Documentação do Oracle Cloud Infrastructure

Segurança de Seus Logs no Logging Analytics

O Oracle Logging Analytics fornece transferência e armazenamento de dados seguros para seus logs. O serviço aproveita os vários recursos de segurança inerentemente disponíveis na Oracle Cloud Infrastructure (OCI) e os estende para proteger seus logs.

Segurança de Logs em Trânsito

Quando seus dados estão em trânsito, toda a comunicação de fora do OCI para dentro do OCI acontece por meio do protocolo https, que tem a camada de criptografia ativada. Isso garante a proteção de dados confidenciais contra ataques de phishing MitM.

Segurança de Logs em Repouso

Os seguintes recursos garantem que seus logs permaneçam seguros enquanto estiverem em repouso no OCI, sejam dados ativos ou arquivados:

  • Criptografia do lado do servidor AES-256: O OCI sempre criptografa e decriptografa todos os volumes em blocos, volumes de inicialização, backups de volumes e armazenamento de objetos no lado do servidor usando o algoritmo Advanced Encryption Standard (AES) com criptografia de 256 bits. Consulte Criptografia de Armazenamento de Objetos e Criptografia de Volume em Blocos na Documentação do Oracle Cloud Infrastructure.

    A criptografia é ativada por padrão e não pode ser desativada. Por padrão, a Oracle gerencia a chave mestra de criptografia.

  • Criptografia do cliente AES/GCM de 256 bits: O OCI SDK para Python e o SDK para Java suportam criptografia do cliente, que criptografa seus dados no cliente antes de armazená-los localmente ou usá-los com outros serviços do OCI. Consulte Documentação do Oracle Cloud Infrastructure: Criptografia do Cliente.

  • Chaves de criptografia fornecidas pelo cliente: O Oracle Logging Analytics permite que você use sua própria chave de criptografia armazenada no OCI Vault para criptografar seus logs. Depois de fazer sua solicitação de criptografia usando suas próprias chaves, entrando em contato com o Suporte Técnico da Oracle, com base no tamanho dos seus dados de log, a Oracle cria um volume em blocos dedicado ou um bucket de armazenamento de objetos. Isso garante que seus dados sejam separados e possam ser criptografados seletivamente.

    Quando você ativa o recurso, pode optar por usar sua chave de criptografia em volumes em blocos para dados ativos ou armazenamento de objetos para dados de arquivamento.

    Para obter detalhes, consulte Usar Sua Própria Chave de Criptografia.

Usar Sua Própria Chave de Criptografia

As etapas a seguir fornecem o fluxo de trabalho para estabelecer sua própria chave de criptografia e usá-la no Oracle Logging Analytics.

Tópicos:

Observação

ADVERTÊNCIA: Evite Perda de Dados

Em qualquer um dos seguintes cenários, a coleta de dados falhará e seus dados no Oracle Logging Analytics serão perdidos:

  • Se você excluir uma chave antiga ou nova quando a rotação da chave estiver em andamento
  • Se você excluir a chave que está sendo usada atualmente para criptografia
  • Se você alterar as políticas do IAM relativas à criptografia fornecida pelo cliente, fazendo com que os serviços do Oracle Cloud não consigam acessar o armazenamento de dados

Etapas para Usar Sua Própria Chave de Criptografia com o Oracle Logging Analytics

Seguindo estas etapas, você pode usar com sucesso sua própria chave de criptografia no Oracle Logging Analytics, confirmar as chaves existentes e monitorar sua designação usando os comandos oci cli:

  1. Solicitar ativação do recurso:

    Entre em contato com o Suporte Técnico da Oracle para ativar o recurso Chave de Criptografia Fornecida pelo Cliente para sua tenancy. Registre uma Solicitação de Serviço (SR) no Oracle Cloud Support Portal.

    Prossiga para as próximas etapas somente depois que a Oracle confirmar que o recurso está ativado.

  2. Configure as políticas obrigatórias do IAM:

    Certifique-se de que as instruções de política do IAM necessárias sejam criadas para gerenciamento de chaves, acesso a dados de seus recursos dedicados e permissão para que o Oracle Logging Analytics use sua chave de criptografia em seus logs. Consulte Permitir o Uso de Chaves Fornecidas pelo Cliente para Criptografar Logs.

  3. Crie ou selecione a chave de criptografia no OCI Vault:

    Navegue até o OCI Security e selecione Vault. Selecione ou crie um vault, crie ou selecione a chave a ser usada. Usando o OCI Vault, você pode gerenciar vaults, chaves e segredos. Consulte Documentação do Oracle Cloud Infrastructure: Gerenciando Chaves.

