Configurar uma OCI Hold Your Own Key usando o Thales CipherTrust Manager com o OCI API Gateway

Introdução

Este tutorial fornece instruções passo a passo para configurar Hold Your Own Key (HYOK) com o Thales CipherTrust Manager (CTM) usando a opção Gateway de API da Oracle Cloud Infrastructure (OCI).

O HYOK permite que você mantenha total propriedade e controle sobre suas chaves de criptografia hospedando-as externamente, fora da infraestrutura da Oracle, enquanto permite que os serviços Oracle as usem com segurança. Nesta configuração, o Gateway de API do OCI desempenha um papel crítico como uma ponte segura, gerenciável e escalável entre o Oracle Cloud Infrastructure External Key Management Service (OCI External KMS) e sua instância do Thales CipherTrust Manager.

Por que usar o OCI API Gateway?

Ao inserir um Gateway de API do OCI entre o OCI External KMS e seu Thales CipherTrust Manager, você obtém:

• Controle de Acesso Seguro: O gateway impõe a autenticação por meio do OAuth2 usando credenciais confidenciais do cliente, garantindo que somente solicitações confiáveis cheguem ao seu gerenciador de chaves.
• Terminação de TLS e Gerenciamento de Certificados: Gerencie facilmente certificados SSL/TLS, permitindo uma comunicação criptografada segura entre o OCI e o Thales CipherTrust Manager.
• Isolamento de Rede: O OCI API Gateway abstrai o acesso direto ao seu Gerenciador Thales CipherTrust, permitindo pontos finais privados de exposição controlada e políticas de segurança rigorosas.
• Auditabilidade e Observabilidade: Obtenha visibilidade das principais tentativas de uso e acesso por meio de registro e monitoramento integrados de chamadas de API.
• Escalabilidade e Flexibilidade: Prepare sua arquitetura para o futuro, desacoplando a lógica de integração do OCI External KMS do backend do Thales CipherTrust Manager, facilitando a troca de componentes, a aplicação de atualizações ou a adição de middleware, se necessário.

No rest deste tutorial, você configurará todos os componentes de infraestrutura necessários, incluindo rede, DNS, gerenciamento de certificados, federação de identidades e, por fim, integração com o OCI Vault e o OCI Object Storage usando chaves externas.

Este tutorial se baseia no technical foundation estabelecido no tutorial: Configure Two Thales CipherTrust Cloud Key Manager Appliances no OCI, Create a Cluster between them e Configure One as a Certificate Authority.

Se você quiser implementar a opção Hold Your Own Key (HYOK) usando o Thales CipherTrust Manager sem o OCI API Gateway, siga este tutorial: Configure o OCI Hold Your Own Key (HYOK) usando o CipherTrust Manager sem o API Gateway.

Observação: Neste tutorial, os termos Thales CipherTrust Cloud Key Manager (CCKM) e Thales CipherTrust Manager (CTM) são usados de forma intercambiável. Ambos se referem ao mesmo produto.

Objetivos

• Tarefa 1: Revisar a arquitetura de rede em nuvem.
• Tarefa 2: Configurar o serviço de nome de domínio (DNS) do OCI para todos os locais.
• Tarefa 3: Criar um certificado para o OCI API Gateway.
• Tarefa 4: Fazer upload do certificado assinado do OCI API Gateway com o bundle de CAs.
• Tarefa 5: Certifique-se de que o ponto final privado tenha permissão para se comunicar com o Gateway de API do OCI da perspectiva de grupo de segurança de rede/lista de segurança/firewall.
• Tarefa 6: Criar um Gateway de API do OCI.
• Tarefa 7: Criar implantação de API com detalhes de FQDN.
• Tarefa 8: Criar um aplicativo de recursos confidenciais e aplicativos clientes confidenciais associados (integrações de aplicativos) e coletar o cliente e os segredos no OCI.
• Tarefa 9: Coletar o URL do domínio de identidades do OCI.
• Tarefa 10: Criar provedores de identidade no Thales CipherTrust Manager.
• Tarefa 11: Adicionar tenancies da Oracle no Thales CipherTrust Manager.
• Tarefa 12: Criar um ponto final privado para o Serviço External Key Manager do OCI.
• Tarefa 13: Adicionar vaults externos no Gerenciador Thales CipherTrust.
• Tarefa 14: Criar um vault do OCI External Key Management Service.
• Tarefa 15: Adicionar chaves externas no Gerenciador Thales CipherTrust.
• Tarefa 16: Criar referências-chave no OCI.
• Tarefa 17: Criar um bucket do OCI Object Storage com chaves gerenciadas pelo cliente.
• Tarefa 18: Bloquear e desbloquear chaves Oracle e testar a acessibilidade do bucket de armazenamento de objetos no Thales CipherTrust Manager e na OCI.

A imagem a seguir ilustra os componentes e a configuração de todas as etapas deste tutorial.

Tarefa 1: Revisar a Arquitetura de Rede na Nuvem

Antes de nos aprofundarmos nas etapas técnicas de configuração de Hold Your Own Key (HYOK) com o Thales CipherTrust Manager, é essencial entender a arquitetura de rede em nuvem na qual essa configuração reside.

Nesse cenário, três regiões do OCI são usadas:

• Duas regiões da OCI simulam data centers on-premises. Essas regiões são conectadas à OCI por meio de túneis de VPN, representando ambientes híbridos.
• A terceira região da OCI representa o ambiente principal da OCI e segue uma arquitetura VCN (Virtual Cloud Network) hub e spoke. Neste design:
  • A VCN hub hospeda serviços de rede compartilhada, como firewalls.
  • Várias VCNs spoke se conectam ao hub e hospedam várias cargas de trabalho.

A conectividade entre os dois data centers on-premises simulados é estabelecida usando Conexões de Pareamento Remoto (RPC). No entanto, para este tutorial, a configuração da VPN, a configuração de RPC e os detalhes da arquitetura de VCN hub-and-spoke são considerados fora do escopo e não serão abordados.

