Documentação do Oracle Cloud Infrastructure

Chaves Gerenciadas pelo Cliente para o Oracle Break Glass

Proteja seus ambientes de Aplicativos com o Oracle Break Glass e chaves gerenciadas pelo cliente.

Por padrão, seus ambientes de aplicativos são protegidos por chaves da criptografia gerenciadas pela Oracle. Ao comprar uma assinatura que inclui o serviço Oracle Break Glass, você receberá o recurso de chaves gerenciadas pelo cliente que permite fornecer e gerenciar as chaves de criptografia que protegem seus ambientes. Você também pode comprar essa opção como assinatura de complemento.

Você usa o serviço OCI Vault para criar e gerenciar chaves de criptografia para proteger os dados armazenados em repouso nos ambientes de produção e não produção. Você pode configurar chaves no seu ambiente durante a criação do ambiente ou pode adicionar a chave a um ambiente existente.

Melhores Práticas para Configurar e Gerenciar Vaults e Chaves

A melhor prática é criar vaults separados para ambientes de produção e não-produção. No vault que não é de produção, crie chaves distintas para seus ambientes de teste e desenvolvimento. Por exemplo, você pode criar isto:

Ambiente Cofre Chave primária de criptografia
Produção minha produção-vault chave da minha produção
Teste my-nonproduction-vault meu teste-ambiente-chave
Desenvolvimento meu desenvolvimento-ambiente-chave

Benefícios de cofres separados para produção e não produção:

  • A manutenção de cofres separados permite uma rotação independente de chaves para ambientes de produção e não produção.
  • Há limite para o número de chaves por vault. Ter vaults separados fornece uma contagem separada para produção e não produção.

Você pode verificar seus limites e uso de chaves exibindo a página Limites, Cotas e Uso na qual seus limites, cotas e uso de recursos para uma região específica são exibidos, divididos por serviço:

  1. Na Console, abra o menu de navegação e selecione Administração e Governança. Em Gestão de Tenancy, selecione Limites, Cotas e Uso.
  2. Na lista Serviço, selecione Gerenciamento de Chaves.

    Verifique os limites da chave para: Contagem de Versões da Chave para Vaults Virtuais ou Contagem de Versões da Chave de Software para Vaults Virtuais, conforme apropriado para o tipo de chave que você escolheu usar.

Executar Tarefas de Configuração

Execute essas tarefas para configurar seus vaults e chaves e preparar sua tenancy para usar chaves gerenciadas pelo cliente.

O administrador da tenancy tem as permissões necessárias para executar todas as tarefas de configuração necessárias. Se você designar as tarefas de configuração a outra atribuição, certifique-se de que elas tenham as permissões apropriadas para trabalhar com vaults e chaves. Consulte Referência de Permissões.

A tabela resume as tarefas de configuração detalhadas abaixo.

Tarefa Obrigatório/Opcional Informações Adicionais
1. Crie compartimentos para seus vaults e chaves. Opcional É uma prática recomendada de segurança criar compartimentos separados para seus vaults e chaves para refinar o acesso.
2. Adicione a política do sistema para permitir que as chaves gerenciadas pelo cliente sejam usadas pelo aplicativo. Obrigatório Esta política deve ser adicionada antes de você adicionar o vault e a chave ao seu ambiente. Se essa política não for adicionada, seu ambiente não concluirá o provisionamento (se adicionado durante a criação do ambiente) ou não concluirá a solicitação de serviço (se adicionada a um ambiente existente).
3. Crie os vaults para ambientes de produção e não produção. Obrigatório Siga o procedimento do serviço Vault.
4. Crie as chaves para ambientes de produção e não produção. Obrigatório Siga o procedimento do serviço Vault.

1. Criar um Compartimento para seus Vaults e Chaves (Opcional)

Embora não seja necessário, a configuração de um compartimento dedicado para seus vaults e chaves permite maior controle sobre quem tem acesso a esses recursos. Para ativar chaves gerenciadas pelo cliente para sua tenancy, crie uma política do sistema (Tarefa 2) para permitir o acesso aos vaults e chaves pelos sistemas gerenciados pela Oracle. Ao colocar esses recursos em compartimentos, em vez de criá-los na tenancy, você pode restringir sua política aos compartimentos essenciais. Para obter mais informações sobre os benefícios dos compartimentos, consulte Noções Básicas de Compartimentos.

Veja a seguir instruções abreviadas para criar um compartimento. Para obter todos os detalhes sobre como gerenciar compartimentos, consulte Gerenciando Compartimentos.

Para criar um compartimento para seus vaults e chaves:

  1. Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Compartimentos. É exibida uma lista dos compartimentos aos quais você tem acesso.

