Visão Geral de Vaults, Gerenciamento de Chaves e Gerenciamento de Segredos

Entenda os conceitos de gerenciamento de vault e chave para acessar e gerenciar vaults, chaves e segredos.

Vaults

Vaults são entidades lógicas nas quais o serviço Key Management cria e armazena de forma durável chaves e segredos do vault. O tipo de vault que você tem determina recursos e funcionalidades como graus de isolamento de armazenamento, acesso a gerenciamento e criptografia, escalabilidade e capacidade de backup. O tipo de vault que você tem também afeta a precificação. Você não pode alterar o tipo de um vault depois de criar o vault.

O serviço Key Management oferece diferentes tipos de vault para acomodar as necessidades e o orçamento da sua organização. Todos os tipos de vault garantem a segurança e a integridade das chaves de criptografia e dos segredos que os vaults armazenam. Um vault privado virtual é uma partição isolada em um módulo de segurança de hardware (HSM). Caso contrário, os Vaults compartilham partições no HSM com outros vaults.

Os vault privados virtuais incluem versões de chave 1000 por padrão. Se você não precisar do maior grau de isolamento ou da capacidade de fazer backup do vault, não precisará de um vault privado virtual. Sem um vault privado virtual, você pode gerenciar custos pagando pelas versões da chave individualmente, conforme necessário. (As versões das chaves contam para o limite de chave e custos. Uma chave de vault sempre contém pelo menos uma versão de chave ativa. Da mesma forma, um segredo sempre tem pelo menos uma versão de segredo. No entanto, os limites de segredos se aplicam à tenancy e não a um vault.)

Para clientes que têm conformidade regulatória para armazenar chaves fora da nuvem Oracle ou de qualquer local de nuvem de terceiros, o OCI KMS agora oferece uma funcionalidade chamada Serviço de Gerenciamento de Chaves Externas (KMS Externo). No External KMS, você pode armazenar e controlar chaves de criptografia principais (como chaves externas) em um sistema de gerenciamento de chaves de terceiros hospedado fora do OCI. Em seguida, você pode usar essas chaves para criptografar seus dados no Oracle. Você também pode desativar suas chaves a qualquer momento. Com as chaves reais que residem no sistema de gerenciamento de chaves de terceiros, você cria apenas referências de chave (associadas ao material da chave) no OCI.

O OCI KMS oferece o Dedicated KMS, que é um recurso de partição HSM de locatário único altamente disponível e gerenciado pelo cliente como serviço. Ele permite que você tenha maior controle por possuir a partição HSM e chaves criptografadas e os usuários na partição. Em uma configuração do KMS Dedicado, o Cluster do HSM vem com três partições do HSM por padrão, que são sincronizadas automaticamente. Você pode gerenciar chaves e usuários nos HSMs integrados às instâncias de computação do OCI por meio de utilitários Cliente e bibliotecas PKCS #11. O KMS dedicado suporta apenas chaves protegidas por HSM e não suporta chaves protegidas por Software. Para operações criptográficas, a solução suporta criptografia simétrica e assimétrica usando algoritmos AES, RSA e ECDSA.

O serviço Vault designa vaults como um recurso do Oracle Cloud Infrastructure.

Chaves

Chaves são entidades lógicas que representam uma ou mais versões de chaves, cada uma contendo material criptográfico. O material criptográfico de uma chave de vault é gerado para um algoritmo específico que permite usar a chave para criptografia ou assinatura digital. Quando usado para criptografia, uma chave ou par de chaves criptografa e decriptografa dados, protegendo os dados onde eles estão armazenados ou enquanto os dados estão em trânsito. Com uma chave simétrica AES, a mesma chave criptografa e decriptografa dados. Com uma chave assimétrica RSA, a chave pública criptografa dados e a chave privada decriptografa dados.

Você pode usar chaves AES em criptografia e decriptografia, mas não na assinatura digital. No entanto, as chaves RSA podem ser usadas não apenas para criptografar e decriptografar dados, mas também para assinar dados digitalmente e verificar a autenticidade dos dados assinados. Você pode usar chaves ECDSA na assinatura digital, mas não para criptografar ou decriptografar dados.

