Oracle Cloud Infrastructure-Dokumentation

Vom Kunden verwaltete Schlüssel für Oracle Break Glass

Sichern Sie Ihre Anwendungsumgebungen mit Oracle Break Glass und vom Kunden verwalteten Schlüsseln.

Standardmäßig sind Ihre Anwendungsumgebungen durch von Oracle verwaltete Verschlüsselungsschlüssel geschützt. Durch den Erwerb eines Abonnements, das den Oracle Break Glass-Service umfasst, erhalten Sie das vom Kunden verwaltete Schlüsselfeature, mit dem Sie die Verschlüsselungsschlüssel zum Schutz Ihrer Umgebungen bereitstellen und verwalten können. Sie können diese Option auch als Add-on-Abonnement erwerben.

Mit dem OCI Vault-Service können Sie Verschlüsselungsschlüssel erstellen und verwalten, um die im Ruhezustand gespeicherten Daten in Ihren Produktions- und Nicht-Produktionsumgebungen zu sichern. Sie können Schlüssel in Ihrer Umgebung entweder einrichten, während Sie die Umgebung erstellen, oder den Schlüssel zu einer vorhandenen Umgebung hinzufügen.

Best Practices für das Einrichten und Verwalten von Vaults und Schlüsseln

Es wird empfohlen, separate Vaults für Produktions- und Nicht-Produktionsumgebungen zu erstellen. Erstellen Sie im Nicht-Produktions-Vault separate Schlüssel für Ihre Test- und Entwicklungsumgebungen. Sie können beispielsweise Folgendes erstellen:

Umgebung Tresor Master-Schlüssel
Produktion my-production-vault my-production-key
Testen my-nonproduction-vault my-test-environment-key
Entwicklung Meine Entwicklung - Umwelt - Schlüssel

Vorteile separater Vaults für die Produktion und Nichtproduktion:

  • Die Verwaltung separater Vaults ermöglicht die unabhängige Rotation von Schlüsseln für Produktions- und Nicht-Produktionsumgebungen.
  • Die Anzahl der Schlüssel pro Vault ist begrenzt. Durch separate Vaults wird eine separate Anzahl für Produktion und Nichtproduktion bereitgestellt.

Sie können Ihre Schlüssellimits und die Nutzung prüfen, indem Sie die Seite "Limits, Quota und Nutzung" anzeigen, auf der die Ressourcenlimits, -Quotas und -auslastung für die jeweilige Region angezeigt werden, aufgeschlüsselt nach Service:

  1. Öffnen Sie in der Konsole das Navigationsmenü, und klicken Sie auf Governance und Administration. Klicken Sie unter Mandantenverwaltung auf Limits, Quota und Nutzung.
  2. Wählen Sie in der Liste Service die Option Schlüsselverwaltung aus.

    Prüfen Sie die Schlüssellimits für: Schlüsselversionsanzahl für virtuelle Vaults oder Softwareschlüsselversionsanzahl für virtuelle Vaults entsprechend dem ausgewählten Schlüsseltyp.

Setupaufgaben ausführen

Führen Sie diese Aufgaben aus, um Ihre Vaults und Schlüssel einzurichten und Ihren Mandanten auf die Verwendung vom Kunden verwalteter Schlüssel vorzubereiten.

Der Mandantenadministrator verfügt über die erforderlichen Berechtigungen, um alle erforderlichen Setupaufgaben auszuführen. Wenn Sie die Setupaufgaben für eine andere Rolle festlegen, stellen Sie sicher, dass sie über die entsprechenden Berechtigungen für die Arbeit mit Vaults und Schlüsseln verfügen. Siehe Referenz zu Berechtigungen.

In der folgenden Tabelle werden die Setupaufgaben zusammengefasst.