  2. Selecione Criar compartimento.

  3. Digite as seguintes informações:
    • Nome: Um nome exclusivo para o compartimento (no máximo, 100 caracteres, incluindo letras, números, pontos, traços e sublinhados). O nome deve ser exclusivo entre todos os compartimentos da tenancy. Evite digitar informações confidenciais. Por exemplo, minhas chaves gerenciadas.
    • Descrição: uma descrição amigável. Você poderá alterar essa opção posteriormente, se quiser.
    • Compartimento pai: O compartimento no qual você está é exibido. Se você tiver criado outros compartimentos, poderá selecionar outro compartimento no qual criar esse compartimento.
    • Tags: Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deve ter permissões para usar o namespace da tag. Para obter mais informações sobre tags, consulte Tags de Recurso. Se você não tiver certeza se deseja aplicar tags, ignore essa opção ou pergunte a um administrador. Você pode aplicar as tags posteriormente.
  4. Selecione Criar compartimento.

2. Adicionar a Política do Sistema para Ativar Chaves Gerenciadas pelo Cliente em Sua Tenancy

Importante

Essa política deve ser adicionada antes da adição da chave gerenciada pelo cliente ao seu ambiente. Caso essa política não seja adicionada, o seu ambiente não completará o provisionamento (se for adicionado durante o processo de criação) ou não concluirá a atualização (se for adicionado a um ambiente existente). Consulte a documentação específica do aplicativo para obter a política necessária para o aplicativo.

Para criar a política do sistema:

  1. Abra o menu de navegação e, em Infraestrutura, selecione Identidade e Segurança. Em Identity, selecione Policies.
  2. Selecione Criar Política.
  3. Digite as seguintes informações:
    • Nome: Um nome exclusivo para a política. O nome deve ser exclusivo entre todas as políticas da tenancy. Não é possível alterar essa opção posteriormente.
    • Descrição: uma descrição amigável. Evite digitar informações confidenciais. Você poderá alterar essa opção posteriormente, se quiser.
    • Compartimento: Certifique-se de que a tenancy (compartimento raiz) esteja selecionada.
  4. Na seção Construtor de Políticas, selecione Mostrar editor manual para exibir a caixa do texto para entrada do texto de formato livre.
  5. Informe as instruções de política na documentação específica do aplicativo.
  6. Selecione Criar.

3. Criar Vaults para os Ambientes

Siga o procedimento Creating a Vault na documentação do Vault. Se você criou compartimentos, certifique-se de criar os vaults no compartimento especificado na política do sistema.

Recomendamos que você crie 2 vaults: um para as chaves de ambiente e outro para as chaves de ambiente não produção.

4. Criar Chaves

Siga o procedimento Creating a Master Encryption Key na documentação do Vault. Certifique-se de criar as chaves no compartimento especificado na política do sistema.

Você deve fazer as seguintes seleções ao criar chaves para aplicativos:

  • Para Key Shape: Algorithm, selecione AES (Symmetric key used for Encrypt and Decrypt) (você deve selecionar essa opção para chaves gerenciadas pelo cliente do Applications.
  • Para Forma da Chave: Tamanho, selecione 256 bits.

Recomendamos que você crie uma chave no vault de produções para seu ambiente e uma chave para cada ambiente não relacionado à produção no vault não relacionado à produção.

Adicionando uma Chave Gerenciada pelo Cliente aos Seus Ambientes

Você pode adicionar a chave gerenciada pelo cliente durante a criação do ambiente ou depois que o ambiente já tiver sido criado.

Adicionando Chave Gerenciada pelo Cliente Durante a Criação do Ambiente

Este procedimento inclui apenas as etapas para ativar a chave gerenciada pelo cliente. Consulte Para criar um ambiente para obter o procedimento completo para criar um ambiente.

Na página de criação do ambiente:

  1. Selecione Opções avançadas.
  2. Em Criptografia, selecione Criptografar usando chaves gerenciadas pelo cliente.

    Se você não vir essa opção, verifique se a assinatura foi adicionada à tenancy.

  3. Selecione o vault. Se o seu vault não estiver no mesmo compartimento no qual você está criando seu ambiente, selecione o compartimento apropriado.
  4. Selecione a chave. Se sua chave não estiver no mesmo compartimento no qual você está criando seu ambiente, selecione o compartimento apropriado. Somente chaves AES de 256 bits são exibidas.

Depois que você concluir todas as etapas para configurar o ambiente, o processo de provisionamento será iniciado. A adição da chave gerenciada pelo cliente adiciona tempo ao processo de provisionamento.

Adicionando Chave Gerenciada pelo Cliente para um Ambiente Existente

Para ativar uma chave gerenciada pelo cliente para um ambiente existente:

  1. Na página da lista Ambientes, selecione o ambiente com o qual você deseja trabalhar. Se precisar de ajuda para localizar a página da lista, consulte Para listar ambientes.

  2. Na página de detalhes do ambiente, selecione o menu Ações e selecione Gerenciar chave de criptografia.

    Se a opção Gerenciar chave de criptografia não estiver disponível, você não comprou a opção ou a inscrição para chaves gerenciadas pelo cliente não foi adicionada à tenancy.

  3. Selecione criptografar usando chaves gerenciadas pelo cliente.

  4. Selecione o vault. Se o seu vault não estiver no mesmo compartimento no qual você está criando seu ambiente, selecione o compartimento apropriado.
  5. Selecione a chave. Se sua chave não estiver no mesmo compartimento no qual você está criando seu ambiente, selecione o compartimento apropriado. Somente chaves AES de 256 bits são exibidas.
  6. Selecione Salvar alterações.