    Observação

    Use apenas a chave de criptografia AES-256 (Advanced Encryption Standard) de 256 bits para Volumes em Blocos (Dados de armazenamento ativos). Consulte Chaves de Criptografia do Serviço Blockchain Volume.

  4. Observe o OCID da sua chave de criptografia:

    Localize e copie o OCID da sua chave selecionada no Vault para uso nas próximas etapas.

  5. Designe sua chave ao armazenamento do Oracle Logging Analytics:

    Atribua sua chave com uma solicitação oci cli. 

    oci log-analytics storage assign-encryption-key --key-id <key-id> --key-type <key_type> --namespace-name <namespace_name>
    • Substitua <key-id> pelo OCID da sua chave de criptografia.
    • Defina <key_type> como "ACTIVE_DATA" para armazenamento ativo ou "ARCHIVAL_DATA" para armazenamento de arquivamento.
    • Substitua <namespace_name> pelo nome do namespace da tenancy.

    Anote o ID da solicitação de serviço da resposta ao comando acima.

    Para obter mais detalhes sobre o comando da CLI, parâmetros e exemplos, consulte assign-encryption-key.

  6. Monitorar o status da designação de chave de criptografia:

    Para rastrear o andamento, use o ID da solicitação de serviço da resposta acima:

    oci log-analytics storage get-storage-work-request --namespace-name <namespace_name> --work-request-id <work_request_id>
    • Substitua <work_request_id> pelo ID retornado da chamada assign-encryption-key oci cli.
    • Substitua <namespace_name> pelo nome do namespace da tenancy.
    • Verifique o status e os detalhes da resposta. A atribuição de chave é concluída quando o status da resposta é SUCCEEDED.

    Para obter mais detalhes sobre o comando, parâmetros e exemplos da CLI, consulte get-storage-work-request.

    Resposta de amostra: 

    {
  "compartmentId": "ocid1.tenancy.oc1..xxxxx",
  "id": "ocid1.loganalyticsstorageworkrequest.oc1.xxxxx",
  "operationDetails": "Encryption Completed",
  "operationType": "ENCRYPT_ACTIVE_DATA",
  "percentComplete": 100,
  "status": "SUCCEEDED",
  "statusDetails": "ENCRYPTED",
  "timeAccepted": "2025-05-30T18:29:05.153+00:00",
  "timeExpires": null,
  "timeFinished": "2025-05-30T18:30:27.980+00:00",
  "timeStarted": "2025-05-30T18:30:23.054+00:00"
}

Depois que o recurso for ativado, seus dados de log mais antigos que residem em outro local continuarão a ser criptografados usando chaves de criptografia gerenciadas pelo OCI. Todos os novos dados após a ativação serão criptografados usando sua própria chave de criptografia.

Listar Chaves de Criptografia de Armazenamento

Você pode verificar quais chaves de criptografia estão associadas à sua tenancy do Oracle Logging Analytics a qualquer momento: 

oci log-analytics storage list-encryption-key-info --namespace-name <namespace_name>

Substitua <namespace_name> pelo nome do namespace da tenancy.

Resposta JSON de amostra: 

[
  {
    "keyId": "ocid1.key.oc1..xxxxx",
    "keySource": "CUSTOMER_MANAGED",
    "keyType": "ACTIVE_DATA"
  },
  {
    "keyId": "ocid1.key.oc1..xxxxx",
    "keySource": "CUSTOMER_MANAGED",
    "keyType": "ARCHIVAL_DATA"
  }
]

Para obter mais detalhes sobre o comando da CLI, parâmetros e exemplos, consulte list-encryption-key-info.

Rotacionar Chaves de Criptografia de Armazenamento

Rotacionar periodicamente suas chaves de criptografia é uma prática recomendada para fortalecer a segurança dos dados. No Oracle Logging Analytics, você pode rotacionar sua chave designando uma nova usando o comando assign-encryption-key oci cli. As etapas abaixo mostram como girar sua chave, monitorar o andamento e limpar a chave antiga quando o processo for concluído.

  1. Prepare sua nova chave de criptografia:

    Gere ou selecione uma nova chave de criptografia no OCI Vault.

    Observação

    Use apenas a chave de criptografia AES-256 (Advanced Encryption Standard) de 256 bits para Volumes em Blocos (Dados de armazenamento ativos). Consulte Chaves de Criptografia do Serviço Blockchain Volume.

    Certifique-se de que o Oracle Logging Analytics tenha as políticas do IAM necessárias para usar a nova chave. Consulte Permitir o Uso de Chaves Fornecidas pelo Cliente para Criptografar Logs.