Aufgabe Erforderlich/Optional Weitere Informationen
1. Erstellen Sie Compartments für Ihre Vaults und Schlüssel. Optional Es ist eine Best Practice für die Sicherheit, separate Compartments für Sie Vaults und Schlüssel zu erstellen, um den Zugriff zu verfeinern.
2. Fügen Sie die System-Policy hinzu, damit vom Kunden verwaltete Schlüssel von der Anwendung verwendet werden können. Erforderlich Diese Policy muss hinzugefügt werden, bevor Sie den Vault und Schlüssel zu Ihrer Umgebung hinzufügen. Wenn diese Policy nicht hinzugefügt wird, schließt Ihre Umgebung das Provisioning nicht ab (wenn sie bei der Umgebungserstellung hinzugefügt wird), oder schließt die Arbeitsanforderung nicht ab (wenn sie einer vorhandenen Umgebung hinzugefügt wird).
3. Erstellen Sie die Vaults für Produktions- und Nicht-Produktionsumgebungen. Erforderlich Befolgen Sie die Vault-Serviceprozedur.
4. Erstellen Sie die Schlüssel für Produktions- und Nicht-Produktionsumgebungen. Erforderlich Befolgen Sie die Vault-Serviceprozedur.

1. Compartment für Vaults und Schlüssel erstellen (optional)

Auch wenn dies nicht erforderlich ist, können Sie durch das Einrichten eines dedizierten Compartments für Ihre Vaults und Schlüssel mehr Kontrolle darüber haben, wer Zugriff auf diese Ressourcen hat. Um vom Kunden verwaltete Schlüssel für Ihren Mandanten zu aktivieren, müssen Sie eine System-Policy (Aufgabe 2) erstellen, um den Zugriff auf die Vaults und Schlüssel durch von Oracle verwaltete Systeme zuzulassen. Indem Sie diese Ressourcen in Compartments platzieren, anstatt sie im Mandanten zu erstellen, können Sie Ihre Policy auf die wesentlichen Compartments beschränken. Weitere Informationen zu den Vorteilen von Compartments finden Sie unter Compartments.

Im Folgenden finden Sie abgekürzte Anweisungen zum Erstellen eines Compartments. Die vollständigen Details zur Verwaltung von Compartments finden Sie unter Compartments verwalten.

So erstellen Sie ein Compartment für Ihre Vaults und Schlüssel:

  1. Öffnen Sie das Navigationsmenü , und wählen Sie Identität und Sicherheit aus. Wählen Sie unter Identität die Option Compartments aus. Eine Liste der Compartments, auf die Sie zugreifen können, wird angezeigt.

  2. Klicken Sie auf Compartment erstellen.

  3. Geben Sie Folgendes ein:
    • Name: Ein eindeutiger Name für das Compartment (max. 100 Zeichen, einschließlich Buchstaben, Zahlen, Punkten, Bindestrichen und Unterstrichen). Der Name muss in allen Compartments in Ihrem Mandanten eindeutig sein. Geben Sie dabei keine vertraulichen Informationen ein. Zum Beispiel my-managed-keys.
    • Beschreibung: Eine benutzerfreundliche Beschreibung. Änderungen sind später bei Bedarf möglich.
    • Übergeordnetes Compartment: Das Compartment, in dem Sie sich befinden, wird angezeigt. Wenn Sie andere Compartments erstellt haben, können Sie ein anderes Compartment auswählen, in dem dieses Compartment erstellt werden soll.
    • Tags: Wenn Sie über Berechtigungen zum Erstellen von Ressourcen verfügen, sind Sie auch berechtigt: Freiformtags auf diese Ressource anzuwenden. Um ein definiertes Tag anzuwenden, müssen Sie über die Berechtigungen zum Verwenden des Tag-Namespace verfügen. Weitere Informationen zum Tagging finden Sie unter Ressourcentags. Wenn Sie nicht sicher sind, ob Tags angewendet werden sollen, überspringen Sie diese Option, oder fragen Sie einen Administrator. Sie können Tags später anwenden.
  4. Klicken Sie auf Compartment erstellen.