• Para configurar conexões VPN com o OCI em que um data center é simulado, consulte Configurar uma Oracle Cloud Infrastructure Site-to-Site VPN com Roteamento Estático entre duas Regiões do OCI.

• Para configurar conexões RPC entre regiões do OCI, consulte Configurar Conexão RPC entre Dois Tenants e seus Gateways de Roteamento Dinâmico.

• Para configurar uma arquitetura de rede VNC spoke e hub da OCI, consulte Route Hub e Spoke VCN com Firewall pfSense na VCN do Hub.

Este tutorial se concentra estritamente na configuração do HYOK usando o Thales CipherTrust Manager implantado na região de Amsterdã (AMS), que é um dos data centers on-premises simulados. Todas as operações de gerenciamento de chaves serão executadas nesta instância do Thales CipherTrust Manager.

O gerenciador de chaves externo privado permite que a OCI se comunique com segurança com o Thales CipherTrust Manager externo e será implantado em uma das VCNs spoke na região principal da OCI. Isso garante um caminho de comunicação seguro e direto entre os serviços da OCI e o gerenciador de chaves externo sem expor o tráfego à internet pública.

Essa arquitetura oferece suporte a posturas fortes de segurança e conformidade para cargas de trabalho confidenciais na OCI, isolando o gerenciamento de chaves em um limite de rede seguro e bem definido.

A imagem a seguir ilustra a arquitetura completa.

Tarefa 2: Configurar o OCI DNS para Todos os Locais

Para garantir uma comunicação adequada entre o OCI, o gateway de API e o Thales CipherTrust Manager, configure a resolução de DNS para todos os componentes relevantes usando Zonas de DNS Privadas na Console do OCI.

A imagem a seguir ilustra os componentes e a configuração definida nesta tarefa.

A configuração do OCI DNS para AMS e ASH já foi feita neste tutorial. Consulte Configurar Dois Thales CipherTrust Cloud Key Manager Appliances no OCI, Criar um Cluster entre eles e Configurar Um como uma Autoridade de Certificação. Use o mesmo tutorial para configurar o DNS na VCN do Hub da FRA.

• A view privada da VCN hub no FRA deve ter esta aparência:

  

Temos duas opções para ativar a resolução de DNS da VCN Spoke A, configurar uma view privada separada para spoke A ou associar a view privada da VCN hub ao spoke A.

Nesta configuração, usaremos a última abordagem associando a view privada do hub à VCN spoke A.

• Faça log-in na Console do OCI, navegue até Redes virtuais na nuvem e selecione Fazer uma VCN.

  

• Clique em Resolvedor de DNS.

  

• Role para baixo.

  

• Clique em Gerenciar views privadas.

  

• Selecione a view privada da VCN do Hub e clique em Salvar alterações.

  

• Observe que a view privada da VCN do Hub agora está associada à VCN spoke A. Se você não vir a alteração, atualize o navegador.

  

A configuração correta de DNS é uma base crítica para autenticação mútua de TLS, OAuth e conectividade confiável entre a OCI e o Thales CipherTrust Manager.

Verifique novamente a associação de zona DNS e a resolução de nome antes de prosseguir para a configuração do certificado.

Tarefa 3: Criar um Certificado para o Gateway de API do OCI

Para ativar a comunicação TLS segura entre o OCI e o Thales CipherTrust Manager, o Gateway de API do OCI deve apresentar um certificado SSL confiável. Nessa configuração, o certificado será criado gerando primeiro uma Solicitação de Assinatura de Certificado (CSR) na CTM1 Autoridade de Certificação (CA) e, em seguida, assinando-a usando essa mesma CA.

Depois que o certificado for assinado, ele será carregado no OCI e anexado ao OCI API Gateway, permitindo que ele atenda ao tráfego criptografado confiável por seus sistemas internos. A imagem a seguir ilustra as etapas para criar o certificado assinado para o OCI API Gateway.

Execute estas etapas somente no AMS CTM.

• Faça log-in na Console do AMS do Gerenciador Thales CipherTrust, navegue até CA e clique em Gerador CSR.

  

• Especifique as informações a seguir e clique em Gerar CSR e fazer download da Chave Privada.

  • Selecione CSR Genérico.
  • Nome Comum (CN): Informe o FQDN do Thales CipherTrust Manager. Por exemplo, oci-api-gw.oci-thales.lab.
    • Nome da Exibição: Informe um nome. Por exemplo, OCI API Gateway.
    • Algoritmo: Selecione RSA.
    • Tamanho: Selecione 2048.
  • SAN (Subject Alternative Name): Inclua também o FQDN aqui. Por exemplo, oci-api-gw.oci-thales.lab.

  

• Observe que o download da chave privada será feito automaticamente.

  

• Clique em Fazer Download do CSR para fazer download do arquivo .csr gerado e salvá-lo.

  

• Certifique-se de que o CSR e a chave privada estejam armazenados em uma pasta.

  

• Renomeie o CSR e a chave privada.

  

• Navegue até CA, clique em Local e selecione a CA.

  

• Clique em Fazer Upload do CSR.

  

• Em Carregar CSR Gerado Externamente, especifique as informações a seguir.

  • Nome para Exibição: Digite o FQDN do OCI API Gateway. Por exemplo, oci-api-gw.oci-thales.lab.
  • Copie o conteúdo da CSR gerada no campo CSR.
  • Finalidade do Certificado: Selecione Servidor.
  • Clique em Emitir Certificado.

  

• Clique nos três pontos no final da entrada do certificado assinado e, em seguida, clique em Fazer Download para fazer download do certificado assinado do OCI API Gateway.

  

• Certifique-se de que o certificado assinado seja armazenado nas mesmas pastas de CSR e chave privada.

  

• Renomeie o certificado assinado.