Quando processada como parte de um algoritmo de criptografia, uma chave especifica como transformar texto sem formatação em texto cifrado durante a criptografia e como transformar texto cifrado em texto sem formatação durante a decriptografia. Quando processada como parte de um algoritmo de assinatura, em conjunto, a chave privada de uma chave assimétrica e uma mensagem produzem uma assinatura digital que acompanha a mensagem em trânsito. Quando processada como parte de um algoritmo de verificação de assinatura pelo destinatário da mensagem assinada, a mensagem, a assinatura e a chave pública da mesma chave assimétrica confirmam ou negam a autenticidade e a integridade da mensagem.

Conceptualmente, o serviço Key Management reconhece três tipos de chaves de criptografia: chaves de criptografia mestras, chaves de encapsulamento e chaves de criptografia de dados.

Os algoritmos de criptografia suportados pelo serviço Key Management para chaves de criptografia principais do vault incluem AES, RSA e ECDSA. Você pode criar chaves de criptografia principais AES, RSA ou ECDSA usando a Console, a CLI ou a API. Quando você cria uma chave de criptografia principal, o serviço Key Management pode gerar o material da chave internamente ou você pode importar o material da chave para o serviço de uma origem externa. (O suporte para importar material da chave depende do algoritmo de criptografia do material da chave.) Ao criar chaves de criptografia principais do vault, você as cria em um vault, mas o local onde uma chave é armazenada e processada depende do modo de proteção.

As chaves de criptografia principais do vault podem ter um dos dois modos de proteção: HSM ou software. Uma chave mestra de criptografia protegida por um HSM é armazenada em um HSM e não pode ser exportada do HSM. Todas as operações criptográficas envolvendo a chave também acontecem no HSM. Enquanto isso, uma chave de criptografia principal protegida por software é armazenada em um servidor e, portanto, pode ser exportada do servidor para executar operações criptográficas no cliente em vez de no servidor. Em repouso, a chave protegida por software é criptografada por uma chave raiz no HSM. Para uma chave protegida por software, qualquer processamento relacionado à chave acontece no servidor. O modo de proteção de uma chave afeta os preços e não pode ser alterado depois que você cria a chave.

Depois de criar sua primeira chave mestra de criptografia simétrica, você poderá usar a API para gerar chaves de criptografia de dados que o serviço Key Management retorna para você. Observe que uma chave de criptografia de dados precisa ter força de criptografia igual ou maior que a chave de criptografia mestra usada para criá-la. Alguns serviços podem usar uma chave de criptografia mestre simétrica para gerar suas próprias chaves de criptografia de dados.

Um tipo de chave de criptografia que vem incluída em cada vault por padrão é uma chave de encapsulamento. Uma chave de encapsulamento é uma chave de criptografia assimétrica de 4096 bits com base no algoritmo RSA. O par de chaves pública e privada não conta nos limites de serviço. Eles também não incorrem em custos de serviço. Use a chave pública como a chave de criptografia de chave quando precisar encapsular material de chave para importação para o serviço Key Management. Não é possível criar, excluir ou rotacionar chaves de quebra automática.

O serviço Key Management reconhece as chaves de criptografia principais como um recurso do Oracle Cloud Infrastructure.

Versões e Rotações de Chaves

Cada chave mestra de criptografia recebe automaticamente uma versão de chave. Quando você gira uma chave, o serviço Key Management gera uma nova versão dela. O serviço Key Management pode gerar o material da chave para a nova versão da chave ou você pode importar seu próprio material da chave.

A rotação periódica de chaves limita o volume de dados criptografados ou assinados por uma versão de chave. Se uma chave for comprometida, a rotação da chave diminuirá o risco. O identificador exclusivo designado pela Oracle de uma chave, chamado OCID (Oracle Cloud ID), permanece o mesmo em todas as rotações, mas a versão da chave permite que os serviços de Gerenciamento de Chaves rotacionem chaves de forma integrada para atender a quaisquer requisitos de conformidade.

