Key Management

Entenda os conceitos de Vault e gerenciamento de chaves para acessar e gerenciar Vault, chaves e Segredos.

Vaults

Vaults são entidades lógicas nas quais o serviço Vault cria e armazena chaves e segredos do vault de forma durável. O tipo de vault que você tem determina recursos e funcionalidades, como graus de isolamento de armazenamento, acesso ao gerenciamento e criptografia, escalabilidade e capacidade de backup. O tipo de vault que você tem também afeta a precificação. Você não pode alterar o tipo de um vault depois de criá-lo.

O serviço Vault oferece diferentes tipos de vault para acomodar as necessidades e o orçamento da sua organização. Todos os tipos de vault garantem a segurança e a integridade das chaves de criptografia e dos segredos que os vaults armazenam. Um vault privado virtual é uma partição isolada em um HSM (hardware security module). Caso contrário, os Vaults compartilham partições no HSM com outros vaults.

Os vault privados virtuais incluem versões de chave 1000 por padrão. Se você não precisar do maior grau de isolamento ou da capacidade de fazer backup do vault, não precisará de um vault privado virtual. Sem um vault privado virtual, você pode gerenciar custos pagando pelas versões da chave individualmente, conforme necessário. (As versões das chaves contam para o limite de chave e custos. Uma chave de vault sempre contém pelo menos uma versão de chave ativa. Da mesma forma, um segredo sempre tem pelo menos uma versão de segredo. No entanto, os limites de segredos se aplicam à tenancy e não a um vault.)

Para clientes que têm conformidade regulatória para armazenar chaves fora da nuvem da Oracle ou de qualquer local de nuvem de terceiros, o OCI KMS agora oferece uma funcionalidade chamada External Key Management Service (KMS Externo). No KMS Externo, você pode armazenar e controlar chaves mestras de criptografia (como chaves externas) em um sistema de gerenciamento de chaves de terceiros hospedado fora do OCI. Em seguida, você pode usar essas chaves para criptografar seus dados no Oracle. Você também pode desativar suas chaves a qualquer momento. Com as chaves reais que residem no sistema de gerenciamento de chaves de terceiros, você cria apenas referências de chave (associadas ao material de chave) no OCI.

O OCI KMS oferece o KMS Dedicado, que é um recurso de partição HSM de locatário único, altamente disponível e gerenciado pelo cliente como serviço. Ele permite que você tenha maior controle possuindo a partição HSM e chaves criptografadas, bem como os usuários na partição. Em uma configuração do KMS Dedicado, o Cluster do HSM vem com três partições do HSM por padrão, que são sincronizadas automaticamente. Você pode gerenciar chaves e usuários nos HSMs integrados às instâncias de computação do OCI por meio de utilitários do Cliente e bibliotecas PKCS #11. O KMS dedicado suporta apenas chaves protegidas por HSM e não suporta chaves protegidas por Software. Para operações criptográficas, a solução suporta criptografia simétrica e assimétrica usando algoritmos AES, RSA e ECDSA.

Os vault privados virtuais incluem versões de chave 1000 por padrão. Se você não precisar do maior grau de isolamento ou da capacidade de fazer backup do vault, não precisará de um vault privado virtual. Sem um vault privado virtual, você pode gerenciar custos pagando por versões de chave individualmente, conforme necessário. (As versões das chaves contam para o limite de chave e custos. Uma chave de vault sempre contém pelo menos uma versão de chave ativa. Da mesma forma, um segredo sempre tem pelo menos uma versão de segredo. No entanto, os limites de segredos se aplicam à tenancy e não a um vault.)

O serviço Vault designa vaults como um recurso do Oracle Cloud Infrastructure.

Chaves

Chaves são entidades lógicas que representam uma ou mais versões de chaves, cada uma contendo material criptográfico. O material criptográfico de uma chave de vault é gerado para um algoritmo específico que permite usar a chave para criptografia ou assinatura digital. Quando usado para criptografia, uma chave ou par de chaves criptografa e decriptografa dados, protegendo os dados onde eles estão armazenados ou enquanto os dados estão em trânsito. Com uma chave simétrica AES, a mesma chave criptografa e decriptografa dados. Com uma chave assimétrica RSA, a chave pública criptografa dados e a chave privada decriptografa dados.