  

Além de assinar os certificados individuais do Thales CipherTrust Manager, o Certificado Raiz da CA é uma parte crítica da cadeia de confiança. Este certificado raiz estabelece a base de confiança para todos os certificados emitidos pelo seu Gerenciador Thales CipherTrust, agindo como Autoridade de Certificação (CA).

• Navegue até CA e clique em Local. Clique nos três pontos no final da CA CTM AMS e, em seguida, clique em Fazer Download para fazer download do certificado da CA Raiz da CA CTM AMS.

  

• Armazene o certificado raiz transferido por download na mesma pasta.

  

• Renomeie o certificado raiz.

  

Este certificado será anexado posteriormente à implantação do Gateway de API do OCI, permitindo que o OCI se comunique com segurança com o Thales CipherTrust Manager por HTTPS usando um certificado emitido e confiável em seu ambiente.

Tarefa 4: Fazer Upload do Certificado do Gateway de API do OCI Assinado com o Pacote de CAs

Após gerar e assinar o certificado do Gateway de API do OCI usando a CTM1 Certificate Authority (CA), a próxima tarefa é fazer upload desse certificado no OCI para ser associado à implantação do Gateway de API do OCI.

Isso garante que qualquer comunicação com o OCI API Gateway, como solicitações do OCI External KMS, ocorra por meio de uma conexão TLS confiável e criptografada usando sua autoridade de certificação interna.

Vamos começar primeiro com o upload do certificado da CA raiz.

• Vá para a Console do OCI, navegue até Identidade e Segurança e clique em Pacotes de CAs.

  

• Clique em Criar Pacote de CAs.

  

• Em Criar Pacote de CAs, especifique as informações a seguir.

  • Informe um Nome. Por exemplo, thales-ca.
  • Selecione um arquivo PEM.

  

• Selecione Certificado da CA Raiz da CA CTM1 do AMS e clique em Abrir.

  

• Observe o conteúdo do Certificado da CA Raiz da CA AMS CTM1 e clique em Criar.

  

• Observe que o Pacote de CAs é criado.

  

Agora, vamos fazer upload do certificado assinado do OCI API Gateway.

• Vá para a Console do OCI, navegue até Identidade e Segurança e clique em Certificados.

  

• Clique em Criar Certificado.

  

• Em Informações Básicas, especifique as informações a seguir.

  • Selecione Tipo de Certificado como Importado.
  • Informe o Nome do certificado. Por exemplo, 8-oci-api-gw.oci-thales.lab,
  • Clique em Próximo.

  

• Clique em Próximo.

  

• Clique em Fazer Upload do Arquivo e faça upload do arquivo de certificado assinado do OCI API Gateway.

• Clique em Fazer Upload do Arquivo e faça upload do arquivo de certificado raiz da CTM1 no AMS.

  

• Clique em Fazer Upload do Arquivo e faça upload do arquivo de chave privada correspondente do Gateway de API do OCI assinado.

• Clique em Próximo.

  

• Clique em Próximo.

  

• Revise a seção Resumo e clique em Criar Certificado.

  

• Revise o Resumo e clique em Exibir Detalhes do Certificado.

  

• Observe que o certificado está Ativo.

  

Observação: Se o upload do certificado falhar, pode ser devido ao algoritmo usado ao gerar a CSR. Os certificados que usam o algoritmo ECDSA não foram aceitos pelo OCI. Para resolver isso, geramos novamente a CSR usando o algoritmo RSA, que funcionou com sucesso.

Após o upload, esse certificado estará disponível para ser anexado à sua implantação do Gateway de API, permitindo que ele apresente uma identidade confiável aos serviços do OCI, como o OCI External KMS. Essa tarefa é fundamental para permitir a confiança segura baseada em certificado entre a Oracle e seu gerenciador de chaves externo.

Tarefa 5: Certifique-se de que o Ponto Final Privado possa se Comunicar com o Gateway de API do OCI na Lista de Firewall/Segurança/Grupo de Segurança de Rede

Antes de implantar o OCI API Gateway ou testar a integração entre o OCI e o Thales CipherTrust Manager, é essencial garantir que a conectividade de rede esteja em vigor entre o Ponto Final Privado usado pelo OCI External KMS e pelo OCI API Gateway.

Observação:

• O tráfego na mesma sub-rede não é permitido automaticamente no OCI. Mesmo que o ponto final privado e o Gateway de API do OCI residam na mesma sub-rede, você ainda deverá permitir explicitamente o tráfego entre eles na lista de segurança ou no grupo de segurança de rede.

• Por exemplo, para permitir o tráfego HTTPS entre recursos na mesma sub-rede, crie uma regra de endereço que permita o tráfego na porta TCP 443 do bloco CIDR da sub-rede.

• Vá para a Console do OCI, navegue até Networking e clique em Redes Virtuais na Nuvem.

  

• Clique em Fazer uma VCN.

  

• Role para baixo.

  

• Clique na sub-rede privada da VCN spoke A. Esta é a VCN em que o ponto final privado do OCI External KMS estará e o endereço IP do OCI API Gateway.

  

• Role para baixo.

  

• Clique na lista de segurança padrão anexada à sub-rede.

  

• Clique em Adicionar Regras de Entrada.

  

• Para configurar a Regra de Entrada 1, especifique as informações a seguir e clique em Adicionar Regras de Entrada.

  • Tipo de Origem: Selecione CIDR.
  • CIDR de Origem: Digite 172.16.1.0/24.
  • Protocolo IP: Selecione Todos os Protocolos.

  

• Observe que a regra de lista de segurança de entrada foi adicionada à lista de segurança.

  

Observação: Se um Gateway de API do OCI não conseguir acessar o Gerenciador CipherTrust do Thales por meio de seu FQDN durante a implantação, ele poderá falhar ao se tornar ativo. Portanto, garantir um caminho de rede claro e seguro entre o ponto final privado e o OCI API Gateway é um pré-requisito crítico para uma integração HYOK bem-sucedida.