Embora não seja possível usar uma versão da chave mais antiga para criptografia após a rotação de uma chave, a versão da chave permanecerá disponível para decriptografar qualquer dado usado para criptografia. Se você rotacionar uma chave assimétrica, a chave pública não poderá mais ser usada para criptografar dados, mas a chave privada permanecerá disponível para decriptografar dados criptografados pela chave pública. Quando você rotaciona uma chave assimétrica usada na assinatura digital, não pode mais usar a versão da chave privada para assinar dados, mas a versão da chave pública permanece disponível para verificar a assinatura digital dos dados assinados anteriormente pela versão mais antiga da chave privada.

Para chaves simétricas, você não precisa rastrear qual versão da chave foi usada para criptografar quais dados, porque o texto cifrado da chave contém as informações que o serviço precisa para fins de decriptografia. Por meio de rotações de chaves assimétricas, no entanto, você deve rastrear qual versão da chave foi usada para criptografar ou assinar quais dados. Com chaves assimétricas, o texto cifrado da chave não contém as informações exigidas pelo serviço para descriptografia ou verificação.

Com chaves simétricas AES, cada versão de chave conta como uma versão de chave ao calcular o uso dos limites de serviço. No entanto, com chaves assimétricas RSA e ECDSA, cada versão da chave conta como duas ao calcular o uso em relação aos limites de serviço porque uma chave assimétrica tem uma chave pública e uma chave privada. (As chaves assimétricas também são conhecidas como pares de chaves.)

Rotação Automática de Teclas

Observação

Este recurso está disponível somente para vaults privados.

O serviço Key Management do OCI permite programar a rotação automática de chaves para uma chave de criptografia em um vault privado virtual. Ao configurar a rotação automática, você define a frequência de rotação e a data de início do agendamento de rotação. Para a frequência, você escolheu um intervalo de rotação entre 60 dias e 365 dias. O KMS suporta a rotação automática de chaves para chaves HSM e software e suporta a rotação automática de chaves simétricas e assimétricas. Observe que uma chave deve estar no estado "enabled" para configurar a rotação automática.

Características e exigências da rotação chave automática:

• Você pode atualizar a programação de rotação de uma chave depois de ativar a rotação automática, conforme necessário.
• Você pode girar uma chave sob demanda (execute uma rotação manual) quando a rotação automática de chaves estiver ativada para a chave.
• Você pode rastrear atividades automáticas de rotação de chaves para uma chave, incluindo o status e a mensagem de status da última rotação, atualizações para o intervalo de rotação e a data inicial da próxima rotação.
• Você poderá enviar uma notificação de evento se uma rotação de chave falhar.

Notificação de evento de rotação automática: Para receber notificações automáticas de evento de rotação de chave, configure o serviço OCI Events. Depois de cada rotação de chaves, o KMS envia uma notificação sobre o status da rotação e as mensagens de erro, se houver. O serviço OCI Events permite usar regras de eventos para chamar uma função, que você pode usar para automação. Por exemplo, você pode usar funções para automatizar as seguintes tarefas:

• Recriptografar dados com uma nova versão da chave
• Excluir uma versão antiga da chave
• Distribuir a parte pública de chaves assimétricas para assinatura ou verificação de dados

Consulte Criando uma Regra do Serviço Events e Visão Geral do Serviço Functions para obter mais informações.

Módulos de Segurança de Hardware

Quando você cria uma chave mestra de criptografia simétrica AES com o modo de proteção definido como HSM, o serviço Key Management armazena a versão da chave dentro de um HSM (hardware security module) para fornecer uma camada de segurança física, (Quando você cria um segredo, as versões do segredo são codificadas e criptografadas por base64 por uma chave mestra de criptografia, mas não são armazenadas no HSM.) Depois que você cria os recursos, o serviço mantém cópias de qualquer versão de chave ou de segredo fornecida na infraestrutura de serviço para fornecer resiliência contra falhas de hardware. Versões de chaves de chaves protegidas pelo HSM não são armazenadas em nenhum outro lugar e não podem ser exportadas de um HSM.

Quando você cria uma chave de criptografia mestra assimétrica RSA ou ECDSA com o modo de proteção definido como HSM, o serviço Key Management armazena a chave privada dentro de um HSM e não permite sua exportação do HSM. No entanto, você pode fazer download da chave pública.