Você pode usar chaves AES em criptografia e decriptografia, mas não na assinatura digital. No entanto, as chaves RSA podem ser usadas não apenas para criptografar e decriptografar dados, mas também para assinar dados digitalmente e verificar a autenticidade dos dados assinados. Você pode usar chaves ECDSA na assinatura digital, mas não para criptografar ou decriptografar dados.

Quando processada como parte de um algoritmo de criptografia, uma chave especifica como transformar texto sem formatação em texto cifrado durante a criptografia e como transformar texto cifrado em texto sem formatação durante a decriptografia. Quando processados como parte de um algoritmo de assinatura, juntos, a chave privada de uma chave assimétrica e uma mensagem produzem uma assinatura digital que acompanha a mensagem em trânsito. Quando processada como parte de um algoritmo de verificação de assinatura pelo destinatário da mensagem assinada, a mensagem, a assinatura e a chave pública da mesma chave assimétrica confirmam ou negam a autenticidade e a integridade da mensagem.

Conceitualmente, o serviço Vault reconhece três tipos de chaves de criptografia: chaves de criptografia mestras, chaves de encapsulamento e chaves de criptografia de dados.

Os algoritmos de criptografia que o serviço Vault suporta para chaves de criptografia mestras de vault incluem AES, RSA e ECDSA. Você pode criar chaves de criptografia mestras AES, RSA ou ECDSA usando a Console, a CLI ou a API. Quando você cria uma chave de criptografia mestra, o serviço Vault pode gerar o material da chave internamente ou pode importar o material da chave para o serviço de uma origem externa. (O suporte à importação de material da chave depende do algoritmo de criptografia do material da chave.) Quando você cria chaves de criptografia mestras do vault, as cria em um vault, mas o local em que uma chave é armazenada e processada depende de seu modo de proteção.

As chaves de criptografia mestras do Vault podem ter um dos dois modos de proteção: HSM ou software. Uma chave de criptografia mestra protegida por um HSM é armazenada em um HSM e não pode ser exportada do HSM. Todas as operações criptográficas que envolvem a chave também acontecem no HSM. Enquanto isso, uma chave de criptografia mestra protegida por software é armazenada em um servidor e, portanto, pode ser exportada do servidor para executar operações criptográficas no cliente em vez de no servidor. Enquanto estiver em repouso, a chave protegida por software é criptografada por uma chave raiz no HSM. Para uma chave protegida por software, qualquer processamento relacionado à chave acontece no servidor. O modo de proteção de uma chave afeta os preços e não pode ser alterado depois que você cria a chave.

Depois de criar sua primeira chave de criptografia mestra simétrica, você poderá usar a API para gerar chaves de criptografia de dados que o serviço Vault retornará a você. Alguns serviços também podem usar uma chave de criptografia mestra simétrica para gerar suas próprias chaves de criptografia de dados.

Um tipo de chave de criptografia que vem incluída em cada vault por padrão é uma chave de encapsulamento. Uma chave de encapsulamento é uma chave de criptografia assimétrica de 4096 bits baseada no algoritmo RSA. O par de chaves pública e privada não conta com os limites do serviço. Eles também não incorrem em custos de serviço. Use a chave pública como a chave de criptografia de chave quando precisar encapsular material de chave para importação para o serviço Vault. Não é possível criar, excluir ou rotacionar chaves de encapsulamento.

O serviço Vault reconhece as chaves de criptografia mestras como um recurso do Oracle Cloud Infrastructure.

Versões e Rotações de Chaves

Cada chave de criptografia mestra do vault recebe automaticamente uma versão de chave. Quando você rotaciona uma chave, o serviço Vault gera uma nova versão da chave. O serviço Vault pode gerar o material da chave para a nova versão da chave ou você pode importar seu próprio material da chave.

A rotação periódica de chaves limita o volume de dados criptografados ou assinados por uma versão de chave. Se uma chave for comprometida, a rotação da chave reduzirá o risco. Um identificador exclusivo designado pela Oracle, chamado OCID (Oracle Cloud ID), permanece o mesmo entre rotações, mas a versão da chave permite que o serviço Vault alterne as chaves de forma integrada para atender a quaisquer requisitos de conformidade que você possa ter.