Tarefa 6: Criar um Gateway de API do OCI

Com o upload do certificado TLS assinado, a próxima tarefa é criar um Gateway de API do OCI que servirá como ponto de entrada seguro para o OCI se comunicar com seu Thales CipherTrust Manager.

Este Gateway de API do OCI será configurado posteriormente para rotear solicitações para o CTM usando seu nome de domínio totalmente qualificado (FQDN) e impor uma comunicação segura usando o certificado TLS submetido a upload.

A imagem a seguir ilustra os componentes e a configuração definida nesta tarefa.

• Vá para a Console do OCI, navegue até Developer Services e clique em Gateways.

  

• Clique em Criar Gateway.

  

• Em Criar gateway, especifique as informações a seguir.

  • Informe um Nome. Por exemplo, API-GW.
  • Tipo: Selecione Privado.
  • VCN: Selecione a VCN da qual o Gerenciador CipherTrust de Thales pode ser acessado.
  • Sub-rede: Selecione sub-rede privada com acesso ao Gerenciador CipherTrust do Thales.

  

• Selecione o certificado do qual fizemos upload anteriormente (8-oci-api-gw.oci-thales.lab) e clique em Criar Gateway.

  

• Observe que o Gateway de API do OCI é criado.

  

Observação: A implantação do Gateway de API do OCI poderá falhar se não conseguir acessar o Gerenciador CipherTrust de Thales pelo URL de backend configurado. Para evitar isso, certifique-se de que:

• O Roteamento está configurado corretamente entre a sub-rede privada do OCI API Gateway e o Gerenciador CipherTrust do Thales.
• As Listas de Segurança ou os Grupos de Segurança de Rede (NSGs) permitem o tráfego HTTPS (porta TCP 443) da sub-rede do Gateway de API para o CTM.
• O FQDN do Gerenciador CipherTrust do Thales é resolvido corretamente por meio do DNS Privado configurado.

Backends inacessíveis durante a implantação farão com que as verificações de integridade falhem, resultando em erros de implantação ou em um estado inativo.

Esse Gateway de API do OCI será usado posteriormente em uma implantação para expor um ponto final que o OCI External KMS pode chamar. O gateway atua como um proxy seguro e autenticado entre o OCI e seu Thales CipherTrust Manager, impondo o TLS e a validação de identidade.

Tarefa 7: Criar uma Implantação de API com Detalhes de FQDN

Agora que o Gateway de API do OCI foi criado e o certificado está em vigor, a próxima tarefa é criar uma implantação de API. Isso define o comportamento de roteamento do gateway especificamente, como as solicitações de entrada do OCI External KMS são encaminhadas ao seu Gerenciador Thales CipherTrust usando seu FQDN interno.

A implantação conecta o OCI e o Thales CipherTrust Manager, controlando o roteamento baseado em caminho e o encerramento de TLS para solicitações de entrada.

A imagem a seguir ilustra os componentes e a configuração definida nesta tarefa.

• Vá para a Console do OCI, navegue até Developer Services e clique em Gateways.

  

• Clique no gateway de API.

  

• Clique em Criar implantação.

  

• Em Criar implantação, especifique as informações a seguir.

  • Selecione Do início.
  • Informe um Nome. Por exemplo, API-GW-DEPLOYMENT.
  • Prefixo do Caminho: Digite /api/v1/cckm/oci/ekm/v1.
  • Clique em Próximo.

  

• Autenticação: Selecione Nenhuma Autenticação.

• Clique em Próximo.

  

• Na seção Rota 1, especifique as informações a seguir e clique em Próximo.

  • Caminho: Digite /{path*}.
  • Methods: Selecione GET, POST.
  • Tipo de Backend: Selecione o tipo de backend como HTTP e especifique o URL como https://**<your-ctm-fqdn>**/api/v1/cckm/oci/ekm/v1/${request.path[path]}.

  

• Clique em Criar.

  

• Observe que a implantação de API é criada. Clique no link.

  

• Observe que a implantação de API é ACTIVE.

  

Quando a implantação estiver ativa, o OCI API Gateway poderá encaminhar com segurança solicitações autenticadas do OCI para seu Thales CipherTrust Manager. A configuração do FQDN é crítica aqui, certifique-se de que ele corresponda ao Nome Comum (CN) ou SAN no certificado do Gerenciador CipherTrust do Thales e seja resolvido corretamente por meio do DNS.

Essa implantação atuará como o ponto final principal que o OCI External KMS chama para interagir com suas chaves externas hospedadas no Thales CipherTrust Manager.

Tarefa 8: Criar um Aplicativo de Recurso Confidencial, Associar Aplicativos de Cliente Confidencial (Integrações de Aplicativos) e Coletar o Cliente e os Segredos no OCI

Para ativar a integração do HYOK com o Thales CipherTrust Manager, você deve estabelecer a confiança entre a OCI e o gerente de chaves externo.

Isso é feito registrando dois componentes principais no OCI Identity and Access Management (OCI IAM): um Aplicativo de Recurso Confidencial e um Aplicativo de Cliente Confidencial. Eles são essenciais para autenticar e autorizar a comunicação entre a OCI e o Thales CipherTrust Manager.

Essa configuração permite que o Thales CipherTrust Manager se autentique com o OCI IAM por meio do OAuth 2.0. O cliente confidencial atua em nome do gerente de chaves externo, enquanto o recurso confidencial define o escopo da configuração de acesso e confiança. O OCI não pode validar ou se comunicar com segurança com a origem de chave externa sem esses componentes.

A imagem a seguir ilustra os componentes e a configuração definida nesta etapa.

• Faça log-in na Console do OCI, navegue até Identity & Security e clique em Domínios.

  

• Clique no domínio que deseja usar para a autenticação.