O serviço Key Management usa HSMs que atendem à certificação de segurança FIPS) 140-2 Nível de Segurança 3. Esta certificação significa que o hardware do HSM é à prova de adulteração, tem proteções físicas para resistência a adulterações, requer autenticação baseada na identidade e exclui chaves do dispositivo quando detecta adulteração.

Criptografia de Envelope

A chave de criptografia de dados usada para criptografar seus dados é, em si, criptografada com uma chave de criptografia mestra. Este conceito é conhecido como criptografia de envelope. Os serviços do Oracle Cloud Infrastructure não têm acesso aos dados em texto simples sem interagir com o serviço de Gerenciamento de Chaves e sem acesso à chave de criptografia principal protegida pelo Oracle Cloud Infrastructure Identity and Access Management (IAM). Para fins de descriptografia, os serviços integrados, como Armazenamento de Objetos, Volume em Blocos e Armazenamento de Arquivos, armazenam apenas a forma criptografada da chave da criptografia.

Segredos

Segredos são credenciais como senhas, certificados, chaves SSH ou tokens de autenticação que você usa com os serviços do Oracle Cloud Infrastructure. O armazenamento de segredos em um vault oferece maior segurança do que você pode obter armazenando-os em outro local, como em arquivos de código ou de configuração. Você pode recuperar segredos do serviço Key Management quando precisar deles para acessar recursos ou outros serviços.

Você pode criar segredos usando a Console, a CLI ou a API. O conteúdo de um segredo é importado de uma origem externa para o serviço. O serviço Vault armazena segredos em vaults.

O serviço Key Management suporta segredos como um recurso do Oracle Cloud Infrastructure.

Versões de Segredo

Cada segredo recebe automaticamente uma versão de segredo. Ao rotacionar o segredo, você fornece novo conteúdo do segredo ao serviço Key Management para gerar uma nova versão do segredo. A rotação periódica do conteúdo do segredo reduz o impacto no caso de um segredo ser exposto. O OCID (Oracle Cloud ID) exclusivo de uma senha permanece o mesmo entre rotações, mas o segredo permite que o serviço Key Management rotacione o conteúdo da senha para atender a quaisquer regras ou requisitos que você possa ter. Embora não seja possível usar o conteúdo de uma versão de segredo mais antiga depois de rotacioná-la, se você tiver uma regra configurada impedindo a reutilização do segredo, a versão do segredo permanecerá disponível e será marcada com um estado de rotação diferente de "atual". Para obter mais informações sobre versões de segredo e seus estados de rotação, consulte Versões de Segredo e Estados de Rotação.

Pacotes de Segredos

Um pacote de segredos do vault consiste no conteúdo do segredo, nas propriedades da versão do segredo e do segredo (como número da versão ou estado de rotação) e nos metadados contextuais fornecidos pelo usuário para o segredo. Ao rotacionar um segredo, você cria uma nova versão de segredo que também inclui uma nova versão do pacote de segredos.

O serviço Vault está disponível em todas as regiões comerciais do Oracle Cloud Infrastructure. Consulte Sobre Regiões e Domínios de Disponibilidade para obter a lista de regiões disponíveis, junto com locais associados, identificadores de região, chaves de região e domínios de disponibilidade.

No entanto, ao contrário de alguns serviços do Oracle Cloud Infrastructure, o serviço Vault não tem um ponto final regional para todas as operações de API. O serviço tem um ponto final regional para o serviço de provisionamento que trata das operações de criação, atualização e lista para vaults. Para operações de criação, atualização e lista para chaves, os pontos finais de serviço são distribuídos entre vários clusters independentes. Os pontos finais de serviço de segredos são distribuídos ainda mais por diferentes clusters independentes.

Como o serviço Vault possui pontos finais públicos, você pode usar diretamente chaves de criptografia de dados geradas pelo serviço para operações criptográficas em seus aplicativos. No entanto, se você quiser usar chaves de criptografia mestras com um serviço que tenha sido integrado ao serviço Vault, só poderá fazer isso quando o serviço e o vault de chaves que contiver a chave existirem na mesma região. Existem diferentes pontos finais para operações de gerenciamento de chaves, operações criptográficas de chaves, operações de gerenciamento de segredos e operações de recuperação de segredo. Para obter mais informações, consulte a Documentação da API do Oracle Cloud Infrastructure

O serviço Vault mantém cópias de vaults e seus conteúdos para persisti-los de forma durável e para tornar possível que o serviço Vault produza chaves ou segredos mediante solicitação, mesmo quando um domínio de disponibilidade estiver indisponível. Essa replicação é independente de qualquer replicação entre regiões que um cliente possa configurar.

