Serviço de Gerenciamento de Chave Externa

Visão geral da funcionalidade do KMS Externo com seus benefícios e casos de uso.

O KMS (Key Management Service) do OCI usa um Módulo de Segurança de Hardware hospedado no data Center da Oracle para armazenar e gerenciar chaves principais para criptografar dados em repouso. Para maior segurança de dados e para clientes que têm conformidade regulatória para armazenar chaves fora da nuvem Oracle ou de qualquer local de nuvem de terceiros, o OCI KMS agora oferece uma funcionalidade chamada Serviço de Gerenciamento de Chaves Externas (KMS Externo).

No KMS Externo, você pode armazenar e controlar chaves de criptografia mestras (como chaves externas) em um sistema de gerenciamento de chaves de terceiros hospedado fora do OCI. Em seguida, você pode usar essas chaves para criptografar seus dados no Oracle. Você também pode desativar suas chaves a qualquer momento. Com as chaves reais que residem no sistema de gerenciamento de chaves de terceiros, você cria apenas referências de chave (associadas ao material de chave) no OCI.
Observação

No OCI External KMS, a Thales é nosso primeiro fornecedor de gerenciamento de chaves externas de terceiros e, em toda a documentação, nos referiremos ao Thales CipherTrust Manager (CM) como nosso gerente de chaves externas.

Benefícios

Veja a seguir os benefícios da oferta de KMS Externo no serviço OCI KMS.

  • Proveniência de chave – Você pode gerenciar o uso de chaves criadas externamente. As chaves externas nunca são armazenadas em cache ou armazenadas em qualquer lugar na Oracle, e o KMS não tem nenhum controle sobre essas chaves. Em vez disso, o OCI KMS interage diretamente com o sistema de gerenciamento de chaves de terceiros para operações criptográficas (criptografar/descriptografar).
  • Segurança aprimorada - Protege os dados em repouso com segurança máxima usando um sistema de gerenciamento de chaves de terceiros. Fornece alto nível de segurança no armazenamento de chaves fora da nuvem da Oracle.
  • Gerenciamento centralizado de chaves - Você pode gerenciar suas chaves em um sistema de gerenciamento de chaves de terceiros. Isso oferece maior controle sobre chaves de criptografia que protegem seus dados na nuvem da Oracle.

Caso de Uso

Veja a seguir os casos de uso nos quais é possível implementar a funcionalidade KMS Externo.

  • Os bancos e os setores públicos que têm conformidade regulatória preferem armazenar chaves de criptografia no local, que são fisicamente separadas de seus dados no Oracle Cloud.
  • Cliente bancário que tem conformidade de segurança para executar operações criptográficas fora da Oracle e em seu HSM local para segurança exclusiva com o fornecedor de nuvem no acesso às chaves.
  • Os clientes que escolhem uma implantação de várias nuvens exigem que os bancos de dados na OCI se conectem a serviços de criptografia em outro fornecedor de nuvem. A funcionalidade do KMS Externo é um facilitador essencial para o sucesso da estratégia de várias nuvens da OCI.

Terminologia

Familiarize-se com as seguintes terminologias para compreender a funcionalidade KMS Externo:

Terminologia Descrição
Gerenciador de Chaves Externas Propriedade do HSM e hospedado pelo cliente.
Vault Externo Vault criado no sistema de gerenciamento de chaves de terceiros para armazenar as chaves externas.
Chave externa Chaves criadas no sistema de gerenciamento de chaves de terceiros que contém uma ou mais versões de chaves externas.
Versões de chaves externas Cada chave externa recebe automaticamente uma versão de chave. Quando você rotaciona uma chave externa, o gerenciador de chaves externas gera uma nova versão da chave.
Sistema de gerenciamento de chaves de terceiros Propriedade do HSM e hospedado pelo cliente.
Conexão rápida FastConnect é uma maneira de criar uma conexão privada entre o cliente local e o Oracle Cloud Infrastructure.
Pontos finais privados (PE) Um ponto final privado é um endereço IP privado dentro da VCN do cliente que pode ser usado para acessar um serviço específico no Oracle Cloud Infrastructure.
Chave de criptografia de dados (DEK) Chave de criptografia cuja função é criptografar e decriptografar os dados.
Gerente do Thales CipherTrust (CM) Gerencie centralmente chaves de criptografia, forneça controle de acesso granular e configure políticas de segurança que se integrem ao Thales Luna, compatível com FIPS 140-2 ou a HSMs (Hardware Security Modules, Módulos de segurança de hardware) de terceiros para armazenar chaves com segurança e uma raiz mais alta de confiança.