  

• Clique em Aplicativos integrados e em Adicionar aplicativo.

  

• Selecione Aplicativo Confidencial e clique em Iniciar workflow.

  

• Informe o Nome do aplicativo (Resource_App) e clique em Próximo.

  

• Na seção Configuração do Resource Server, especifique as informações a seguir.

  • Selecione Configurar este aplicativo como um servidor de recursos agora.
  • Em Público principal, digite https://172.16.1.103/ (O endereço IP do Gateway de API).

  

• Em Adicionar Escopo, especifique as informações a seguir.

  • Selecione Adicionar escopos.
  • Clique em Adicionar.
  • Em Escopo, digite oci_ekms.
  • Clique em Adicionar.

  

• Observe o escopo adicionado oci_ekms e role para baixo.

  

• Na seção Configuração do cliente, especifique as seguintes informações.

  • Selecione Configurar este aplicativo como cliente agora.
  • Selecione Credenciais do cliente.
  • Clique em Próximo.

  

• Clique em Ignorar e fazer mais tarde para ignorar a criação da política de camada web e clique em Concluir.

  

• Vá para a página Aplicativos integrados.

  • Observe que o aplicativo de integração Resource_App é criado.
  • Selecione o aplicativo de integração Resource_App.
  • Clique no menu suspenso Ações.
  • Clique em Ativar.

  

• Clique em Ativar aplicativo.

  

• Clique no aplicativo de integração Resource_App.

  

• Role para baixo.

  

• Copie o ID do Cliente e armazene-o em um bloco de notas. Clique em Mostrar segredo para mostrar o Segredo do cliente.

  

• Clique em Copiar para copiar o Segredo do cliente e armazená-lo em um bloco de notas. Clique em Fechar.

  

• Clique em Adicionar aplicativo.

  

• Selecione Aplicativo Confidencial e clique em Iniciar workflow.

  

• Informe o Nome da aplicação (Client_App) e clique em Avançar.

  

• Em Configuração do Resource Server, selecione Ignorar para mais tarde.

• Em Configuração do cliente, insira as informações a seguir.

  • Selecione Configurar este aplicativo como cliente agora.
  • Selecione Credenciais do cliente.
  • Role para baixo.

  

• Em Adicionar Escopo, especifique as informações a seguir.

  • Selecione Adicionar recursos.
  • Selecione Adicionar escopos.
  • Em Escopo, digite Resource_App.
  • Clique em Adicionar.

  

• Observe o recurso adicionado Resource_App e clique em Próximo.

  

• Clique em Ignorar e fazer mais tarde para ignorar a criação da política de camada web e clique em Concluir.

  

• Vá para a página Aplicativos integrados.

  • Observe que o aplicativo de integração Client_App é criado.
  • Selecione o aplicativo de integração Client_App.
  • Clique no menu suspenso Ações.
  • Clique em Ativar.

  

• Clique em Ativar aplicativo.

  

• Clique no aplicativo de integração Client_App.

  

• Role para baixo.

  

• Copie o ID do Cliente e armazene-o em um bloco de notas. Clique em Mostrar segredo para mostrar o Segredo do cliente.

  

• Clique em Copiar para copiar o Segredo do cliente e armazená-lo em um bloco de notas. Clique em Fechar.

  

Observação:

• Você coletou os IDs de cliente Resource_App e Client_App e os segredos do cliente.
• Não misture esses dois e configure-os nos locais apropriados.

Tarefa 9: Coletar o URL do Domínio de Identidades do OCI

Para ativar a comunicação baseada em OAuth entre o OCI e o Thales CipherTrust Manager, você precisa fornecer o URL do Domínio de Identidades durante a configuração do provedor de identidades no Thales CipherTrust Manager.

• Vá até a Console do OCI, navegue até Identity & Security e clique em Domínios.

  

• Selecione o Domínio de Identidades em que seus aplicativos confidenciais foram criados.

  

• Na página de detalhes do domínio, clique em Copiar para copiar o URL do Domínio e armazená-lo em um bloco de notas.

  

Tarefa 10: Criar Provedores de Identidade no Gerenciador Thales CipherTrust

Nesta tarefa, você configurará o Provedor de Identidades no Gerenciador Thales CipherTrust. Essa configuração permite que o Thales CipherTrust Manager se autentique com o OCI usando as credenciais OAuth 2.0 criadas na Tarefa 3.

A imagem a seguir ilustra os componentes e a configuração definida nesta tarefa.

• No Gerenciador Thales CipherTrust, vá para CTM1 no AMS e clique em Produtos e Gerenciador de Chaves em Nuvem.

  

• Clique em KMS Containers, Oracle Vaults, selecione Vaults Externos e clique em Adicionar Provedor de Identidades.

  

• Em Adicionar Provedor de Identidades, especifique as informações a seguir e clique em Adicionar.

  • Digite Nome (OCI).
  • Selecione OpenID URL de Configuração como o Verificador do Provedor.
  • Informe o OpenID URL de Configuração, o URL do domínio copiado na Tarefa 3.
    • Adicione o seguinte sufixo ao URL: .well-known/openid-configuration. Portanto, o URL de Configuração OpenID completo será: https://idcs-<xxx>.identity.oraclecloud.com:443/.well-known/openid-configuration.
  • Selecione URL Protegido jwks.
  • Informe o ID do Cliente e o Segredo do Cliente do aplicativo integrado Resource_App.

  

• Observe que o Provedor de Identidades é criado.

  

Tarefa 11: Adicionar Tenancies do OCI no Gerenciador do Thales CipherTrust

Após configurar o provedor de identidades no Thales CipherTrust Manager, a próxima tarefa será registrar sua tenancy do OCI. Isso permite que o Thales CipherTrust Manager gerencie vaults e chaves externos em nome do seu ambiente OCI usando as credenciais OAuth configuradas anteriormente.

A imagem a seguir ilustra os componentes e a configuração definida nesta tarefa.

