Chaves Gerenciadas pelo Cliente para o Oracle Break Glass
Proteja ambientes Fusion Applications com o Oracle Break Glass e chaves gerenciadas pelo cliente.
Por padrão, os ambientes do Fusion Applications são protegidos por chaves do Oracle de criptografia gerenciadas. Ao se inscrever no serviço Oracle Break Glass, você receberá o recurso de chaves gerenciadas pelo cliente que permite fornecer e gerenciar as chaves de criptografia que protegem seus ambientes. Você também pode comprar essa opção como assinatura de complemento.
Com chaves gerenciadas pelo cliente, você usa chaves, armazenadas em um vault da OCI, para proteger os dados armazenados em repouso em seus ambientes de produção e não produção. Você pode ativar a opção de chaves gerenciadas pelo cliente no seu ambiente durante a criação do ambiente ou após criá-lo.
Melhores Práticas para Configurar e Gerenciar Vaults e Chaves
A melhor prática é criar vaults separados para ambientes de produção e não-produção. No vault que não é de produção, crie chaves distintas para seus ambientes de teste e desenvolvimento. Por exemplo, você pode criar isto:
| Ambiente | Vault | Chave de criptografia principal |
|---|---|---|
| Produção | my-production-vault | my-production-key |
| Teste | my-nonproduction-vault | my-test-environment-key |
| Desenvolvimento | my-development-environment-key |
Benefícios de vaults distintos para produção e não produção:
- A manutenção de vaults distintos permite uma rotação de chaves independente para ambientes de produção e não produção.
- Há um limite para o número de chaves por vault. Vaults distintos fornecem uma contagem distinta para produção e não produção.
A produção para teste é atualizada quando o ambiente de teste usa chaves gerenciadas pelo cliente e também consome versões de chave. Portanto, o P2Ts frequente reduz o número de versões de chave restantes mais rapidamente em um vault.
Você pode verificar os limites de chave e o uso exibindo a página Limites, Cotas e Uso na qual limites de recursos, cotas e uso da região específica são exibidos, listados por serviço:
- Abra o menu de navegação e selecione Governança e Administração. Em Gerenciamento de Tenancy, selecione Limites, Cotas e Uso.
- Ao lado de Serviço, selecione Editar filtros.
- Na lista Serviço, selecione Gerenciamento de Chaves e, em seguida, Atualizar.
Verifique os limites da chave para Contagem de Versões da Chave para Vaults Virtuais ou Contagem de Versões da Chave do Software para Vaults Virtuais, conforme apropriado para o tipo de chave que você escolheu usar.
Configurando Chaves Gerenciadas pelo Cliente
O Fusion Applications usa o serviço OCI Vault para permitir que você crie e gerencie chaves de criptografia para proteger ambientes de produção e não-produção. Você pode configurar chaves no seu ambiente durante a criação dele ou pode adicionar a chave a um ambiente existente.
Visão Geral de Tarefas e Atribuições de Configuração
O gerenciamento de chaves gerenciadas pelo cliente envolve tarefas que precisam ser executadas por diferentes atribuições na sua organização. Veja um resumo das funções e tarefas executadas por cada um:
| Atribuição | Tarefas de configuração | Tarefas de manutenção |
|---|---|---|
| Administrador da Tenancy |
|
|
| Administrador de Segurança |
|
|
| Administrador do Fusion Applications |
|
|
Tarefas de Configuração do Administrador da Tenancy
O administrador do tenancy executa as tarefas para configurar o tenancy, de modo que o administrador do serviço Security e do Fusion Applications possa ativar e gerenciar chaves gerenciadas pelo cliente.
Recomendamos que você crie um grupo distinto de administradores de segurança para limitar o acesso aos recursos de segurança dos seus ambientes Fusion Applications.
