Documentação do Oracle Cloud Infrastructure

Criptografia de Volume em Blocos

O serviço Block Volume sempre criptografa todos os volumes no bloco, de inicialização e de backups de volume em repouso usando o algoritmo Advanced Encryption Standard (AES) com criptografia de mais de 256 bits. Por padrão, todos os volumes e seus backups são criptografados usando as chaves de criptografia fornecidas pela Oracle. Cada vez que um volume é clonado ou restaurado de um backup, ele recebe uma nova chave de criptografia exclusiva.

Importante

O serviço Block Volumes não suporta a criptografia de volumes com chaves criptografadas usando o algoritmo Rivest-Shamir-Adleman (RSA). Ao usar suas próprias chaves, você deverá usar as chaves criptografadas usando o algoritmo AES (Advanced Encryption Standard). Isso se aplica a volumes em blocos e volumes de inicialização.

O Block Volume usa criptografia de envelope para criptografar os dados. Com criptografia por envelope, os dados podem ser criptografados usando uma chave exclusiva de criptografia gerada (DEK) e, em seguida, a chave é criptografada usando a chave gerenciada pelo cliente. A chave de criptografia de dados é exclusiva para cada volume.

Por padrão, as chaves de criptografia fornecidas pelo sistema Oracle são usadas para criptografia. Você tem a opção de substituir ou especificar chaves gerenciadas pelo cliente armazenadas no serviço Vault. O serviço Block Volume usa a chave de criptografia configurada para o volume tanto para criptografia em repouso quanto em trânsito.

Se você não especificar uma chave gerenciada pelo cliente ou cancelar posteriormente a designação de uma chave do volume, o serviço Block Volume usará a chave de criptografia fornecida pela Oracle. Esta situação se aplica à criptografia em repouso e à criptografia em trânsito paravirtualizada.

Para usar sua própria chave para novos volumes, consulte Criando um Volume em Blocos. Para alterar chaves, consulte Alterando a Chave de Criptografia Principal Designada e Editando uma Chave para um Volume em Blocos.

Não existe opção para volumes não criptografados em repouso. A criptografia em repouso não afeta o desempenho do volume e não acarreta custo extra. O serviço Block Volume também fornece criptografia em trânsito. A criptografia em trânsito para volumes em blocos anexados às VMs é opcional, e você pode ativá-la ou desativá-la para esses volumes, conforme necessário. Existe suporte para a criptografia em trânsito para instâncias bare metal e ela é ativada; você não pode desativá-la para as seguintes formas:

  • BM.Standard.E3.128

  • BM.Standard.E4.128

  • BM.DenseIO.E4.128

Para confirmar o suporte para outras imagens customizadas baseadas em Linux e para obter mais informações, entre em contato com o Suporte Técnico da Oracle.

Chaves Fornecidas pela Oracle

Uma chave fornecida pela Oracle é o esquema de criptografia padrão, usando chaves gerenciadas internamente pela Oracle. Nenhuma ação é necessária para usar essas chaves. Se você não especificar uma chave gerenciada pelo cliente, seus recursos do Volume em Blocos serão criptografados usando chaves gerenciadas pela Oracle. O serviço rotaciona as chaves periodicamente.

Chaves Gerenciadas pelo Cliente

Você pode usar chaves gerenciadas pelo cliente, que são suas próprias chaves armazenadas com o serviço Vault . Você pode importar chaves externas para o serviço Vault ou usar o serviço para gerar novas chaves. O uso de chaves gerenciadas pelo cliente para criptografar dados não gera impacto extra no custo ou no desempenho. Para obter mais informações, consulte Gerenciando Chaves de Criptografia do serviço Vault para o Block Volume.

Criptografia Personalizada

Você pode optar por executar sua própria criptografia personalizada no nível do sistema operacional usando software de terceiros, como criptografia do Devicemapper (dm-crypt), Criptografia da Unidade BitLocker e assim por diante. Essa criptografia é adicional à criptografia padrão fornecida pela Oracle para volumes. Isso significa que os volumes são criptografados, primeiro pelo software no nível do sistema operacional e, em seguida, pela Oracle usando chaves gerenciadas por ela mesma.

Quando você usa um modo personalizado de criptografia, incorrerá em custo extra, mas poderá ver uma degradação no desempenho geral do volume. Essa criptografia usa ciclos de CPU do host, e o desempenho do volume depende da forma real da instância do serviço Compute.

Criptografia em Trânsito

Importante

  • A criptografia de inicialização e volumes em blocos só está disponível para instâncias da máquina virtual (VM) iniciadas de imagens da plataforma, juntamente com instâncias bare metal que usam as seguintes formas: BM.Standard.E3.128, BM.Standard.E4.128, BM.DenseIO.E4.128. Não há suporte para ela em outras instâncias bare metal. Para confirmar o suporte para determinadas imagens personalizadas baseadas em Linux e para obter mais informações, entre em contato com o suporte técnico da Oracle.

  • Para instâncias bare metal que suportam criptografia em trânsito, incluindo instâncias iniciadas de imagens personalizadas, ela sempre é ativada por padrão. Isso se aplica a volumes de inicialização e volumes em blocos. As seguintes formas bare metal suportam criptografia em trânsito para o volume de inicialização da instância e volumes de bloco anexados por iSCSI:

    • BM.Standard.E3.128
    • BM.Standard.E4.128
    • BM.DenseIO.E4.128

Todos os dados em movimento entre a instância e o volume em blocos são transferidos por meio de uma rede interna altamente segura. Se você tiver requisitos específicos de conformidade relacionados à criptografia dos dados enquanto ele estiver se movendo entre a instância e o volume de blocos, o serviço Block Volume oferecerá a opção de ativar a criptografia em trânsito para anexos do volume paravirtualizado em instâncias de máquina virtual (VM).

Não há suporte para criptografia em trânsito para instâncias bare metal em regiões do Cloud do Setor Governamental (EUA).

A criptografia de trânsito não é ativada para essas formas nos seguintes cenários:

  • Volumes de inicialização para instâncias lançadas em 8 de junho de 2021 ou anteriores.
  • Volumes anexados à instância de 8 de junho de 2021 ou anterior

Para ativar a criptografia em trânsito para os volumes nesses cenários, desanexe o volume da instância e depois o reanexe.

Acesso à Chave do Compartimento de Segurança Cruzada

Como melhores práticas, o Benchmark do CIS Oracle Cloud Infrastructure Foundations recomenda que você crie um vault para as chaves gerenciadas pelo cliente em um compartimento separado e restrinja o acesso a esse compartimento. O diagrama a seguir mostra como organizar isso.

Diagrama de arquitetura mostrando chaves gerenciadas pelo cliente armazenadas em um compartimento de acesso restrito e separado

As políticas a seguir são obrigatórias para usar as chaves em um compartimento de segurança separado com acesso restrito para criptografar volumes de inicialização, volumes em blocos e recursos relacionados.

Allow service blockstorage to use keys in compartment security-compartment where target.key.id = <key_ID>
Allow group projx-admin-group to use key-delegate in compartment security-compartment where target.key.id = <key_ID>