Embora você não possa usar uma versão de chave mais antiga para criptografia após rotacionar uma chave, a versão da chave permanece disponível para decriptografar todos os dados criptografados anteriormente. Se você rotacionar uma chave assimétrica, a chave pública não poderá mais ser usada para criptografar dados, mas a chave privada permanecerá disponível para decriptografar dados criptografados anteriormente pela chave pública. Quando rotaciona uma chave assimétrica usada na assinatura digital, você não pode mais usar a versão da chave privada para assinar dados, mas a versão da chave pública permanece disponível para verificar a assinatura digital dos dados assinados anteriormente pela versão da chave privada mais antiga.

Para chaves simétricas, você não precisa rastrear qual versão da chave foi usada para criptografar quais dados porque o texto de criptografia da chave contém as informações necessárias para o serviço para fins de decriptografia. No entanto, por meio de rotações de chaves assimétricas, você deve rastrear qual versão da chave foi usada para criptografar ou assinar quais dados. Com chaves assimétricas, o texto cifrado da chave não contém as informações necessárias para decriptografia ou verificação do serviço.

Com chaves simétricas AES, cada versão de chave conta como uma versão de chave ao calcular o uso dos limites de serviço. No entanto, com chaves assimétricas RSA e ECDSA, cada versão da chave conta como duas ao calcular o uso em relação aos limites de serviço porque uma chave assimétrica tem uma chave pública e uma chave privada. (As chaves assimétricas também são conhecidas como pares de chaves.)

Rotação Automática de Teclas

O OCI Key Management Service permite que você programe automaticamente a rotação de chaves. Uma programação de rotação define a frequência de rotação de uma chave de criptografia (no estado Ativado) e a data inicial da programação de rotação. Ao programar a rotação automática, você pode definir a programação de rotação de chaves que varia entre 60 e 365 dias. O KMS suporta a rotação automática de chaves para HSM e chaves de software, e isso é aplicável para chaves simétricas e assimétricas.

Observação

Este recurso está disponível somente para vaults privados.

As características salientes da rotação automática da chave são:

• Permite ativar ou atualizar programações de rotação automática de chaves para chaves.
• Capacidade de rastrear atividades automáticas de rotação de chaves, como status de rotação automática, atualização periódica de rotação de chaves, último status de rotação bem-sucedido ou próxima data inicial de rotação na granularidade de uma Chave.
• A capacidade de rotacionar chaves sob demanda (operação manual), independentemente da rotação automática de chaves, está ativada ou desativada.
• Envie notificação de evento quando a rotação de chaves falhar por causa de problemas como limitação de capacidade do tenant, chave ou vault em estado incorreto e assim por diante.

Notificação de evento de rotação automática: o KMS envia notificação de status de rotação de ley automático. Para receber essas notificações, configure o serviço OCI Events. Após cada rodízio de chaves, o KMS envia uma notificação sobre o status de rodízio e as mensagens de erro, se houver. O serviço OCI Events permite que você anexe uma função Oracle para executar qualquer lógica personalizada para recriptografar dados com uma nova versão de chave seguida pela exclusão da versão de chave antiga ou distribuição da parte pública de chaves assimétricas para assinatura ou verificação de dados.

MÓDULOS DE SEGURANÇA DE HARDWARE

Quando você cria uma chave de criptografia mestra simétrica AES com o modo de proteção definido como HSM, o serviço Vault armazena a versão da chave em um HSM (hardware security module) para fornecer uma camada de segurança física. (Quando você cria um segredo, as versões secretas são base64-encoded e criptografadas por uma chave de criptografia mestra, mas não são armazenadas no HSM.) Depois que você cria os recursos, o serviço mantém cópias de qualquer versão de chave ou versão secreta dentro da infraestrutura de serviço para fornecer resiliência contra falhas de hardware. As versões de chaves protegidas por HSM não são armazenadas em nenhum outro lugar e não podem ser exportadas de um HSM.

Quando você cria uma chave de criptografia mestra assimétrica RSA ou ECDSA com o modo de proteção definido como HSM, o serviço Vault armazena a chave privada em um HSM e não permite sua exportação do HSM. No entanto, você pode fazer download da chave pública.