A política do grupo de administradores de segurança permite que o grupo gerencie vaults e chaves, mas isso não permite exclusão. A política é:
allow group '<identity-domain-name'/'<your-group-name>' to manage keys in <location> where request.permission not in ('KEY_DELETE')
allow group '<identity-domain-name'/'<your-group-name>' to manage vaults in <location> where request.permission not in ('VAULT_DELETE')
Consulte Gerenciando Usuários do Oracle Cloud com Funções Específicas do Job para ver os procedimentos para criar grupos e políticas para definir atribuições, incluindo as permissões específicas necessárias para a atribuição do administrador da segurança.
read para vaults e chaves. A permissão read permite que o administrador do FA:- Selecione a chave e o vault durante a configuração.
- Verifique a rotação de chaves.
- Exiba o vault e as chaves no serviço OCI Vault para solucionar problemas.
Para adicionar as permissões para o administrador do Fusion Applications:
- Consulte Gerenciando Usuários do Oracle Cloud com Funções Específicas do Job, que descreve a criação da função de administrador do Fusion Applications.
- Adicione as seguintes instruções à atribuição Administrador do Ambiente do Fusion Applications, se ainda não estiverem presentes:
Allow group '<identity-domain-name'/'<your-group-name>' to read vaults in compartment <location> Allow group '<identity-domain-name'/'<your-group-name>' to read keys in compartment <location> Allow group '<identity-domain-name'/'<your-group-name>' to use key-delegate in compartment <location>
Certifique-se de substituir todas as variáveis <location> pelo nome do compartimento no qual o vault e as chaves foram criados.
A política para ativar chaves gerenciadas pelo cliente deve ser adicionada antes de você adicionar o vault e a chave ao seu ambiente. Se esta política não for adicionada:
- Seu ambiente não conclui o provisionamento.
- A manutenção do seu ambiente existente não foi concluída.
- A ativação da chave gerenciada pelo cliente não foi concluída.
Esta política destina-se somente a tenancies na Nuvem Comercial (realm OC1). Se o seu ambiente do Fusion Applications estiver em qualquer outro realm (por exemplo, Oracle US Government Cloud ou United Kingdom Government Cloud), você deverá abrir uma solicitação de suporte para obter a política correta.
Crie uma política no realm OC1 com as seguintes instruções:
define tenancy fusionapps1 as ocid1.tenancy.oc1..aaaaaaaau5s6lj67ia5vy6qjglhvquqdszjqlmvlmsetu4jrtjni4mng6hea
define tenancy fusionapps2 as ocid1.tenancy.oc1..aaaaaaaajgaoycccrtt3l3vnnlave6wkc2zbf6kkksq66begstczxrmxjlia
define dynamic-group fusionapps1_environment as ocid1.dynamicgroup.oc1..aaaaaaaa5wcbybhxa5vqcvniefoihlvnidty4fk77fitn2hjhd7skhzaadqq
define dynamic-group fusionapps2_environment as ocid1.dynamicgroup.oc1..aaaaaaaaztbusgx23a3jdpvgxqx6tkv2nedgxld6pj3w7hcvhfzvw5ei7fiq
admit dynamic-group fusionapps1_environment of tenancy fusionapps1 to manage keys in tenancy
admit dynamic-group fusionapps1_environment of tenancy fusionapps1 to use vaults in tenancy
admit dynamic-group fusionapps2_environment of tenancy fusionapps2 to manage keys in tenancy
admit dynamic-group fusionapps2_environment of tenancy fusionapps2 to use vaults in tenancy
allow service keymanagementservice to manage vaults in tenancy
allow any-user to read keys in tenancy where all {request.principal.type = 'fusionenvironment'}
allow any-user to read vaults in tenancy where all {request.principal.type = 'fusionenvironment'}Como prática recomendada, recomendamos que você copie a política anterior no realm OC1 usando essas instruções exatas. Antes de fazer isso, analise essas declarações com a equipe de segurança da sua organização para garantir o alinhamento com os requisitos internos de segurança e as melhores práticas.
Tarefas de Configuração do Administrador de Segurança
O administrador de segurança configura os vaults e as chaves e fornece as informações ao administrador do Fusion Applications para adicioná-los ao ambiente.
Siga o procedimento para Criando um Vault na documentação do Vault. Para criar um vault externo, consulte Serviço de Gerenciamento de Chaves Externas.