• Primeiro, devemos obter o nome e o OCID do tenant no OCI. Clique no seu perfil no canto superior direito e clique em Tenancy.

  

• Copie o nome do tenant e o OCID do tenant e armazene ambos em um bloco de notas.

  

• Vá para a Console do Thales Cloud Key Manager.

  • Clique em Contêineres KMS.
  • Clique em Oracle Vaults.
  • Clique em Tenancy.
  • Clique em Adicionar Tenancy.

  

• Em Adicionar tenancy, digite as informações a seguir.

  • Selecione Tenancy da Oracle (sem conexão) como método.
  • Digite o Nome da tenancy coletada do OCI.
  • Digite o OCID da Tenancy coletado do OCI.
  • Clique em Adicionar.

  

• Observe que o tenant do OCI é adicionado ao Thales CipherTrust Manager.

  

Tarefa 12: Criar um Ponto Final Privado para o Serviço External Key Manager no OCI

Para conectar com segurança o OCI ao Thales CipherTrust Manager sem expor o tráfego à internet pública, você deve criar um Ponto Final Privado para o OCI External Key Management Service.

Isso garante que toda a comunicação entre o OCI e o Thales CipherTrust Manager aconteça em um caminho de rede privado e controlado.

Verifique se os seguintes pré-requisitos foram atendidos:

• O Thales CipherTrust Manager deve estar acessível pelo OCI por meio da sua configuração de rede privada. Por exemplo, através da VPN.
• Certifique-se de que a sub-rede tenha regras de roteamento e segurança que permitam o tráfego para a instância do Thales CipherTrust Manager.

A imagem a seguir ilustra os componentes e a configuração definida nesta tarefa.

• Na Console do OCI, navegue até Identidade e Segurança e clique em Pontos Finais Privados.

  

• Vá para Pontos Finais Privados e clique em Criar Ponto Final Privado.

  

• Em Criar Ponto Final Privado, especifique as informações a seguir.

  • Informe o Nome do ponto final privado (Private-Endpoint-For-Vault).
  • Selecione uma VCN e uma Sub-rede em que esse ponto final privado precisa estar.
  • Digite Endereço IP privado do Gerenciador de Chaves Externas como 172.16.1.103 O endereço IP do Gateway de API.
  • Informe Porta como 443.
  • Faça upload do pacote de CAs do External Key Management e clique em Procurar.

  

• Selecionamos o certificado de cadeia completa que foi criado neste tutorial: Configure Two Thales CipherTrust Cloud Key Manager Appliances no OCI, Create a Cluster between them e Configure One as a Certificate Authority, mas você também pode selecionar apenas o certificado raiz da CA. Clique em Abrir.

  

• Certifique-se de que o certificado, a CA raiz ou os certificados de cadeia completa do Gerenciador CipherTrust do Thales estejam selecionados. Clique em Criar.

  

• Observe que o Ponto Final Privado é criado. Agora, clique no ponto final privado.

  

• Observe que o endereço IP do ponto final privado está configurado.

  

Tarefa 13: Adicionar Vaults Externos no Thales CipherTrust Manager

Com a tenancy do OCI e o ponto final privado em vigor, a próxima tarefa é adicionar um External Vault no Thales CipherTrust Manager. Um vault externo no Thales CipherTrust Manager é um contêiner lógico que é mapeado para o vault de gerenciamento de chaves externo na OCI, permitindo que o Thales CipherTrust Manager gerencie chaves usadas para criptografia HYOK.

A imagem a seguir ilustra os componentes e a configuração definida nesta tarefa.

• Vá para a Console do Gerenciador de Chaves do Thales Cloud.

  • Clique em Contêineres KMS.
  • Clique em Oracle Vaults.
  • Selecione Vaults Externos.
  • Clique em Adicionar Vault Externo.

  

• Em Adicionar Vault Externo, especifique as informações a seguir.

  • Digite Nome (OCI).
  • Selecione Oracle Tenancy (sem conexão) como Métodos.
  • Selecione a Tenancy criada na Tarefa 5.
  • Selecione o Emissor, o provedor de identidades criado na Tarefa 4.
  • Role para baixo.

  

  • Informe o ID do Cliente do aplicativo integrado Client_App.
  • Informe o Nome do Host do URL do Ponto Final como 172.16.1.103, o endereço IP do Gateway de API.
  • Informe Porta como 443.
  • Clique em Adicionar.

  

• Observe que o vault externo está configurado. Copie o URL do vault externo e armazene-o em um bloco de notas.

  

Depois de configurado, esse vault se torna o local de destino para armazenar chaves externas às quais os serviços do OCI farão referência. Ele conecta seu ambiente OCI e as chaves gerenciadas por CipherTrust, permitindo o controle completo das operações de criptografia em um modelo HYOK.

Tarefa 14: Criar um Vault do Serviço OCI External Key Management

Agora que o vault externo foi definido no Gerenciador CipherTrust do Thales, a próxima tarefa é criar um External Key Management Vault correspondente na Console do OCI.

Este vault do OCI será vinculado ao Gerenciador CipherTrust do Thales e usado pelos serviços do OCI para executar operações de criptografia e decriptografia usando chaves externas.

A imagem a seguir ilustra os componentes e a configuração definida nesta tarefa.

• Recupere o URL do Domínio da Tarefa 9. Você precisará dele para configurar o vault de chaves externas no OCI.

  

• Na Console do OCI, vá para Identidade e Segurança e clique em Gerenciamento de Chaves Externas.

  

• Clique em Criar Vault.

  

• Em Criar Vault, especifique as informações a seguir.

  • Digite Nome (OCI_EKMS_Vault).
  • Digite o URL do Nome da Conta do IDCS, o URL do domínio copiado da Tarefa 7. O URL completo será: https://idcs-<xxx>.identity.oraclecloud.com:443/.
  • Informe o ID do Cliente e o Segredo do Aplicativo Cliente do aplicativo integrado Client_App.
  • Role para baixo.

