Serviço de Gerenciamento de Chave Externa
Com o Oracle Cloud Infrastructure External Key Management Service (EKMS), você pode criar e gerenciar chaves de criptografia hospedadas fora do OCI. O EKMS se integra a sistemas de gerenciamento de chaves de terceiros suportados para executar operações criptográficas sem importar material de chave para a OCI.
O KMS (Key Management Service) nativo da OCI usa um HSM (hardware security module) hospedado no data center da Oracle para armazenamento e gerenciamento de chaves mestras para criptografia de dados em repouso. Para maior segurança de dados e para clientes que têm regras de conformidade regulatória que exigem o armazenamento de chaves em uma plataforma de gerenciamento de chaves localizada fora da OCI, a KMS oferece o External Key Management Service (External KMS), um serviço que integra sua tenancy da OCI com uma plataforma de gerenciamento de chaves de terceiros hospedada fora da OCI.
No External KMS, você pode armazenar e controlar chaves de criptografia mestras (como chaves externas) no sistema de gerenciamento de chaves de terceiros. Em seguida, você pode usar essas chaves para criptografar seus dados no Oracle. Você pode desativar suas chaves a qualquer momento. Com as chaves reais residindo no sistema de gerenciamento de chaves de terceiros, você cria e armazena apenas referências de chaves (metadados associados ao material de chaves) no OCI.
Benefícios
O EKMS oferece os seguintes benefícios:
- Origem da chave: Você cria e gerencia o uso de chaves criadas externamente em sua plataforma de gerenciamento de chaves externas. As chaves externas nunca são armazenadas em cache ou em qualquer lugar da OCI, e o OCI KMS não tem controle sobre suas chaves. Em vez disso, o OCI KMS interage diretamente com o sistema de gerenciamento de chaves de terceiros para operações criptográficas (criptografar e descriptografar).
- Segurança aprimorada: o EKMS protege os dados em repouso com segurança máxima usando um sistema de gerenciamento de chaves de terceiros
- Gerenciamento centralizado de chaves: O gerenciamento de suas chaves em um sistema de gerenciamento de chaves de terceiros permite que você gerencie em uma única localização chaves de criptografia que você usa OCI e em outros lugares.
Casos de Uso
O EKMS pode fazer parte da segurança geral dos dados nos seguintes casos de uso:
- Bancos e organizações do setor público que têm regulamentos de conformidade podem precisar armazenar chaves de criptografia on-premises, separadas fisicamente dos dados armazenados na OCI.
- Os clientes bancários que têm regulamentos de segurança que exigem que executem operações criptográficas em seu HSM on-premises podem usar o EKMS para atender a esse requisito.
- Os clientes que usam mais de um provedor de nuvem (por exemplo, os clientes multicloud da Oracle) podem exigir que os bancos de dados na OCI se conectem com serviços de criptografia localizados em outra nuvem. O EKMS torna esses tipos de integrações possíveis.
Terminologia
Familiarize-se com as seguintes terminologias para compreender a funcionalidade EKMS (Gerenciamento Externo de Chaves):
| Terminologia | Descrição |
|---|---|
| Gerenciador de Chaves Externas | Um HSM de propriedade e hospedado pelo cliente ou uma plataforma de gerenciamento de chaves que reside fora da OCI. Isso também é chamado de sistema de gerenciamento de chaves de terceiros. |
| Vault Externo | Um vault criado no sistema de gerenciamento de chaves de terceiros que é usado para armazenar chaves externamente. |
| Chave externa | Chaves criadas no sistema de gerenciamento de chaves de terceiros que contêm uma ou mais versões de chaves externas. |
| Versões de chaves externas | Cada chave externa recebe automaticamente uma versão de chave. Quando você rotaciona uma chave externa, o gerenciador de chaves externas gera uma nova versão da chave. |
| FastConnect | FastConnect é uma maneira de criar uma conexão privada entre as instalações do cliente e a Oracle Cloud Infrastructure (OCI). |
| Ponto final privado (PE) | Ponto final privado é um endereço IP privado dentro da VCN do cliente que pode ser usado para acessar um serviço no OCI. |
| Chave de criptografia de dados (DEK) | Uma chave de criptografia cuja função é criptografar e decriptografar dados. |
Serviços Suportados
O Gerenciamento de Chaves Externas pode ser usado com os seguintes serviços do OCI:
| Serviço | Observações |
|---|---|
| Volume em Blocos | |
| Computação | Suporta criptografia de volume de inicialização e criptografia de outros tipos de armazenamento listados nesta tabela. |
| Armazenamento de Arquivos | |
| Kubernetes Engine (OKE) | |
| Armazenamento de Objetos | |
| Oracle Autonomous AI Database na Infraestrutura Dedicada do Exadata | |
| Oracle Autonomous AI Database sem servidor | |
| Oracle Base Database | |
| Oracle Exadata Database Service on Dedicated Infrastructure | |
| Streaming |