O tipo de vault básico está incluído na assinatura do serviço Break Glass. Ao criar um vault, se você selecionar a opção Torná-lo um vault privado virtual ou optar por criar um vault externo, você incorrerá em cobranças adicionais. Para obter mais informações sobre tipos de vault, consulte Conceitos de Gerenciamento de Chaves e Segredos.
Recomendamos que você crie 2 vaults: um para as chaves de ambiente para produção e outro para as chaves de ambiente para não produção.
Depois de criar os vaults, replique o vault criado para o ambiente de produção. O vault replicado é usado para recuperação de desastre.
- Verifique o emparelhamento da região de recuperação de desastre para a região onde o ambiente de produção do Fusion Applications está localizado. Consulte Suporte à Recuperação de Desastres para obter a lista de pareamentos de regiões.
- Inscreva-se na região listada como pareamento para sua região. Para se inscrever em uma região, consulte Inscrevendo-se em uma Região de Infraestrutura.
- Replique o vault criado para seu ambiente de produção seguindo as etapas em Replicando Vaults e Chaves. Ao selecionar a região de destino para replicação, certifique-se de selecionar a região de recuperação de desastre na qual você se inscreveu na etapa anterior.
Siga o procedimento Creating a Master Encryption Key na documentação do Vault ou, para importar suas próprias chaves, siga os procedimentos em Importing Keys and Key Versions.
Com o Modo de Proteção de Chave HSM (Hardware Security Module), suas chaves de criptografia são armazenadas e protegidas nos módulos de segurança de hardware com certificação FIPS 140-2 Nível 3.
Faça as seguintes seleções ao criar chaves para o Fusion Applications:
- Para Forma da Chave: Algoritmo, selecione AES (Chave simétrica usada para Criptografar e Decriptografar. (Você deve selecionar esta opção para chaves gerenciadas pelo cliente do Fusion Applications.)
- Para Forma da Chave: Tamanho, selecione 256 bits.
Recomendamos que você crie uma chave no vault de produções para seu ambiente e uma chave para cada ambiente não relacionado à produção no vault não relacionado à produção.
Depois de criar o vault e as chaves, informe ao administrador do Fusion Applications o nome, o nome e a chave do compartimento de vault (e, se diferente, o nome).
Adicionando Chaves Gerenciadas pelo Cliente a Ambientes Novos e Existentes
O administrador do Fusion Applications adiciona as chaves gerenciadas pelo cliente aos ambientes. Isso pode ser feito durante ou após a criação do ambiente. Para ambientes existentes, a Oracle oferece ao administrador uma opção de intervalos de tempo para programar a atualização. Para novos ambientes, as chaves são adicionadas no momento do provisionamento do ambiente e nenhuma programação é necessária.
Depois que as chaves gerenciadas pelo cliente forem ativadas, o administrador também poderá alterar uma chave em um ambiente. Consulte Alterando e Rotacionando Chaves.
Não adicione ou altere uma chave gerenciada pelo cliente mais de duas vezes em um período de 24 horas.
Pré-requisitos:
- A assinatura foi adicionada à família de ambientes. Se a assinatura não tiver sido adicionada, você não verá a opção de selecionar uma chave gerenciada pelo cliente.
- O Administrador de Segurança criou o vault e a chave. Observação
O tipo de vault básico está incluído na assinatura do serviço Break Glass. Ao criar um vault, se você selecionar a opção Torná-lo um vault privado virtual ou optar por criar um vault externo, você incorrerá em encargos adicionais. Para obter mais informações sobre tipos de vault, consulte Conceitos de Gerenciamento de Chaves e Segredos. - O Administrador da Tenancy configurou a política do sistema para ativar chaves gerenciadas pelo cliente na tenancy.
- O Administrador da Tenancy criou uma política para o Administrador do Fusion Applications para ler vaults e chaves e associá-los aos ambientes do Fusion Applications.
Este procedimento inclui apenas as etapas para ativar a chave gerenciada pelo cliente. Consulte Tarefas de Gerenciamento de Ambientes para obter o procedimento completo para criar um ambiente.
