Documentação do Oracle Cloud Infrastructure

Chaves Gerenciadas pelo Cliente para o Oracle Break Glass

Proteja seus ambientes de Aplicativos com o Oracle Break Glass e chaves gerenciadas pelo cliente.

Por padrão, seus ambientes de aplicativos são protegidos por chaves de criptografia gerenciadas pela Oracle. Ao adquirir uma assinatura que inclui o serviço Oracle Break Glass, você recebe o recurso de chaves gerenciadas pelo cliente que permite fornecer e gerenciar as chaves de criptografia que protegem seus ambientes. Você também pode comprar esta opção como uma assinatura de extensão.

Você usa o serviço OCI Vault para criar e gerenciar chaves de criptografia para proteger os dados armazenados em repouso nos ambientes de produção e não produção. Você pode configurar chaves no seu ambiente durante a criação do ambiente ou pode adicionar a chave a um ambiente existente.

Melhores Práticas para Configurar e Gerenciar Vaults e Chaves

É uma prática recomendada criar vaults separados para ambientes de produção e não produção. No vault de não produção, crie chaves separadas para seus ambientes de teste e desenvolvimento. Por exemplo, você pode criar os seguintes itens:

Ambiente Cofre Chave primária de criptografia
Produção minha produção-vault chave da minha produção
Teste my-nonproduction-vault meu teste-ambiente-chave
Desenvolvimento meu desenvolvimento-ambiente-chave

Benefícios de cofres separados para produção e não produção:

  • A manutenção de cofres separados permite uma rotação independente de chaves para ambientes de produção e não produção.
  • Há limite para o número de chaves por vault. Ter vaults separados fornece uma contagem separada para produção e não produção.

Você pode verificar seus limites e uso de chaves exibindo a página Limites, Cotas e Uso na qual seus limites, cotas e uso de recursos para uma região específica são exibidos, divididos por serviço:

  1. Na Console, abra o menu de navegação e clique em Governança e Administração. Em Gerenciamento de Tenancy, clique em Limites, Cotas e Uso.
  2. Na lista Serviço, selecione Gerenciamento de Chaves.

    Verifique os limites da chave para: Contagem de Versões da Chave para Vaults Virtuais ou Contagem de Versões da Chave de Software para Vaults Virtuais, conforme apropriado para o tipo de chave que você escolheu usar.

Executar Tarefas de Configuração

Execute essas tarefas para configurar seus vaults e chaves e preparar sua tenancy para usar chaves gerenciadas pelo cliente.

O administrador da tenancy tem as permissões necessárias para executar todas as tarefas de configuração necessárias. Se você designar as tarefas de configuração a outra atribuição, certifique-se de que elas tenham as permissões apropriadas para trabalhar com vaults e chaves. Consulte Referência de Permissões.

A tabela resume as tarefas de configuração detalhadas abaixo.

Tarefa Obrigatório/Opcional Informações Adicionais
1. Crie compartimentos para seus vaults e chaves. Opcional É uma prática recomendada de segurança criar compartimentos separados para seus vaults e chaves para refinar o acesso.
2. Adicione a política do sistema para permitir que as chaves gerenciadas pelo cliente sejam usadas pelo aplicativo. Obrigatório Esta política deve ser adicionada antes de você adicionar o vault e a chave ao seu ambiente. Se essa política não for adicionada, seu ambiente não concluirá o provisionamento (se adicionado durante a criação do ambiente) ou não concluirá a solicitação de serviço (se adicionada a um ambiente existente).
3. Crie os vaults para ambientes de produção e não produção. Obrigatório Siga o procedimento do serviço Vault.
4. Crie as chaves para ambientes de produção e não produção. Obrigatório Siga o procedimento do serviço Vault.