  

  • Selecione o Ponto Final Privado criado na Tarefa 6.
  • Informe o URL do vault externo copiado da Tarefa 7 quando criamos o vault externo no CTM1.
  • Clique em Criar Vault.

  

• Observe que o vault foi criado. Agora, clique no vault.

  

• Verifique os Detalhes do Vault.

  

O OCI agora se conectará ao seu Thales CipherTrust Manager usando o ponto final privado especificado. Quando esse vault está ativo, ele se torna a interface por meio da qual o OCI interage com chaves externas gerenciadas pelo CCKM, permitindo o suporte ao HYOK para serviços do OCI, como OCI Object Storage, OCI Block Volumes e muito mais. Posteriormente, realizaremos alguns testes com o OCI Object Storage.

Tarefa 15: Adicionar Chaves Externas no Gerenciador Thales CipherTrust

Com o vault externo configurado no Thales CipherTrust Manager e vinculado ao OCI, a próxima tarefa é criar ou importar as chaves de criptografia externas que o OCI usará para serviços habilitados para HYOK.

Essas chaves residem com segurança no Thales CipherTrust Manager e são referenciadas pelo OCI por meio da interface de gerenciamento de chaves externas. Dependendo de seus requisitos organizacionais, você pode gerar uma nova chave diretamente no Thales CipherTrust Manager ou importar uma existente.

A imagem a seguir ilustra os componentes e a configuração definida nesta tarefa.

• Vá para a Console do Thales Cloud Key Manager.

  • Clique em Chaves da Nuvem.
  • Clique em Oracle.
  • Clique em Adicionar Chave.

  

• Em Adicionar Chave Oracle, especifique as informações a seguir.

  • Selecione Oracle External (HYOK).
  • Selecione o Vault do Gerenciador CipherTrust do Thales criado na Tarefa 8.
  • Selecione a Origem para ser CipherTrust (Local).
  • Clique em Próximo.

  

• Em Chave de Origem. especifique as informações a seguir.

  • Selecione o Material de Chave de Origem para ser Criar Nova Chave.
  • Informe o Nome da chave (CM_Key).
  • Clique em Próximo.

  

• Em Configurar Chave Oracle, especifique as informações a seguir.

  • Informe o Nome da Chave Oracle (CM_Key).
  • Clique em Próximo.

  

• Clique em Adicionar Chave.

  

• Clique em Fechar.

  

• Observe a chave criada.

  

Depois de adicionada, a chave se torna disponível para o OCI por meio do vault de gerenciamento de chaves externo. No entanto, para permitir que os serviços do OCI usem a chave, você deve criar uma referência de chave na Console do OCI, que abordaremos na próxima tarefa.

Observação:

• Essas chaves nunca saem do Gerenciador Thales CipherTrust.
• A OCI só envia solicitações de criptografia/descriptografia para o gerenciador de chaves externo, garantindo que você sempre mantenha controle total sobre o material da chave.

Tarefa 16: Criar Referências Principais no OCI

Depois que a chave externa for criada ou importada para o Gerenciador CipherTrust do Thales, a próxima tarefa será criar uma referência de chave na Console do OCI. Uma referência de chave atua como um ponteiro que permite que os serviços do OCI acessem e usem a chave externa armazenada no Gerenciador Thales CipherTrust por meio do vault de gerenciamento de chaves externo.

A imagem a seguir ilustra os componentes e a configuração definida nesta tarefa.

• Vá para a Console do Thales Cloud Key Manager.

  • Clique em Chaves da Nuvem.
  • Clique em Oracle.
  • Clique em Chave criada na Tarefa 15.

  

• Observe que a chave terá um ID de Chave Externa, copie esse ID.

  

• Retorne ao vault no OCI criado na Tarefa 9 e clique no vault.

  

• Role para baixo.

  

• Clique em Criar Referência de Chave.

  

• Em Criar Referência de Chave, especifique as informações a seguir.

  • Digite Nome (OCI_Key_Reference).
  • Informe a chave copiada ID da Chave Externa (Gerente CipherTrust de Vendas).
  • Clique em Criar Referência de Chave.

  

• Observe que a referência de chave foi criada.

  

A OCI agora associará essa referência de chave à chave externa gerenciada no Thales CipherTrust Manager. Isso permite que serviços do OCI, como OCI Object Storage, OCI Block Volumes e outros, enviem solicitações criptográficas para a chave externa pelo ponto final privado. Em contraste, o material chave em si permanece inteiramente sob seu controle.

Testaremos a referência de chave imediatamente anexando-a a um bucket do OCI Object Storage para verificar se a integração está funcionando conforme esperado.

Tarefa 17: Criar um Bucket do OCI Object Storage com Chaves Gerenciadas pelo Cliente

Você pode criptografar recursos usando a chave externa referenciada no OCI. Nesta tarefa, criaremos um bucket do OCI Object Storage que usa a chave externa gerenciada pelo cliente hospedada no Gerenciador CipherTrust do Thales por meio do vault de gerenciamento de chaves externas.

Essa configuração garante que todos os objetos armazenados no bucket sejam criptografados usando uma chave que você controla totalmente, atendendo a requisitos rigorosos de conformidade, soberania ou política interna.

A imagem a seguir ilustra os componentes e a configuração definida nesta tarefa.

• Vá para a Console do OCI, navegue até Storage e clique em Buckets.

  

• Clique em Criar Bucket.

  

• Em Criar Bucket, especifique as informações a seguir.

  • Digite Nome (OCI_EKMS_Test_Bucket).
  • Role para baixo.

  

  • Em Criptografia, selecione Criptografar usando chaves gerenciadas pelo cliente.
  • No serviço Vault, selecione o External Key Management Vault criado na Tarefa 8.
  • Em Chave, selecione a referência de chave criada na Tarefa 16.
  • Clique em Criar.