Na página de criação do ambiente:
- Em Opções avançadas, expanda a seção Criptografia.
- Selecione Chave gerenciada pelo cliente (recomendado).
Se você não vir essa opção, a inscrição não foi adicionada à família de ambientes.
- Confirme se as políticas foram criadas.
- Selecione o vault.
Se o seu vault não estiver no mesmo compartimento no qual você está criando seu ambiente, selecione o compartimento apropriado.
- Selecione a chave.
Se sua chave não estiver no mesmo compartimento no qual você está criando seu ambiente, selecione o compartimento apropriado. Somente chaves AES de 256 bits são exibidas.
Depois que você concluir todas as etapas para configurar o ambiente, o processo de provisionamento será iniciado. A adição da chave gerenciada pelo cliente adiciona tempo ao processo de provisionamento. Enquanto a chave está sendo ativada, uma mensagem exibe um alerta de que o ambiente está indisponível.
- Quando você ativa uma chave gerenciada pelo cliente em um ambiente existente, a criptografia não será executada imediatamente. Em vez disso, a Oracle oferece uma opção de intervalos de tempo para programar a atualização. Essas opções são exibidas na Console do OCI quando você abre a caixa de diálogo Editar criptografia para solicitar a atualização. Consulte Para ativar uma chave gerenciada pelo cliente para um ambiente existente neste tópico para obter detalhes.
-
Você pode reprogramar ou cancelar essa atualização na Console do OCI sem entrar em contato com o Suporte Técnico da Oracle, desde que a atualização esteja no estado Programado. Se a atualização estiver em andamento ou concluída, não será possível cancelar ou desfazer a atualização.
- Certifique-se de que o horário escolhido para a atualização não esteja em conflito com outras atividades importantes do ambiente, como uma operação de atualização. Para operações de atualização, isso significa que nem o ambiente de origem nem o de destino podem ser atualizados para chaves gerenciadas pelo cliente enquanto a atualização estiver ocorrendo.
- Até que a atualização seja feita para ativar chaves gerenciadas pelo cliente, o ambiente continuará sendo criptografado pela chave gerenciada pela Oracle.
Para ativar uma chave gerenciada pelo cliente para um ambiente existente:
Na página da lista Ambientes, selecione o ambiente com o qual deseja trabalhar. Se precisar de ajuda para localizar a página da lista, consulte Para listar ambientes.
- Na página de detalhes do ambiente, selecione Segurança.
- Em Criptografia, o Tipo é gerenciado pelo sistema Oracle, por padrão. Selecione Editar criptografia para adicionar seu vault e sua chave.
Se você não vir a opção de edição, não adicionou as opções apropriadas ou o ambiente está sendo atualizado.
- Selecione Chave gerenciada pelo cliente (recomendado).
- Confirme se as políticas foram criadas.
- Selecione o vault.
Se o seu vault não estiver no mesmo compartimento no qual você está criando seu ambiente, selecione o compartimento apropriado.
Se você estiver usando a recuperação de desastre (DR), deverá selecionar um vault que suporte replicação. Todos os vaults privados suportam replicação. Para vaults virtuais, consulte Replicando Vaults e Chaves para obter informações sobre como determinar se um vault virtual suporta replicação.
- Selecione a chave.
Se sua chave não estiver no mesmo compartimento no qual você está criando seu ambiente, selecione o compartimento apropriado. Somente chaves AES de 256 bits são exibidas.
- Em Programação de atualização de criptografia, selecione a janela de tempo em que deseja que a atualização de gerenciamento de criptografia seja iniciada. Até três datas são exibidas.
- Selecione Enviar para solicitar a atualização que permite chaves gerenciadas pelo cliente em seu ambiente.
Uma mensagem na parte inferior da janela será exibida quando a criptografia estiver programada para ocorrer. A criptografia é executada durante a janela de tempo especificada. Até que a atualização ocorra, o ambiente permanecerá criptografado pela chave administrada pela Oracle.