Para regiões com vários domínios de disponibilidade, o serviço Vault mantém cópias de chaves de criptografia em todos os domínios de disponibilidade da região. As regiões com vários domínios de disponibilidade têm um rack para cada domínio de disponibilidade, o que significa que a replicação acontece em três racks totais nessas regiões, em que cada rack pertence a um domínio de disponibilidade diferente. Em regiões com um único domínio de disponibilidade, o serviço Vault mantém cópias de chaves de criptografia entre domínios de falha.

Para segredos, em regiões com vários domínios de disponibilidade, o serviço Vault distribui cópias secretas entre dois domínios de disponibilidade diferentes. Em regiões com um único domínio de disponibilidade, o serviço Vault distribui as cópias entre dois domínios de falha diferentes.

Cada domínio de disponibilidade tem três domínios de falha. Os domínios de falha ajudam a fornecer alta disponibilidade e tolerância a falhas, possibilitando que o serviço Vault distribua recursos entre diferentes hardwares físicos dentro de um determinado domínio de disponibilidade. O próprio hardware físico também tem fontes de alimentação independentes e redundantes que impedem uma interrupção de energia em um domínio de falha de afetar outros domínios de falha.

Tudo isso permite que o serviço Vault produza chaves e segredos mediante solicitação, mesmo quando um domínio de disponibilidade está indisponível em uma região com vários domínios de disponibilidade ou quando um domínio de falha está indisponível em uma região com um único domínio de disponibilidade.

O serviço Vault suporta acesso privado de recursos do Oracle Cloud Infrastructure em uma rede virtual na nuvem (VCN) por meio de um gateway de serviço. A configuração e o uso de um gateway de serviço em uma VCN permite que recursos (como as instâncias às quais seus volumes criptografados estão conectados) acessem serviços públicos do Oracle Cloud Infrastructure, como o serviço Vault sem expô-los à Internet pública. Nenhum gateway de internet é necessário, e os recursos podem estar em uma sub-rede privada e usar somente endereços IP privados. Para obter mais informações, consulte Acesso ao Oracle Services: Gateway de Serviço.

O serviço Vault suporta vaults, chaves e segredos como recursos da Oracle Cloud Infrastructure. A maioria dos tipos de recursos do Oracle Cloud Infrastructure tem um identificador exclusivo designado pelo Oracle chamado OCID (Oracle Cloud ID). Para obter informações sobre o formato OCID e outras maneiras de identificar seus recursos, , consulte Identificadores de Recursos..

Você pode acessar o Oracle Cloud Infrastructure digitando sua conta no Cloud.

Você pode acessar o OCI (Oracle Cloud Infrastructure) usando a Console (uma interface baseada em browser), a API REST ou a CLI do OCI. Instruções para usar a Console, API e CLI nos tópicos ao longo desta documentação. Para ver uma lista de SDKs disponíveis, consulte Software Development Kits e Interface de Linha de Comando.

Para acessar a Console, você deve usar um browser suportado. Para ir até a página de acesso da Console, abra o menu de navegação na parte superior desta página e selecione Console de Infraestrutura. Você é solicitado a digitar seu tenant na nuvem, seu nome de usuário e sua senha.

Saiba a limitação do Serviço Vault e seu uso de recursos antes de começar a usá-los.

Para obter uma lista de limites e instruções aplicáveis à solicitação de um aumento de limite, consulte Limites do Serviço. Para definir limites específicos de compartimentos em um recurso ou família de recursos, os administradores podem usar cotas de compartimentos.

Para obter instruções sobre como exibir seu nível de uso em relação aos limites de recursos da locação, consulte Exibindo Limites de Serviço, Cotas e Uso. Você também pode obter o uso de cada vault individual em relação aos limites de chave, exibindo contagens de chave e de versão de chave nos detalhes do vault.