes quando necessário para atender às políticas de segurança da sua empresa. Consulte Girar as Chaves de Criptografia para obter mais detalhes.

Antes de Começar: Melhores Práticas da Hierarquia de Compartimentos

A Oracle recomenda que você crie uma hierarquia de compartimentos para sua implantação do Autonomous Database em infraestrutura dedicada da seguinte forma:
  • Um compartimento "pai" para toda a implantação
  • Compartimentos "filhos" para cada um dos vários tipos de recursos:
    • Autonomous Databases
    • Autonomous Container Databases e recursos de infraestrutura (Infraestruturas Exadata e Clusters de VMs do Autonomous Exadata)
    • A VCN (Rede Virtual na Nuvem) e suas sub-redes
    • Vaults que contêm suas chaves gerenciadas pelo cliente

Seguir essa melhor prática é especialmente importante ao usar chaves gerenciadas pelo cliente porque a instrução de política criada para conceder ao Autonomous Database acesso às suas chaves deve ser adicionada a uma política que seja superior na hierarquia de compartimentos do que o compartimento que contém seus vaults e suas chaves.

Tópicos Relacionados

Usar Chaves Gerenciadas pelo Cliente no Serviço Vault

Para poder usar chaves gerenciadas pelo cliente armazenadas no serviço Vault, execute várias tarefas preparatórias de configuração para criar um vault e chaves de criptografia principais e, em seguida, torne esse vault e suas chaves disponíveis para o Autonomous Database; especificamente:

  1. Crie um vault no serviço Vault seguindo as instruções em Para criar um novo vault na Documentação do Oracle Cloud Infrastructure. Ao seguir essas instruções, a Oracle recomenda que você crie o vault em um compartimento criado especificamente para conter os vaults que contêm chaves gerenciadas pelo cliente, conforme descrito em Melhor Prática da Hierarquia de Compartimentos.
    Após criar o vault, você pode criar pelo menos uma chave de criptografia principal no vault seguindo as instruções em Para criar uma nova chave de criptografia principal na Documentação do Oracle Cloud Infrastructure. Ao seguir estas instruções, faça estas escolhas:
    • Criar no Compartimento: A Oracle recomenda que você crie a chave de criptografia principal no mesmo compartimento do seu vault; ou seja, o compartimento criado especificamente para conter os vaults que contêm chaves gerenciadas pelo cliente.
    • Modo de Proteção: Escolha um valor apropriado na lista suspensa:
      • HSM para criar uma chave de criptografia principal que é armazenada e processada em um módulo de segurança de hardware (HSM).
      • Software para criar uma chave de criptografia principal que é armazenada em um sistema de arquivos de software no serviço Vault. Chaves protegidas por software são protegidas em repouso usando uma chave raiz baseada em HSM. Você pode exportar chaves de software para outros dispositivos de gerenciamento de chaves ou para outra região da nuvem do OCI. Ao contrário das chaves HSM, as chaves protegidas por software são gratuitas.
    • Algoritmo de Forma da Chave: AES
    • Tamanho da Forma da Chave: 256 bits

    Observação:

    Você também pode adicionar uma chave de criptografia a um vault existente.
  2. Use o serviço Networking para Criar um Gateway de Serviço, uma Regra de Rota e uma Regra de Segurança de Saída para a VCN (Rede Virtual na Nuvem) e as sub-redes nas quais seus recursos do Autonomous Database residem.
  3. Use o serviço IAM para Criar um Grupo Dinâmico que identifique seus recursos do Autonomous Database e uma instrução de política que conceda a esse grupo dinâmico acesso às chaves de criptografia principais que você criou.

Dica:

Para obter uma "tentativa" da alternativa que demonstra essas instruções, consulte o Lab 17: Customer Controlled Database Encryption Keys no Oracle Autonomous Database Dedicated for Security Administrators.

Depois de configurar a chave gerenciada pelo cliente usando as etapas acima, você poderá configurá-la durante o provisionamento de um Autonomous Container Database (ACD) ou rotacionando a chave de criptografia existente na página Detalhes do ACD ou do Autonomous Database. Os Autonomous Databases provisionados neste ACD herdarão automaticamente essas chaves de criptografia. Consulte Criar um Autonomous Container Database ou Alternar a Chave de Criptografia de um Autonomous Container Database para obter mais detalhes.