Se você precisar reprogramar ou cancelar a atualização de chaves gerenciadas pelo cliente, consulte Para Reprogramar ou Cancelar uma Atualização para Ativar Chaves Gerenciadas pelo Cliente.
Reprogramando ou Cancelando uma Atualização para Ativar Chaves Gerenciadas pelo Cliente
Você pode reprogramar ou cancelar uma atualização para alternar para chaves gerenciadas pelo cliente, desde que o status da atualização seja Programado. Se a atualização estiver em andamento ou concluída, ela não poderá ser cancelada ou desfeita.
Você mesmo pode cancelar ou reprogramar a atualização na Console do OCI, usando as instruções deste tópico.
Para usar essas instruções, o status da atualização deve ser Programado.
Na página da lista Ambientes, selecione o ambiente com o qual deseja trabalhar. Se precisar de ajuda para localizar a página da lista, consulte Para listar ambientes.
- Na página de detalhes do ambiente, selecione Segurança.
- Em Criptografia, localize a linha Gerenciada pelo cliente. Selecione o menu e, em seguida, selecione Reprogramar ou Cancelar.
- Reprogramar somente: Se você estiver reprogramando a atualização para chaves gerenciadas pelo cliente, selecione uma nova data e, em seguida, selecione Submeter. Observação
Certifique-se de que o horário escolhido para a atualização não entre em conflito com outras atividades importantes do ambiente, como uma operação de atualização. Para operações de atualização, isso significa que nem o ambiente de origem nem o de destino podem ser atualizados para chaves gerenciadas pelo cliente enquanto a atualização estiver ocorrendo.Somente cancelar: Se você estiver cancelando a atualização, digite o nome do ambiente para confirmar que deseja cancelar a atualização e selecione Cancelar chave programada.
Exibindo o Status e os Detalhes da Chave
Para exibir o status e os detalhes da chave:
Na página da lista Ambientes, selecione o ambiente com o qual deseja trabalhar. Se precisar de ajuda para localizar a página da lista, consulte Para listar ambientes.
- Na página de detalhes do ambiente, selecione Segurança.
Em Criptografia, selecione os nomes do serviço Vault e da Chave para navegar até esses recursos e obter mais informações.
Trabalhando com Chaves Gerenciadas pelo Cliente
Depois de adicionar chaves gerenciadas pelo cliente aos ambientes do Fusion Applications, você pode:
- Alterar a chave de criptografia mestra gerenciada pelo cliente
- Rotacionar uma chave
- Desativar uma chave
- Ativar uma chave
- Excluir uma chave
Não adicione ou altere uma chave gerenciada pelo cliente, nem gire uma chave, mais de duas vezes em um período de 24 horas.
Alterando e Rotacionando Chaves
Você pode alterar a chave de criptografia mestra e rotacionar as versões da chave conforme necessário.
Não rotacione chaves mais de uma vez a cada 15 minutos. Caso contrário, a conclusão da rotação de chaves levará mais tempo.
Na página da lista Ambientes, selecione o ambiente com o qual deseja trabalhar. Se precisar de ajuda para localizar a página da lista, consulte Para listar ambientes.
- Na página de detalhes do ambiente, selecione Segurança.
- Em Criptografia, selecione Alterar chave de criptografia.
- No painel Alterar chave de criptografia, selecione um Vault.
Se você estiver usando a recuperação de desastre (DR), deverá selecionar um vault que suporte replicação. Todos os vaults privados suportam replicação. Para vaults virtuais, consulte Replicando Vaults e Chaves para obter informações sobre como descobrir se um vault virtual suporta replicação.
Se o vault selecionado estiver em outro compartimento, talvez você precise criar políticas do serviço IAM para acesso ao vault. Consulte 3. Adicionar a Política do Sistema para Ativar Chaves Gerenciadas pelo Cliente em Sua Tenancy para obter detalhes.
- Selecione uma Chave de criptografia principal.
- Selecione Enviar e, em seguida, confirme que você deseja alterar a chave.