1. Criar Compartimento para Vaults e Chaves (Opcional)

Embora não seja necessário, a configuração de um compartimento dedicado para seus vaults e chaves permite maior controle sobre quem tem acesso a esses recursos. Para ativar chaves gerenciadas pelo cliente para sua tenancy, crie uma política do sistema (Tarefa 2) para permitir o acesso aos vaults e chaves pelos sistemas gerenciados pela Oracle. Ao colocar esses recursos em compartimentos, em vez de criá-los na tenancy, você pode restringir sua política aos compartimentos essenciais. Para obter mais informações sobre os benefícios dos compartimentos, consulte Noções Básicas de Compartimentos.

Veja a seguir instruções abreviadas para criar um compartimento. Para obter todos os detalhes sobre o gerenciamento de compartimentos, consulte Gerenciando Compartimentos.

Para criar um compartimento para seus vaults e chaves:

  1. Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Compartimentos. É exibida uma lista dos compartimentos aos quais você tem acesso.

  2. Clique em Criar Compartimento.

  3. Informe o seguinte:
    • Nome: Um nome exclusivo para o compartimento (no máximo, 100 caracteres, incluindo letras, números, pontos, traços e sublinhados). O nome deve ser exclusivo entre todos os compartimentos da tenancy. Evite digitar informações confidenciais. Por exemplo, minhas chaves gerenciadas.
    • Descrição: uma descrição amigável. Você poderá alterar essa opção posteriormente, se quiser.
    • Compartimento Principal: O compartimento em que você está é exibido. Se você tiver criado outros compartimentos, poderá escolher outro compartimento no qual criar esse compartimento.
    • Tags: Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deve ter permissões para usar o namespace da tag. Para obter mais informações sobre tags, consulte Tags de Recurso. Se você não tiver certeza se deseja aplicar tags, ignore essa opção ou pergunte a um administrador. Você pode aplicar as tags posteriormente.
  4. Clique em Criar Compartimento.

2. Adicionar a Política do Sistema para Ativar Chaves Gerenciadas pelo Cliente em Sua Tenancy

Importante

Esta política deve ser adicionada antes de você adicionar a chave gerenciada pelo cliente ao seu ambiente. Se essa política não for adicionada, seu ambiente não concluirá o provisionamento (se adicionado durante a criação do ambiente) ou não concluirá a atualização (se adicionado a um ambiente existente). Consulte a documentação específica do seu aplicativo para obter a política necessária para o seu aplicativo.

Para criar a política do sistema:

  1. Abra o menu de navegação, em Infraestrutura, clique em Identidade e Segurança para expandir o menu e, em seguida, em Identidade, clique em Políticas.
  2. Clique em Criar Política.
  3. Informe o seguinte:
    • Nome: Um nome exclusivo para a política. O nome deve ser exclusivo entre todas as políticas da tenancy. Você não pode alterar isso posteriormente.
    • Descrição: uma descrição amigável. Você poderá alterar essa opção posteriormente, se quiser.
    • Compartimento: Certifique-se de que a tenancy (compartimento raiz) esteja selecionada.
  4. No Policy Builder, ative Mostrar editor manual para exibir a caixa de texto para entrada de texto de formato livre.
  5. Informe as instruções de política na documentação específica do aplicativo.
  6. Clique em Criar.

3. Criar Vaults para os Ambientes

Siga o procedimento Creating a Vault na documentação do Vault. Se você criou compartimentos, certifique-se de criar os vaults no compartimento especificado na política do sistema.

É recomendável criar 2 vaults: um para suas chaves de ambiente de produção e outro para suas chaves de ambiente de não produção.

4. Criar Chaves

Siga o procedimento Creating a Master Encryption Key na documentação do Vault. Certifique-se de criar as chaves no compartimento especificado na política do sistema.

Você deve fazer as seguintes seleções ao criar chaves para aplicativos:

  • Para Forma da Chave: Algoritmo, selecione AES (Chave simétrica usada para Criptografia e Descriptografia (selecione essa opção para chaves gerenciadas pelo cliente do Applications).
  • Para Forma da Chave: Tamanho, selecione 256 bits.