O serviço Vault usa HSMs que atendem à certificação de segurança FIPS (Federal Information Processing Standards) 140-2 Nível de Segurança 3. Essa certificação significa que o hardware do HSM é inviolável, tem proteções físicas para resistência a adulteração, requer autenticação baseada em identidade e exclui chaves do dispositivo quando ele detecta adulteração.

CRIPTOGRAFIA DE ENVELOPE

A chave de criptografia de dados usada para criptografar seus dados é, em si, criptografada com uma chave de criptografia mestra. Este conceito é conhecido como criptografia de envelope. Os serviços do Oracle Cloud Infrastructure não têm acesso aos dados de texto sem formatação sem interagir com o serviço Vault e sem acesso à chave de criptografia mestra que é protegida pelo Oracle Cloud Infrastructure Identity and Access Management (IAM). Para fins de decriptografia, serviços integrados como Object Storage, Block Volume e File Storage armazenam apenas a forma criptografada da chave de criptografia de dados.

SEGREDOS

Segredos são credenciais como senhas, certificados, chaves SSH ou tokens de autenticação que você usa com os serviços do Oracle Cloud Infrastructure. O armazenamento de segredos em um vault oferece maior segurança do que você pode obter armazenando-os em outro local, como em arquivos de código ou de configuração. Você pode recuperar segredos do serviço Vault quando precisar deles para acessar recursos ou outros serviços.

Você pode criar segredos usando a Console, a CLI ou a API. O conteúdo de um segredo é importado de uma origem externa para o serviço. O serviço Vault armazena segredos em vaults.

O serviço Vault suporta segredos como um recurso do Oracle Cloud Infrastructure.

VERSÕES DE SEGREDO

Cada segredo recebe automaticamente uma versão de segredo. Ao rotacionar um segredo, você fornece um novo conteúdo de segredo para o serviço Vault a fim de gerar uma nova versão de segredo. A rotação periódica do conteúdo do segredo reduz o impacto no caso de um segredo ser exposto. Um identificador designado pelo sistema Oracle, exclusivo de um segredo, chamado OCID (Oracle Cloud ID), permanece o mesmo entre as rotações, mas a versão do segredo permite que o serviço Vault rotacione o conteúdo do segredo para atender a quaisquer regras ou requisitos de conformidade que você possa ter. Embora não seja possível usar o conteúdo de uma versão de segredo mais antiga depois de rotacioná-la, se você tiver uma regra configurada impedindo a reutilização do segredo, a versão do segredo permanecerá disponível e será marcada com um estado de rotação diferente de "atual". Para obter mais informações sobre versões de segredo e seus estados de rotação, consulte Versões de Segredo e Estados de Rotação.

PACOTES DE SEGREDO

Um pacote de segredos do vault consiste no conteúdo do segredo, nas propriedades da versão do segredo e do segredo (como número da versão ou estado de rotação) e nos metadados contextuais fornecidos pelo usuário para o segredo. Ao rotacionar um segredo, você cria uma nova versão de segredo que também inclui uma nova versão do pacote de segredos.

O serviço Vault está disponível em todas as regiões comerciais do Oracle Cloud Infrastructure. Consulte Sobre Regiões e Domínios de Disponibilidade para obter a lista de regiões disponíveis, junto com locais associados, identificadores de região, chaves de região e domínios de disponibilidade.

No entanto, ao contrário de alguns serviços do Oracle Cloud Infrastructure, o serviço Vault não tem um ponto final regional para todas as operações de API. O serviço tem um ponto final regional para o serviço de provisionamento que trata das operações de criação, atualização e lista para vaults. Para operações de criação, atualização e lista para chaves, os pontos finais de serviço são distribuídos entre vários clusters independentes. Os pontos finais de serviço de segredos são distribuídos ainda mais por diferentes clusters independentes.

Como o serviço Vault possui pontos finais públicos, você pode usar diretamente chaves de criptografia de dados geradas pelo serviço para operações criptográficas em seus aplicativos. No entanto, se você quiser usar chaves de criptografia mestras com um serviço que tenha sido integrado ao serviço Vault, só poderá fazer isso quando o serviço e o vault de chaves que contiver a chave existirem na mesma região. Existem diferentes pontos finais para operações de gerenciamento de chaves, operações criptográficas de chaves, operações de gerenciamento de segredos e operações de recuperação de segredo. Para obter mais informações, consulte a Documentação da API do Oracle Cloud Infrastructure

O serviço Vault mantém cópias de vaults e seu conteúdo para persisti-los de forma durável e para tornar possível que o serviço Vault produza chaves ou segredos mediante solicitação, mesmo quando um domínio de disponibilidade estiver indisponível. Essa replicação não depende de qualquer replicação entre regiões que um cliente possa configurar.