Para Rotacionar uma Chave
As chaves são rotacionadas com base na prática de segurança da sua organização. Você pode configurar um job da CLI para rotacionar automaticamente as chaves ou seu administrador de segurança designado pode rotacioná-las manualmente por meio da interface de usuário da Console do serviço Vault. Consulte Conceitos de Gerenciamento de Chaves e Segredos para obter mais detalhes sobre versões de chaves.
Para poder rotacionar uma chave, as seguintes condições devem ser atendidas:
- O Estado do ciclo de vida do ambiente deve ser Ativo e o Status de integridade deve ser Disponível.
- Você não deve ter atingido o limite de versões de chave disponíveis para o vault. O processo Production-to-test é atualizado em que o ambiente de teste usa chaves gerenciadas pelo cliente também consome versões da chave; portanto, o P2Ts frequente também reduz o número de versões da chave restantes em um vault.
O que esperar durante a rotação de chaves:
- Não há tempo de inatividade e o Status de integridade do ambiente permanece como Disponível.
- Uma mensagem de banner na página de detalhes do ambiente alerta que a rotação está em andamento.
- O Status da chave é mostrado como Rotação em andamento.
Siga o procedimento Rotating a Vault Key na documentação do serviço Vault.
Para Verificar a Rotação de Chaves
Depois de rotacionar uma chave, você poderá verificar a rotação na página de detalhes do ambiente:
Na página da lista Ambientes, selecione o ambiente com o qual deseja trabalhar. Se precisar de ajuda para localizar a página da lista, consulte Para listar ambientes.
- Na página de detalhes do ambiente, selecione Segurança.
- Em Criptografia, selecione a versão da chave para verificar se ela corresponde à versão no serviço Vault.
Desativando e Ativando Chaves
Se você encontrar uma situação em que deseja fazer shutdown do Fusion Applications e acessar o banco de dados do Fusion, o administrador de segurança poderá desativar a chave para forçar imediatamente todos os usuários a saírem do sistema.
A desativação de uma chave poderá resultar em perda de dados. Se a chave estiver desativada, o Fusion Applications Cloud Service tentará fazer shutdown do ambiente de forma proativa para minimizar a chance de falhas enquanto o ambiente estiver sendo usado. Uma vez que a chave é desativada, no entanto, o ambiente não pode ser reiniciado até que seja ativado novamente. Embora a chave permaneça em um estado desativado, nenhum serviço de nuvem do Fusion Applications pode acessar quaisquer dados do cliente salvos anteriormente.
- O Status de integridade do ambiente é atualizado para Indisponível. O Estado do ciclo de vida é atualizado para Desativado. Todos os usuários são forçados a sair do aplicativo.
- Uma mensagem de banner na página de detalhes do ambiente alerta que a criptografia foi desativada.
- O Status da chave é mostrado como Desativado.
Quando você inicia a desativação de uma chave, ocorre uma série de processos para encerrar os componentes do ambiente (por exemplo, serviços do banco de dado, camada intermediária, balanceadores de carga), que podem levar até uma hora para serem concluídos. Não tente reativar uma chave até que esses processos sejam concluídos.
Da mesma forma, quando você inicia a ativação de uma chave, a conclusão do conjunto de processos para trazer o backup do sistema pode levar até uma hora.
Para Desativar uma Chave
Siga o procedimento Disabling a Vault Key na documentação do serviço Vault.
Para Ativar uma Chave
Siga o procedimento Ativando uma Chave de Vault na documentação do Vault.
Excluindo Chaves
As permissões concedidas à atribuição do administrador do sistema não incluem o delete para chaves e vaults. A exclusão de chaves e vaults é uma operação altamente destrutiva e só deve ser executada pelo administrador da tenancy em circunstâncias raras.
Quando um administrador de tenancy exclui uma chave, qualquer dado ou recurso OCI (incluindo seu banco de dados do Fusion Applications) criptografado por essa chave torna-se imediatamente inutilizável ou irrecuperável.
É altamente recomendável que você faça backup de uma chave antes de programá-la para exclusão. Com um backup, você poderá restaurar a chave e o vault se quiser continuar usando a chave novamente mais tarde.
Para obter mais informações, consulte Deletando uma Chave do Vault.