  

• Observe que o bucket é criado. Clique no bucket.

  

• Você pode rolar para baixo para carregar arquivos ou deixá-los vazios.

  

• Navegue até a tela inicial da Console do OCI ou de qualquer outra página.

  

Depois que o bucket for criado, todos os dados armazenados nele serão criptografados usando a chave externa gerenciada pelo Thales CipherTrust Manager. Isso garante que a OCI dependa de sua infraestrutura de chave para acesso e controle, permitindo recursos completos de Hold Your Own Key (HYOK).

Suponha que a chave externa fique indisponível (por exemplo, desativada ou bloqueada no Gerenciador CipherTrust do Thales). Nesse caso, o acesso ao bucket e seu conteúdo será negado, oferecendo um poderoso ponto de controle para sua postura de segurança de dados. Isso é algo que vamos testar na próxima tarefa.

Tarefa 18: Bloquear e Desbloquear Chaves Oracle e Testar a Acessibilidade do Bucket do OCI Object Storage no Thales CipherTrust Manager e na OCI

Um dos principais benefícios do modelo Hold Your Own Key (HYOK) é a capacidade de manter controle operacional completo sobre suas chaves de criptografia, incluindo a capacidade de bloqueá-las ou desbloqueá-las a qualquer momento. Esta seção demonstra como usar o Thales CipherTrust Manager para controlar o acesso a um bucket de armazenamento de objetos gerenciado pela Oracle bloqueando ou desbloqueando a chave externa.

O bloqueio de uma chave restringe efetivamente o acesso a qualquer recurso do OCI criptografado com essa chave sem excluir a chave ou os dados. O desbloqueio restaura o acesso.

• Vá para a Console do Thales Cloud Key Manager.

  • Clique em Chaves da Nuvem.
  • Clique em Oracle.
  • Clique nos três pontos no final da Chave.
  • Selecione Bloquear.

  

• Selecione Bloquear.

  

• Observe que a chave agora está Bloqueada no Gerenciador CipherTrust do Thales.

  

• Vá para a Console do OCI, navegue até Armazenamento e clique em Buckets.

  

• Clique no bloco criado na Tarefa 17.

  

• Observe que agora você terá um erro e não poderá acessar o bucket ou qualquer arquivo submetido a upload no bucket.

  

Agora, vamos desbloquear a chave no Thales CipherTrust Manager novamente.

O diagrama abaixo ilustra os componentes e a configuração definida nesta tarefa.

• Vá para a Console do Thales Cloud Key Manager.

  • Clique em Chaves da Nuvem.
  • Clique em Oracle.
  • Clique nos três pontos no final da chave.
  • Selecione Desbloquear.

  

• Selecione Desbloquear.

  

• Observe que a chave agora está desbloqueada no Gerenciador Thales CipherTrust.

  

• Navegue de volta para a página Detalhes do Bucket ou atualize o browser se ainda estiver nessa página.

  

• Observe que você não pode acessar novamente o bucket do OCI Object Storage quando desbloqueado.

  

Esse recurso fornece um mecanismo avançado para resposta a emergências, conformidade regulatória e aplicação da soberania de dados, garantindo que você mantenha controle completo sobre quando e como seus dados estão acessíveis na OCI.

Próximas Etapas

Ao concluir este tutorial, você configurou com sucesso a solução OCI Hold Your Own Key usando a opção de integração do Thales CipherTrust Manager com o OCI API Gateway.

Você tem:

• Projetou e validou a arquitetura de rede de suporte.
• Implantou e configurou o OCI API Gateway com definições seguras de DNS e TLS.
• Confiança mútua estabelecida entre a OCI e o Thales CipherTrust Manager usando aplicativos confidenciais e provedores de identidade.
• Chaves externas gerenciadas pelo gerente Integrated Thales CipherTrust com o OCI Vault e testaram o controle de acesso por meio de bloqueio e desbloqueio de chaves.

O uso de um Gateway de API da OCI nesta configuração fornece um ponto de integração seguro e escalável que impõe autenticação, aumenta a observabilidade e abstrai seu gerente de chaves por trás de uma interface controlada garantindo conformidade, controle e flexibilidade.

Essa arquitetura posiciona sua organização para atender aos rigorosos requisitos de soberania, conformidade e regulamentação de dados, garantindo que as chaves de criptografia nunca sejam armazenadas ou gerenciadas na OCI, mas ainda estejam disponíveis para operações seguras quando necessário.

Agora você está equipado com um plano de produção pronto para permitir o gerenciamento de chaves externas na OCI com propriedade total, visibilidade e controle sobre seus ativos criptográficos.

Links Relacionados

• Criando uma Zona de DNS Privada

• Criando uma View Privada

• Adicionando um Registro a uma Zona de DNS

• Criando um Aplicativo de Recurso Confidencial

• Associando um Aplicativo Cliente Confidencial

• Obtendo Detalhes de um Domínio de Identidades

• Importando um Certificado

• Criando um Bundle de CAs

• Criando um CSR na Console

• Assinando uma Solicitação de Certificado com uma CA Local

• Criando um Gateway de API

• Criar uma VCN a Ser Usada com o Serviço API Gateway, Se Já Não Existir Uma

Confirmações

• Autor - Iwan Hoogendoorn (Cloud Networking Black Belt)

Mais Recursos de Aprendizado

Explore outros laboratórios em docs.oracle.com/learn ou acesse mais conteúdo de aprendizado gratuito no canal do Oracle Learning YouTube. Além disso, acesse education.oracle.com/learning-explorer para se tornar um Oracle Learning Explorer.

Para obter a documentação do produto, visite o Oracle Help Center.

---

Título e Informações de Copyright

Set up an OCI Hold Your Own Key using Thales CipherTrust Manager with OCI API Gateway

G38194-03

Copyright ©2025, Oracle and/or its affiliates.