Se quiser ativar o Autonomous Data Guard entre Regiões, primeiro você precisará replicar o vault do OCI para a região em que deseja adicionar o banco de dados stand-by. Consulte Replicando Vaults e Chaves para obter mais detalhes.

Observação:

Os vaults virtuais criados antes da introdução do recurso de replicação de vault entre regiões não podem ser replicados entre regiões. Crie um novo vault e novas chaves se você tiver um vault que precise replicar em outra região e a replicação não for suportada para esse vault. No entanto, todos os vaults privados suportam replicação entre regiões. Consulte Replicação entre regiões do vault virtual para obter detalhes.

Usar BYOK (Bring Your Own Keys) no Serviço Vault

APLICAÇÕES PARA: Aplicável somente Oracle Public Cloud

Ao criar uma chave gerenciada pelo cliente usando o serviço OCI Vault, você também pode importar seu próprio material da chave (Bring Your Own Key ou BYOK), em vez de permitir que o serviço Vault gere o material da chave internamente.

Para poder trazer suas próprias chaves para o serviço Vault, execute várias tarefas preparatórias de configuração para criar um vault e importar a chave de criptografia principal e, em seguida, torne-o disponível para o Autonomous Database; especificamente:
  1. Crie um vault no serviço Vault seguindo as instruções em Para criar um novo vault na Documentação do Oracle Cloud Infrastructure. Ao seguir essas instruções, a Oracle recomenda que você crie o vault em um compartimento criado especificamente para conter os vaults que contêm chaves gerenciadas pelo cliente, conforme descrito em Melhor Prática da Hierarquia de Compartimentos.
    Após criar o vault, você pode criar pelo menos uma chave de criptografia principal no vault seguindo as instruções em Para criar uma nova chave de criptografia principal na Documentação do Oracle Cloud Infrastructure. Você também pode importar uma chave de criptografia do cliente para um vault existente. Ao seguir estas instruções, faça estas escolhas:
    • Criar no Compartimento: A Oracle recomenda que você crie a chave de criptografia principal no mesmo compartimento do seu vault; ou seja, o compartimento criado especificamente para conter os vaults que contêm chaves gerenciadas pelo cliente.
    • Modo de Proteção: Escolha um valor apropriado na lista suspensa:
      • HSM para criar uma chave de criptografia principal que é armazenada e processada em um módulo de segurança de hardware (HSM).
      • Software para criar uma chave de criptografia principal que é armazenada em um sistema de arquivos de software no serviço Vault. Chaves protegidas por software são protegidas em repouso usando uma chave raiz baseada em HSM. Você pode exportar chaves de software para outros dispositivos de gerenciamento de chaves ou para outra região da nuvem do OCI. Ao contrário das chaves HSM, as chaves protegidas por software são gratuitas.
    • Algoritmo de Forma da Chave: AES
    • Tamanho da Forma da Chave: 256 bits
    • Importar Chave Externa: Para usar uma chave de criptografia do cliente (BYOK), selecione Importar Chave Externa e forneça os seguintes detalhes:
      • Informações da Chave de Encapsulamento. Esta seção é somente para leitura, mas você pode exibir os detalhes da chave de encapsulamento pública.
      • Algoritmo de Encapsulamento. Selecione um algoritmo de encapsulamento na lista suspensa.
      • Origem de Dados da Chave Externa. Faça upload do arquivo que contém o material da chave RSA encapsulado.

    Observação:

    Você pode importar o material da chave como uma nova versão da chave externa ou clicar no nome de uma chave de criptografia principal existente e rotacioná-lo para uma nova versão da chave.

    Para obter mais detalhes, consulte Importando o Material da Chave como Versão de Chave Externa.

  2. Use o serviço Networking para Criar um Gateway de Serviço, uma Regra de Rota e uma Regra de Segurança de Saída para a VCN (Rede Virtual na Nuvem) e as sub-redes nas quais seus recursos do Autonomous Database residem.
  3. Use o serviço IAM para Criar um Grupo Dinâmico que identifique seus recursos do Autonomous Database e uma instrução de política que conceda a esse grupo dinâmico acesso às chaves de criptografia principais que você criou.