É recomendável criar uma chave no vault de produção para seu ambiente de produção e uma chave para cada ambiente de não produção no vault de não produção.

Adicionando uma Chave Gerenciada pelo Cliente aos Seus Ambientes

Você pode adicionar a chave gerenciada pelo cliente durante a criação do ambiente ou depois que o ambiente já tiver sido criado.

Adicionando Chave Gerenciada pelo Cliente Durante a Criação do Ambiente

Este procedimento inclui apenas as etapas para ativar a chave gerenciada pelo cliente. Consulte Para criar um ambiente para obter o procedimento completo para criar um ambiente.

Na página de criação do ambiente:

  1. Clique em Mostrar opções avançadas.
  2. Clique na guia Criptografia.

  3. Selecione criptografar usando chaves gerenciadas pelo cliente.

    Se você não vir essa opção, verifique se a assinatura foi adicionada à tenancy.

  4. Selecione o Vault. Se o seu vault não estiver no mesmo compartimento no qual você está criando seu ambiente, clique em Alterar Compartimento e escolha o compartimento apropriado.
  5. Selecione a Chave. Se a sua chave não estiver no mesmo compartimento no qual você está criando seu ambiente, clique em Alterar Compartimento e escolha o compartimento apropriado. Somente chaves AES de 256 bits são exibidas.

Depois que você concluir todas as etapas para configurar o ambiente, o processo de provisionamento será iniciado. A adição da chave gerenciada pelo cliente adiciona tempo ao processo de provisionamento.

Adicionando Chave Gerenciada pelo Cliente para um Ambiente Existente

Para ativar uma chave gerenciada pelo cliente para um ambiente existente:

  1. Na página da lista Ambientes, selecione o ambiente com o qual você deseja trabalhar. Se precisar de ajuda para localizar a página da lista, consulte Para listar ambientes.

  2. Na página de detalhes do Ambiente, clique na guia Criptografia.
  3. Por padrão, o Tipo é gerenciado pela Oracle. Clique em Gerenciar para adicionar seu vault e sua chave.

    Se você não vir a opção Gerenciar, não comprou a opção ou a assinatura de chaves gerenciadas pelo cliente não foi adicionada à tenancy.

  4. Selecione criptografar usando chaves gerenciadas pelo cliente.

  5. Selecione o Vault. Se o seu vault não estiver no mesmo compartimento no qual você está criando seu ambiente, clique em Alterar Compartimento e escolha o compartimento apropriado.
  6. Selecione a Chave. Se a sua chave não estiver no mesmo compartimento no qual você está criando seu ambiente, clique em Alterar Compartimento e escolha o compartimento apropriado. Somente chaves AES de 256 bits são exibidas.
  7. Clique em Salvar alterações.

A programação da criptografia do seu ambiente depende do aplicativo. Para algumas aplicações, uma solicitação de serviço é enviada imediatamente. Você pode monitorar a solicitação de trabalho para acompanhar o andamento da criptografia. Seu ambiente ficará indisponível enquanto a atualização estiver sendo feita. Para outros aplicativos, a criptografia é executada no próximo ciclo de manutenção ou atualização de patch. Até que a manutenção ocorra, o ambiente permanecerá criptografado pela chave gerenciada pela Oracle.

Exibindo o Status e os Detalhes da Chave

Para exibir o status e os detalhes da chave:

  1. Navegue até o ambiente: Na Home de Aplicativos da Console, clique no nome do seu aplicativo. Na página Visão Geral, clique no nome do ambiente.
  2. Na página de detalhes do Ambiente, clique na guia Criptografia.

  3. Os detalhes da chave são exibidos.

Você pode clicar nos nomes do Vault e da Chave para navegar até esses recursos no serviço Vault.