A programação da criptografia do seu ambiente depende do aplicativo. Para algumas aplicações, uma solicitação de serviço é enviada imediatamente. Você pode monitorar a solicitação de trabalho para acompanhar o andamento da criptografia. Seu ambiente ficará indisponível enquanto a atualização estiver sendo feita. Para outros aplicativos, a criptografia é executada no próximo ciclo de manutenção ou atualização de patch. Até que a manutenção ocorra, o ambiente permanecerá criptografado pela chave gerenciada pela Oracle.

Exibindo o Status e os Detalhes da Chave

Para exibir o status e os detalhes da chave:

  1. Navegue até o ambiente: no home de Aplicativos da Console, selecione o nome do seu aplicativo.
  2. Selecione Ambientes e, em seguida, o nome do ambiente.
  3. Na página de detalhes do ambiente, os detalhes da chave são exibidos na seção Criptografia.

Você pode selecionar o vault e os nomes de chaves para navegar até esses recursos no serviço Vault.

Chaves de Rotação

As chaves são rotacionadas com base na prática de segurança da sua organização. Você pode configurar um job da CLI para rotacionar automaticamente as chaves ou seu administrador de segurança designado pode rotacioná-las manualmente por meio da interface de usuário da Console do serviço Vault. Consulte Conceitos de Gerenciamento de Chaves e Segredos para obter mais detalhes sobre versões de chaves.

Para Girar uma Chave

Siga o procedimento Rotating a Vault Key na documentação do serviço Vault.

Observação

Dependendo do seu aplicativo, talvez haja mais etapas necessárias. Verifique as próximas etapas do procedimento de rotação na documentação específica do aplicativo.

Desativando e Ativando Chaves

Se você encontrar uma situação em que deseja fazer shutdown do serviço de aplicativo e acessar o banco de dados do aplicativo, poderá desativar a chave para forçar imediatamente todos os usuários fora do sistema.

Advertência

A desativação de uma chave poderá resultar em perda de dados. Se a chave estiver desativada, o sistema Oracle tentará fazer shutdown do ambiente proativamente para minimizar a chance de falhas enquanto o ambiente estiver sendo usado. Uma vez que a chave é desativada, no entanto, o ambiente não pode ser reiniciado até que seja ativado novamente. Embora a chave permaneça em um estado desativado, nenhum serviço em nuvem de aplicativos poderá acessar quaisquer dados do cliente salvos anteriormente.
Observação

Quando você inicia a desativação de uma chave, uma série de processos ocorre para fazer shutdown dos componentes do ambiente (por exemplo, os serviços de banco de dados, a camada intermediária, os balanceadores de carga), que podem levar até uma hora para serem concluídos. Não tentar reativar uma chave até esses processos serem concluídos.

Da mesma forma, quando você inicia a ativação de uma chave, a conclusão do conjunto de processos para fazer o backup do sistema pode levar até uma hora.

Para desativar uma chave

Siga o procedimento Disabling a Vault Key na documentação do serviço Vault.

Excluindo Chaves

A exclusão de chaves e vaults é uma operação altamente destrutiva e deve ser executada apenas pelo administrador da tenancy em circunstâncias raras.

Quando um administrador da tenancy exclui uma chave, todos os dados ou qualquer recurso do OCI (incluindo seu banco de dados de Aplicativos) criptografado por essa chave ficarão inutilizáveis ou irrecuperáveis imediatamente.

É altamente recomendável que você faça backup de uma chave antes de programar a chave para exclusão. Com um backup, você pode restaurar a chave e o vault se quiser continuar usando a chave novamente mais tarde.

Para obter mais informações, consulte Deletando uma Chave do Vault.

Referência de Permissões

O administrador do aplicativo precisa de permissões read para vaults e chaves. A permissão read permite que o administrador:
  • Selecione a chave e o vault durante a configuração.
  • Exiba o vault e as chaves no serviço OCI Vault para solucionar problemas.

Para adicionar as permissões para o Administrador de Aplicativos:

  1. Consulte o procedimento Referência de Política de Serviços de Aplicativos, que descreve a criação da atribuição de administrador de Aplicativos.
  2. Adicione as seguintes instruções à atribuição, se ainda não estiver presente: 
    
Allow group <your-group-name> to read vaults in tenancy
Allow group <your-group-name> to read keys in tenancy

Se você quiser que o administrador do aplicativo também possa criar os vaults e as chaves, ou se você designar outro indivíduo, como um administrador de segurança, para gerenciar vaults e chaves, eles deverão ser membros de um grupo com as seguintes permissões:

allow group <group-name> to manage keys in <location> where request.permission not in ('KEY_DELETE')
allow group <group-name> to manage vaults in <location> where request.permission not in ('VAULT_DELETE')

Observe que as permissões de exclusão são removidas das instruções de política para garantir que somente o administrador da tenancy possa executar operações de exclusão. Consulte Adicionar um Usuário com Acesso Limitado para obter os procedimentos para criar grupos e políticas para definir atribuições.