Depois de configurar o BYOK gerenciado pelo cliente usando as etapas acima, você poderá usá-lo rotacionando a chave de criptografia existente na página Detalhes do Autonomous Container Database ou do Autonomous Database. Consulte Alternar a Chave de Criptografia de um Autonomous Container Database para obter mais detalhes.

Usar Chaves Externas do OCI External Key Management Service (OCI EKMS)

APLICA-SE A: Aplicável Somente Oracle Public Cloud

Para poder usar chaves externas do OCI EKMS, execute várias tarefas preparatórias de configuração para criar um vault e, em seguida, torne-o disponível para o Autonomous Database.

No OCI EKMS, você pode armazenar e controlar chaves de criptografia principais (como chaves externas) em um sistema de gerenciamento de chaves de terceiros hospedado fora do OCI. Você pode usar isso para maior segurança de dados ou se tiver conformidade regulatória para armazenar chaves fora do Oracle Public Cloud ou de qualquer local de nuvem de terceiros. Com as chaves reais que residem no sistema de gerenciamento de chaves de terceiros, você cria apenas referências de chave no OCI.
  1. Você pode criar e gerenciar um vault que contenha referências de chave no OCI EKMS. Você pode usar as chaves do OCI EKMS com o Autonomous Database on Dedicated Exadata Infrastructure implantado no Oracle Public Cloud. Consulte Criando um vault no OCI EKMS para obter mais detalhes. Ao seguir estas instruções, faça estas escolhas:
    • Criar no Compartimento: Selecione um compartimento para o vault do OCI EKMS.
    • URL do Nome da Conta do IDCS: Informe o URL de autenticação que você usa para acessar o serviço KMS. A Console redireciona para uma tela de acesso.
    • Fornecedor de Gerenciamento de Chaves: Selecione um fornecedor de terceiros que implemente o serviço de gerenciamento de chaves. Por enquanto, o OCI KMS suporta apenas Thales como fornecedor de gerenciamento de chaves externas.
    • ID do aplicativo cliente: Informe o ID do cliente do OCI KMS gerado quando você registrar o aplicativo cliente confidencial no Domínio de Identidades da Oracle.
    • Segredo do aplicativo cliente: Informe o ID do Segredo do aplicativo cliente confidencial registrado no Domínio de Identidades da Oracle.
    • Ponto final privado no compartimento: Selecione o GUID do ponto final privado do gerenciamento de chaves externas.
    • URL do Vault Externo: Informe o URL do vault que foi gerado quando você criou o vault no gerenciamento de chaves externas.
  2. Use o serviço Networking para Criar um Gateway de Serviço, uma Regra de Roteamento e uma Regra de Segurança de Saída para a VCN (Rede Virtual na Cloud) e as sub-redes nas quais residem seus recursos do Autonomous Database.
  3. Use o serviço IAM para Criar um Grupo Dinâmico que identifique seus recursos do Autonomous Database e uma instrução de política que conceda a esse grupo dinâmico acesso às chaves de criptografia principais que você criou.

Criar um Gateway de Serviço, uma Regra de Roteamento e uma Regra de Segurança de Saída

O Gateway de Serviço do OCI (Oracle Cloud Infrastructure) fornece acesso privado e seguro a vários serviços do Oracle Cloud simultaneamente de dentro de uma rede virtual na nuvem (VCN) ou rede local por meio de um único gateway sem atravessar a internet.

Crie um gateway de serviço na VCN (Rede Virtual na Nuvem) em que seus recursos do Autonomous Database residem seguindo as instruções na Tarefa 1: Criar o gateway de serviço na Documentação do Oracle Cloud Infrastructure.

Após criar o gateway de serviço, adicione uma regra de roteamento e uma regra de segurança de saída a cada sub-rede (na VCN) em que os recursos do Autonomous Database residem para que esses recursos possam usar o gateway para acessar o serviço Vault:
  1. Vá para a página Detalhes da Sub-rede da sub-rede.
  2. Na guia Informações da Sub-rede, clique no nome da Tabela de Rota da sub-rede para exibir sua respectiva página Detalhes da Tabela de Rota.
  3. Na tabela de Regras de Roteamento existentes, verifique se já existe uma regra com as seguintes características:
    • Destino: Todos os Serviços IAD No Oracle Services Network
    • Tipo de Destino: Gateway de Serviço
    • Alvo: O nome do gateway de serviço que você acabou de criar na VCN

    Se essa regra não existir, clique em Adicionar Regras de Rota e adicione uma regra de roteamento com essas características.