Para regiões com vários domínios de disponibilidade, o serviço Vault mantém cópias de chaves de criptografia em todos os domínios de disponibilidade dentro da região. As regiões com vários domínios de disponibilidade têm um rack para cada domínio de disponibilidade, o que significa que a replicação acontece em três racks totais nessas regiões, em que cada rack pertence a um domínio de disponibilidade diferente. Em regiões com um único domínio de disponibilidade, o serviço Vault mantém cópias de chaves de criptografia entre domínios de falha.

Para segredos, em regiões com vários domínios de disponibilidade, o serviço Vault distribui cópias secretas entre dois domínios de disponibilidade diferentes. Em regiões com um único domínio de disponibilidade, o serviço Vault distribui as cópias entre dois domínios de falha diferentes.

Cada domínio de disponibilidade tem três domínios de falha. Os domínios de falha ajudam a fornecer alta disponibilidade e tolerância a falhas, tornando possível que o serviço Vault distribua recursos em diferentes hardwares físicos dentro de um determinado domínio de disponibilidade. O próprio hardware físico também tem fontes de alimentação independentes e redundantes que impedem uma interrupção de energia em um domínio de falha de afetar outros domínios de falha.

Tudo isso permite que o serviço Vault produza chaves e segredos mediante solicitação, mesmo quando um domínio de disponibilidade está indisponível em uma região com vários domínios de disponibilidade ou quando um domínio de falha está indisponível em uma região com um único domínio de disponibilidade.

O serviço Vault suporta acesso privado de recursos do Oracle Cloud Infrastructure em uma rede virtual na nuvem (VCN) por meio de um gateway de serviço. A configuração e o uso de um gateway de serviço em uma VCN permite que recursos (como as instâncias às quais seus volumes criptografados estão conectados) acessem serviços públicos do Oracle Cloud Infrastructure, como o serviço Vault sem expô-los à Internet pública. Nenhum gateway de internet é necessário, e os recursos podem estar em uma sub-rede privada e usar somente endereços IP privados. Para obter mais informações, consulte Acesso ao Oracle Services: Gateway de Serviço.

O serviço Vault suporta vaults, chaves e segredos como recursos do Oracle Cloud Infrastructure. A maioria dos tipos de recursos do Oracle Cloud Infrastructure tem um identificador exclusivo designado pelo sistema Oracle chamado OCID (Oracle Cloud ID). Para obter informações sobre o formato OCID e outras maneiras de identificar seus recursos, consulte Identificadores de Recursos., consulte Identificadores de Recursos.

Você pode acessar o Oracle Cloud Infrastructure digitando sua conta no Cloud.

Você pode acessar o Oracle Cloud Infrastructure (OCI) usando a Console (uma interface baseada em browser), a API REST ou a CLI do OCI. Instruções para usar a Console, API e CLI são incluídas em tópicos nesta documentação. Para ver uma lista de SDKs disponíveis, consulte Software Development Kits and Command Line Interface.

Para acessar a Console, use um browser suportado. Para acessar a página de acesso da Console, abra o menu de navegação na parte superior desta página e clique em Console de Infraestrutura. Você é solicitado a digitar seu tenant na nuvem, seu nome de usuário e sua senha.

Saiba a limitação do Serviço Vault e seu uso de recursos antes de começar a usá-los.

Para obter uma lista de limites aplicáveis e instruções para solicitação de um aumento de limite, consulte Limites do Serviço. Para definir limites específicos de compartimentos em um recurso ou família de recursos, os administradores podem usar cotas de compartimentos.

Para obter instruções sobre como exibir seu nível de uso em relação aos limites de recursos da locação, consulte Exibindo Limites de Serviço, Cotas e Uso. Você também pode obter o uso de cada vault individual em relação aos limites de chave, exibindo contagens de chave e de versão de chave nos detalhes do vault.