  2. Designe sua chave ao armazenamento do Oracle Logging Analytics:

    Atribua sua chave com uma solicitação oci cli. 

    oci log-analytics storage assign-encryption-key --key-id <key-id> --key-type <key_type> --namespace-name <namespace_name>
    • Substitua <key-id> pelo OCID da sua chave de criptografia.
    • Defina <key_type> como "ACTIVE_DATA" para armazenamento ativo ou "ARCHIVAL_DATA" para armazenamento de arquivamento.
    • Substitua <namespace_name> pelo nome do namespace da tenancy.

    Para obter mais detalhes sobre o comando da CLI, parâmetros e exemplos, consulte assign-encryption-key.

  3. Monitorar o status da designação de chave de criptografia:

    Para rastrear o andamento, use o ID da solicitação de serviço da resposta acima:

    oci log-analytics storage get-storage-work-request --namespace-name <namespace_name> --work-request-id <work_request_id>
    • Substitua <work_request_id> pelo ID retornado da chamada assign-encryption-key oci cli.
    • Substitua <namespace_name> pelo nome do namespace da tenancy.
    • Verifique o status e os detalhes da resposta. A atribuição de chave é concluída quando o status da resposta é SUCCEEDED.

    Para obter mais detalhes sobre o comando, parâmetros e exemplos da CLI, consulte get-storage-work-request.

    Resposta de amostra: 

    {
  "compartmentId": "ocid1.tenancy.oc1..xxxxx",
  "id": "ocid1.loganalyticsstorageworkrequest.oc1.xxxxx",
  "operationDetails": "Encryption Completed",
  "operationType": "ENCRYPT_ACTIVE_DATA",
  "percentComplete": 100,
  "status": "SUCCEEDED",
  "statusDetails": "ENCRYPTED",
  "timeAccepted": "2025-05-30T18:29:05.153+00:00",
  "timeExpires": null,
  "timeFinished": "2025-05-30T18:30:27.980+00:00",
  "timeStarted": "2025-05-30T18:30:23.054+00:00"
}

  4. Remover a chave antiga:

    Certifique-se de que a rotação esteja concluída verificando se a resposta à chamada get-storage-work-request é SUCCEEDED. Após verificar se a chamada list-encryption-key-info agora mostra apenas a nova chave, você pode remover com segurança a chave antiga do OCI Vault. Consulte Listar Chaves de Criptografia de Armazenamento.

Dicas Úteis para Rotacionar Suas Chaves de Criptografia no Oracle Logging Analytics

  • Ambas as chaves são necessárias durante a rotação

    Quando você inicia a rotação de chaves, as chaves old e new devem permanecer ativas e acessíveis. A chave antiga garante que os dados criptografados existentes possam ser lidos e criptografados novamente com a nova chave.

  • Adicionar uma nova chave para iniciar a rotação

    Comece a rotação adicionando sua nova chave de criptografia usando o comando assign-encryption-key oci cli. Consulte Rotacionar Chaves de Criptografia de Armazenamento.

  • Nenhum período de espera obrigatório após a conclusão da rotação

    Não é necessário aguardar um número definido de dias. Quando a rotação da chave é concluída, a chave antiga não é mais necessária e pode ser removida com segurança do OCI Vault.

  • Duração da rotação

    • Se o Arquivamento não for ativado:

      Tipo de chave ACTIVE_DATA: Os dados ativos e o backup de dados ativo são criptografados com a chave especificada e ambos são alternados. A rotação do backup de dados ativo normalmente pode levar 1 TB = horas, 10 TB = dias, 100 TB = semanas. Quanto mais dados você tiver, maior será a rotação.

    • Se o Arquivamento for ativado:

      Tipo de chave ACTIVE_DATA: Somente a chave active data é rotacionada. O impacto do tamanho dos dados ativos (10 TB, 20 TB, 100 TB) não é muito significativo. A rotação geralmente é concluída rapidamente (em minutos a uma hora), independentemente do tamanho dos dados.

      Tipo de chave ARCHIVAL_DATA: Somente a chave archival data é rotacionada. A rotação dos dados de arquivamento pode normalmente levar 1 TB = horas, 10 TB = dias, 100 TB = semanas. Quanto mais dados você tiver, maior será a rotação.

  • Sem tempo de retenção fixo para a chave antiga

    • A chave antiga deve ser mantida até que todos os dados sejam criptografados novamente com a nova chave, e a rotação seja confirmada como concluída.

  • Como monitorar o progresso da rotação

    A operação de atribuição de chave de criptografia é assíncrona. Depois de enviar sua solicitação de rotação de chaves, rastreie o andamento usando o workRequestId retornado.

    Consulte Rotacionar Chaves de Criptografia de Armazenamento.