2. System-Policy hinzufügen, um vom Kunden verwaltete Schlüssel in Ihrem Mandanten zu aktivieren

Wichtig

Diese Policy muss hinzugefügt werden, bevor Sie den vom Kunden verwalteten Schlüssel zu Ihrer Umgebung hinzufügen. Wenn diese Policy nicht hinzugefügt wird, wird das Provisioning in Ihrer Umgebung nicht abgeschlossen (wenn es bei der Umgebungserstellung hinzugefügt wird), oder die Aktualisierung wird nicht abgeschlossen (wenn sie einer vorhandenen Umgebung hinzugefügt wird). Informationen zu den für Ihre Anwendung erforderlichen Policys finden Sie in Ihrer anwendungsspezifischen Dokumentation.

So erstellen Sie die Systemrichtlinie:

  1. Öffnen Sie das Navigationsmenü, und klicken Sie unter Infrastruktur auf Identität und Sicherheit, um das Menü einzublenden. Klicken Sie dann unter Identität auf Policys.
  2. Klicken Sie auf Policy erstellen.
  3. Geben Sie Folgendes ein:
    • Name: Ein eindeutiger Name für die Policy. Der Name muss in allen Policys in Ihrem Mandanten eindeutig sein. Änderungen sind später nicht möglich.
    • Beschreibung: Eine benutzerfreundliche Beschreibung. Änderungen sind später bei Bedarf möglich.
    • Compartment: Stellen Sie sicher, dass der Mandant (Root Compartment) ausgewählt ist.
  4. Aktivieren Sie im Policy Builder die Option Manuellen Editor anzeigen, um das Textfeld für Freiformtexteingaben anzuzeigen.
  5. Geben Sie die Policy-Anweisungen in der anwendungsspezifischen Dokumentation ein.
  6. Klicken Sie auf Erstellen.

3. Vaults für die Umgebungen erstellen

Befolgen Sie die Prozedur Erstellen eines Vaults in der Vault-Dokumentation. Wenn Sie Compartments erstellt haben, stellen Sie sicher, dass Sie die Vaults in dem Compartment erstellen, das Sie in der System-Policy angegeben haben.

Es wird empfohlen, 2 Vaults zu erstellen: eine für Ihre Produktionsumgebungsschlüssel und eine für Ihre Nicht-Produktionsumgebungsschlüssel.

4. Schlüssel erstellen

Befolgen Sie die Anweisungen unter Masterschlüsselungsschlüssel erstellen in der Vault-Dokumentation. Stellen Sie sicher, dass Sie die Schlüssel in dem Compartment erstellen, das Sie in der System-Policy angegeben haben.

Beim Erstellen von Schlüsseln für Anwendungen müssen Sie die folgenden Optionen auswählen:

  • Wählen Sie unter Schlüsselform: Algorithmus die Option AES (symmetrischer Schlüssel für Verschlüsseln und Entschlüsseln) aus (Sie müssen diese Option für vom Kunden verwaltete Anwendungen auswählen).
  • Wählen Sie unter Schlüsselform: Länge die Option 256 Bit aus.

Es wird empfohlen, einen Schlüssel im Production Vault für Ihre Produktionsumgebung und einen Schlüssel für jede Nicht-Produktionsumgebung in Ihrem Nicht-Produktions-Vault zu erstellen.

Vom Kunden verwalteten Schlüssel zu Umgebungen hinzufügen

Sie können den vom Kunden verwalteten Schlüssel entweder während der Umgebungserstellung oder nach der bereits erstellten Umgebung hinzufügen.

Vom Kunden verwalteten Schlüssel beim Erstellen der Umgebung hinzufügen

Dieses Verfahren umfasst nur die Schritte zum Aktivieren des vom Kunden verwalteten Schlüssels. Eine vollständige Prozedur zum Erstellen einer Umgebung finden Sie unter So erstellen Sie eine Umgebung.

Gehen Sie auf der Seite zum Erstellen der Umgebung wie folgt vor:

  1. Klicken Sie auf Erweiterte Optionen anzeigen.
  2. Klicken Sie auf die Registerkarte Verschlüsselung.

  3. Wählen Sie die Option Mit vom Kunden verwaltetem Schlüssel verschlüsseln aus.

    Wenn diese Option nicht angezeigt wird, prüfen Sie, ob das Abonnement dem Mandanten hinzugefügt wurde.