Chaves de Rotação

As chaves são rotacionadas com base na prática de segurança da sua organização. Você pode configurar um job da CLI para rotacionar automaticamente as chaves ou seu administrador de segurança designado pode rotacioná-las manualmente por meio da interface de usuário da Console do serviço Vault. Consulte Conceitos de Gerenciamento de Chaves e Segredos para obter mais detalhes sobre versões de chaves.

Para Girar uma Chave

Siga o procedimento Rotating a Vault Key na documentação do serviço Vault.

Observação

Dependendo do seu aplicativo, pode haver mais etapas necessárias. Verifique as próximas etapas do procedimento de rotação na documentação específica do aplicativo.

Desativando e Ativando Chaves

Se você encontrar uma situação em que deseja fazer shutdown do serviço de aplicativo e acessar o banco de dados do aplicativo, poderá desativar a chave para forçar imediatamente todos os usuários fora do sistema.

Advertência

A desativação de uma chave pode resultar em perda de dados. Se a chave estiver desativada, a Oracle tentará fazer shutdown proativamente do ambiente para minimizar a chance de falhas enquanto o ambiente estiver sendo usado. No entanto, uma vez desativada a chave, o ambiente não poderá ser reiniciado até ser ativado novamente. Embora a chave permaneça em um estado desativado, nenhum serviço de nuvem de aplicativos poderá acessar quaisquer dados do cliente salvos anteriormente.
Observação

Quando você inicia a desativação de uma chave, uma série de processos ocorre para fazer shutdown dos componentes do ambiente (por exemplo, os serviços de banco de dados, a camada intermediária, os balanceadores de carga), que podem levar até uma hora para serem concluídos. Não tente reativar uma chave até que esses processos sejam concluídos.

Da mesma forma, quando você inicia a ativação de uma chave, a conclusão do conjunto de processos para fazer o backup do sistema pode levar até uma hora.

Para desativar uma chave

Siga o procedimento Disabling a Vault Key na documentação do serviço Vault.

Excluindo Chaves

A exclusão de chaves e vaults é uma operação altamente destrutiva e deve ser executada apenas pelo administrador da tenancy em circunstâncias raras.

Quando um administrador da tenancy exclui uma chave, todos os dados ou qualquer recurso do OCI (incluindo seu banco de dados de Aplicativos) criptografado por essa chave ficarão inutilizáveis ou irrecuperáveis imediatamente.

É altamente recomendável que você faça backup de uma chave antes de programar a chave para exclusão. Com um backup, você pode restaurar a chave e o vault se quiser continuar usando a chave novamente mais tarde.

Para obter mais informações, consulte Deletando uma Chave do Vault.

Referência de Permissões

O administrador do aplicativo precisa de permissões read para vaults e chaves. A permissão read permite que o administrador:
  • Escolha o vault e a chave durante a configuração.
  • Exiba o vault e as chaves no serviço OCI Vault para solucionar problemas.

Para adicionar as permissões para o Administrador de Aplicativos:

  1. Consulte o procedimento Referência de Política de Serviços de Aplicativos, que descreve a criação da atribuição de administrador de Aplicativos.
  2. Adicione as seguintes instruções à atribuição, se ainda não estiver presente: 
    
Allow group <your-group-name> to read vaults in tenancy
Allow group <your-group-name> to read keys in tenancy

Se você quiser que o administrador do aplicativo também possa criar os vaults e as chaves, ou se você designar outro indivíduo, como um administrador de segurança, para gerenciar vaults e chaves, eles deverão ser membros de um grupo com as seguintes permissões:

allow group <group-name> to manage keys in <location> where request.permission not in ('KEY_DELETE')
allow group <group-name> to manage vaults in <location> where request.permission not in ('VAULT_DELETE')

Observe que as permissões de exclusão são removidas das instruções de política. Isso serve para garantir que somente o administrador da tenancy possa executar operações de exclusão. Consulte Adicionar um Usuário com Acesso Limitado para obter os procedimentos de criação de grupos e políticas para definir funções.