    Quando a solicitação de serviço é concluída com sucesso com o status SUCCEEDED e a chamada list-encryption-key-info agora mostra apenas a nova chave, é seguro excluir a chave antiga. Se a solicitação de serviço falhar, revise a resposta para determinar o motivo da falha e incorpore a correção. Para obter ajuda, entre em contato com o Suporte Técnico da Oracle.

  • Verificar qual chave está ativa

    Liste as chaves de criptografia atuais para confirmar que a nova chave está em uso.

    Consulte Listar Chaves de Criptografia de Armazenamento.

    Certifique-se de que a chave antiga não esteja mais listada antes da remoção.

  • Mantenha as duas chaves acessíveis

    Não exclua ou desative a chave antiga até que a rotação seja totalmente concluída e validada. A perda de acesso à chave antiga durante a rotação pode levar a problemas de acesso aos dados.

  • Teste com dados menores primeiro

    Se possível, considere uma rotação de teste em um conjunto de dados menor para estimar o tempo em seu ambiente OCI.

Em resumo, mantenha ambas as chaves disponíveis durante a rotação, monitore a rotação por meio do status da solicitação de serviço, remova a chave antiga somente após a conclusão e espere que a rotação do arquivamento demore mais à medida que o tamanho dos dados aumentar. Sempre verifique o status da chave antes de limpar.

Voltar para Criptografia gerenciada pela Oracle

Se você estiver enfrentando problemas de escalabilidade/desempenho devido à rotação de chaves ou se não conseguir manter o processo de gerenciamento de chaves, talvez queira voltar para a criptografia gerenciada pela Oracle. Entre em contato com o Suporte Técnico da Oracle para alternar de volta para a criptografia gerenciada pela Oracle da sua tenancy. Registre uma Solicitação de Serviço (SR) no Oracle Cloud Support Portal.

Permitir o Uso de Chaves Fornecidas pelo Cliente para Criptografar Logs

O Oracle Logging Analytics permite que você use sua própria chave de criptografia armazenada no OCI Vault para criptografar seus logs. Depois de fazer sua solicitação de criptografia usando suas próprias chaves, entre em contato com o Suporte Técnico da Oracle, com base no tamanho dos dados de log, a Oracle cria volumes em blocos dedicados e bucket de armazenamento de objetos. Isso garante que seus dados sejam separados e possam ser seletivamente criptografados.

Para usar com sucesso suas chaves para criptografar os dados de log, primeiro forneça as seguintes permissões para que os vários serviços acessem e usem as chaves:

  1. Defina a tenancy do Logging Analytics na qual os dados são armazenados, por exemplo, logan_tenancy.

  2. Defina um grupo dinâmico de recursos que pode ser usado para executar operações de criptografia, por exemplo, encr_app_tier_group_of_logan.

  3. Permita que o serviço Block Storage use suas chaves de criptografia e vaults armazenados em um compartimento específico em sua tenancy, por exemplo, compartimento encryptionTier.

  4. Permita que o serviço Object Storage use suas chaves de criptografia e vaults armazenados em um compartimento específico em sua tenancy, por exemplo, compartimento encryptionTier.

  5. Permita que o grupo dinâmico definido na etapa 2 associe suas chaves de criptografia a volumes.

  6. Permita que o grupo dinâmico definido na etapa 2 associe suas chaves de criptografia a backups de volume.

  7. Permita que o grupo dinâmico definido na etapa 2 use a delegação de chave.

  8. Permita que o grupo dinâmico definido na etapa 2 associe suas chaves de criptografia aos buckets do Object Storage.

  9. Permita que o grupo dinâmico definido na etapa 2 tenha acesso READ às suas chaves de criptografia.

  10. Permita que o grupo dinâmico definido na etapa 2 tenha acesso READ aos vaults.

O seguinte exemplo de instruções de política do serviço IAM é mapeado para as definições acima:

Define tenancy logan_tenancy as ocid1.tenancy.oc1..aaaaaaaa...
Define dynamic-group encr_app_tier_group_of_logan as ocid1.dynamicgroup.oc1..aaaaaaaa...
allow service blockstorage to use keys in compartment encryptionTier
allow service objectstorage to use keys in compartment encryptionTier
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to associate keys in compartment encryptionTier with volumes in tenancy logan_tenancy
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to associate keys in compartment encryptionTier with volume-backups in tenancy logan_tenancy
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to use key-delegate in compartment encryptionTier
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to associate keys in compartment encryptionTier with buckets in tenancy logan_tenancy
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to read keys in compartment encryptionTier
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to read vaults in compartment encryptionTier

Certifique-se de substituir logan_tenancy, encr_app_tier_group_of_logan, encryptionTier e os OCIDs de exemplo nas instruções de política do serviço IAM acima pelos valores reais.