Externer Schlüsselverwaltungsservice
Mit Oracle Cloud Infrastructure External Key Management Service (EKMS) können Sie Verschlüsselungsschlüssel erstellen und verwalten, die außerhalb von OCI gehostet werden. EKMS lässt sich in unterstützte Schlüsselverwaltungssysteme von Drittanbietern integrieren, um kryptografische Vorgänge auszuführen, ohne Schlüsselmaterial in OCI zu importieren.
Der native Key Management Service (KMS) von OCI verwendet ein Hardwaresicherheitsmodul (HSM), das im Oracle Data Center gehostet wird, zum Speichern und Verwalten von Masterschlüsseln zur Verschlüsselung von Daten im Ruhezustand. Für eine verbesserte Datensicherheit und für Kunden, die regulatorische Compliance-Regeln haben, die das Speichern von Schlüsseln in einer Schlüsselverwaltungsplattform außerhalb von OCI erfordern, bietet KMS den External Key Management Service (External KMS), einen Service, der Ihren OCI-Mandanten mit einer Schlüsselverwaltungsplattform eines Drittanbieters integriert, die außerhalb von OCI gehostet wird.
In External KMS können Sie Masterverschlüsselungsschlüssel (als externe Schlüssel) im Schlüsselverwaltungssystem eines Drittanbieters speichern und steuern. Anschließend können Sie diese Schlüssel zum Verschlüsseln Ihrer Daten in Oracle verwenden. Sie können Ihre Schlüssel jederzeit deaktivieren. Da sich die tatsächlichen Schlüssel im Schlüsselverwaltungssystem eines Drittanbieters befinden, erstellen und speichern Sie nur Schlüsselreferenzen (Metadaten, die mit dem Schlüsselmaterial verknüpft sind) in OCI.
Vorteile
EKMS bietet folgende Vorteile:
- Schlüsselherkunft: Sie erstellen und verwalten die Verwendung extern erstellter Schlüssel in Ihrer externen Schlüsselverwaltungsplattform. Die externen Schlüssel werden niemals gecacht oder irgendwo in OCI gespeichert, und OCI KMS hat keine Kontrolle über Ihre Schlüssel. Stattdessen interagiert OCI KMS direkt mit dem Schlüsselverwaltungssystem eines Drittanbieters für kryptografische Vorgänge (Verschlüsseln und Entschlüsseln).
- Verbesserte Sicherheit: EKMS schützt Daten im Ruhezustand mit maximaler Sicherheit über ein Schlüsselverwaltungssystem eines Drittanbieters
- Zentralisierte Schlüsselverwaltung: Wenn Sie Ihre Schlüssel in einem Schlüsselverwaltungssystem eines Drittanbieters verwalten, können Sie Verschlüsselungsschlüssel an einem einzigen Ort verwalten, die Sie OCI und anderswo verwenden.
Anwendungsfälle
EKMS kann in folgenden Anwendungsfällen Teil der allgemeinen Datensicherheit sein:
- Banken und Organisationen des öffentlichen Sektors, die Compliance-Vorschriften haben, müssen möglicherweise Verschlüsselungsschlüssel On-Premises speichern, die physisch von in OCI gespeicherten Daten getrennt sind.
- Bankkunden, die Sicherheitsvorschriften haben, die verlangen, dass sie kryptografische Operationen in ihrem On-Premises-HSM durchführen, können EKMS verwenden, um diese Anforderung zu erfüllen.
- Kunden, die mehr als einen Cloud-Provider verwenden (z. B. Multicloud-Kunden von Oracle), benötigen möglicherweise Datenbanken in OCI, um eine Verbindung zu Verschlüsselungsservices herzustellen, die sich in einer anderen Cloud befinden. EKMS ermöglicht solche Integrationen.
Terminologie
Machen Sie sich mit den folgenden Terminologien vertraut, um die Funktionalität von External Key Management (EKMS) zu verstehen:
| Terminologie | Beschreibung |
|---|---|
| External Key Manager | Ein HSM, das Eigentum des Kunden ist und vom Kunden gehostet wird, oder eine Schlüsselverwaltungsplattform, die sich außerhalb von OCI befindet. Dies wird auch als Schlüsselverwaltungssystem eines Drittanbieters bezeichnet. |
| Externer Vault | Ein Vault, der im Schlüsselverwaltungssystem eines Drittanbieters erstellt wird und zum externen Speichern von Schlüsseln verwendet wird. |
| externen Schlüssel | Schlüssel, die im Schlüsselverwaltungssystem eines Drittanbieters erstellt wurden und mindestens eine externe Schlüsselversion enthalten. |
| Externe Schlüsselversionen | Jedem externen Schlüssel wird automatisch eine Schlüsselversion zugewiesen. Wenn Sie einen externen Schlüssel rotieren, generiert der externe Key Manager eine neue Schlüsselversion. |
| FastConnect | FastConnect ist eine Möglichkeit, eine private Verbindung zwischen dem Kundenstandort und Oracle Cloud Infrastructure (OCI) herzustellen. |
| Privater Endpunkt (PE) | Ein privater Endpunkt ist eine private IP-Adresse im VCN des Kunden, die für den Zugriff auf einen Service in OCI verwendet werden kann. |
| Datenverschlüsselungsschlüssel (DEK) | Ein Verschlüsselungsschlüssel, dessen Funktion das Verschlüsseln und Entschlüsseln von Daten ist. |
Unterstützte Services
Die externe Schlüsselverwaltung kann mit den folgenden OCI-Services verwendet werden:
| Service | Hinweise |
|---|---|
| Block-Volume | |
| Berechnen | Unterstützt die Boot-Volume-Verschlüsselung und die Verschlüsselung anderer in dieser Tabelle aufgelisteter Speichertypen. |
| Dateispeicher | |
| Kubernetes-Engine (OKE) | |
| Objektspeicher | |
| Oracle Autonomous Database auf dedizierter Exadata-Infrastruktur | |
| Oracle Autonomous Database Serverless | |
| Oracle Base Database | |
| Oracle Exadata Database Service on Dedicated Infrastructure | |
| Streaming |