  4. Retorne à página Detalhes da Sub-rede da sub-rede.
  5. Na tabela Listas de Segurança da sub-rede, clique no nome da lista de segurança da sub-rede para exibir a página Detalhes da Lista de Segurança.
  6. No menu lateral, em Recursos, clique em Regras de Saída.
  7. Na tabela de Regras de Saída existentes, verifique se já existe uma regra com as seguintes características:
    • Sem Monitoramento de Estado: Não
    • Destino: Todos os Serviços IAD No Oracle Services Network
    • Protocolo IP: TCP
    • Intervalo de Portas de Origem: Tudo
    • Faixa de Portas de Destino: 443

    Se essa regra não existir, clique em Adicionar Regras de Saída e adicione uma regra de saída com essas características.

Criar um Grupo Dinâmico e uma instrução de Política

Para conceder aos seus recursos do Autonomous Database permissão para acessar chaves gerenciadas pelo cliente, você cria um grupo dinâmico do serviço IAM que identifica esses recursos e, em seguida, cria uma política do serviço IAM que concede a esse grupo dinâmico acesso às chaves de criptografia principais criadas no serviço Vault.

Ao definir o grupo dinâmico, você identifica seus recursos do Autonomous Database especificando o OCID do compartimento que contém o recurso Exadata Infrastructure.
  1. Copie o OCID do compartimento que contém o recurso Exadata Infrastructure. Você pode encontrar esse OCID na página Detalhes do Compartimento.
  2. Crie um grupo dinâmico seguindo as instruções em Para criar um grupo dinâmico na Documentação do Oracle Cloud Infrastructure. Ao seguir estas instruções, digite uma regra correspondente deste formato:
    ALL {resource.compartment.id ='<compartment-ocid>'}

    em que <compartment-ocid> corresponde ao OCID do compartimento que contém o recurso Cluster de VMs do Autonomous Exadata.

Após criar o grupo dinâmico, navegue (ou crie) até uma política do serviço IAM em um compartimento superior na hierarquia ao compartimento que contém seus vaults e chaves. Em seguida, adicione uma instrução de política deste formato:
allow dynamic-group <dynamic-group-name>
to manage keys
in compartment <vaults-and-keys-compartment>
where all {
target.key.id='<key_ocid>',
request.permission!='KEY_MOVE',
request.permission!='KEY_IMPORT'
}
Se você estiver usando um vault virtual replicado ou um vault privado virtual replicado para a implantação do Autonomous Data Guard, adicione outra instrução de política desse formato:
allow dynamic-group <dynamic-group>
to read vaults
in tenancy | compartment <vaults-and-keys-compartment>

em que <dynamic-group> está o nome do grupo dinâmico criado e <vaults-and-keys-compartment> é o nome do compartimento no qual você criou seus vaults e chaves de criptografia principais.

Usar Chaves Gerenciadas pelo Cliente no Oracle Key Vault

O Oracle Key Vault (OKV) é um appliance de software com segurança reforçada e pilha completa, criado para centralizar o gerenciamento de chaves e objetos de segurança dentro da empresa. Você integra sua implantação do OKV on-premises ao Oracle Autonomous Database para criar e gerenciar suas próprias chaves principais.

Para poder usar chaves gerenciadas pelo cliente armazenadas no OKV, execute várias tarefas de configuração preparatórias, conforme descrito em Preparar-se para Usar o Oracle Key Vault.

Depois de configurar as chaves gerenciadas pelo cliente no OKV, você poderá configurá-las durante o provisionamento de um Autonomous Container Database (ACD) ou rotacionando a chave de criptografia existente na página Detalhes do ACD ou do Autonomous Database. Os Autonomous Databases provisionados neste ACD herdarão automaticamente essas chaves de criptografia. Consulte Criar um Autonomous Container Database ou Alternar a Chave de Criptografia de um Autonomous Container Database para obter mais detalhes.

Se você quiser ativar o Autonomous Data Guard entre Regiões, certifique-se de ter adicionado endereços IP de Conexão ao seu Cluster do OKV no Armazenamento de Chaves.