  4. Wählen Sie den Vault aus. Wenn sich der Vault nicht in demselben Compartment befindet, in dem Sie die Umgebung erstellen, müssen Sie auf Compartment ändern klicken und das entsprechende Compartment auswählen.
  5. Wählen Sie den Schlüssel. Wenn sich der Schlüssel nicht in demselben Compartment befindet, in dem Sie die Umgebung erstellen, müssen Sie auf Compartment ändern klicken und das entsprechende Compartment auswählen. Nur AES-256-Bit-Schlüssel werden angezeigt.

Nachdem Sie alle Schritte zum Einrichten der Umgebung ausgeführt haben, beginnt der Provisioning-Prozess. Durch Hinzufügen des vom Kunden verwalteten Schlüssels wird dem Provisioning-Prozess Zeit hinzugefügt.

Vom Kunden verwalteten Schlüssel für eine vorhandene Umgebung hinzufügen

So aktivieren Sie einen vom Kunden verwalteten Schlüssel für eine vorhandene Umgebung:

  1. Wählen Sie auf der Listenseite Umgebungen die Umgebung aus, mit der Sie arbeiten möchten. Wenn Sie Hilfe beim Suchen der Listenseite benötigen, finden Sie weitere Informationen unter So listen Sie Umgebungen auf.

  2. Klicken Sie auf der Seite "Umgebungsdetails" auf die Registerkarte Verschlüsselung.
  3. Standardmäßig ist der Typ "Von Oracle verwaltet" ausgewählt. Klicken Sie auf Verwalten, um den Vault und den Schlüssel hinzuzufügen.

    Wenn die Option Verwalten nicht angezeigt wird, haben Sie die Option nicht erworben, oder das Abonnement für vom Kunden verwaltete Schlüssel wurde dem Mandanten nicht hinzugefügt.

  4. Wählen Sie die Option Mit vom Kunden verwaltetem Schlüssel verschlüsseln aus.

  5. Wählen Sie den Vault aus. Wenn sich der Vault nicht in demselben Compartment befindet, in dem Sie die Umgebung erstellen, müssen Sie auf Compartment ändern klicken und das entsprechende Compartment auswählen.
  6. Wählen Sie den Schlüssel. Wenn sich der Schlüssel nicht in demselben Compartment befindet, in dem Sie die Umgebung erstellen, müssen Sie auf Compartment ändern klicken und das entsprechende Compartment auswählen. Nur AES-256-Bit-Schlüssel werden angezeigt.
  7. Klicken Sie auf Änderungen speichern.

Die Planung der Verschlüsselung Ihrer Umgebung hängt von der Anwendung ab. Bei einigen Anwendungen wird eine Arbeitsanforderung sofort weitergeleitet. Sie können die Arbeitsanforderung überwachen, um den Fortschritt der Verschlüsselung zu verfolgen. Ihre Umgebung ist während des Updates nicht verfügbar. Bei anderen Anwendungen wird die Verschlüsselung im nächsten Wartungszyklus oder im nächsten Patchupdate durchgeführt. Bis zur Wartung bleibt die Umgebung mit dem von Oracle verwalteten Schlüssel verschlüsselt.

Schlüsselstatus und -details anzeigen

So zeigen Sie Schlüsselstatus und -details an:

  1. Navigieren Sie zur Umgebung: Klicken Sie im Anwendungs-Home der Konsole auf Ihren Anwendungsnamen. Klicken Sie auf der Seite Überblick auf den Umgebungsnamen.
  2. Klicken Sie auf der Seite "Umgebungsdetails" auf die Registerkarte Verschlüsselung.

  3. Die Details des Schlüssels werden angezeigt.

Sie können auf die Vault- und Schlüsselnamen klicken, um zu diesen Ressourcen zu navigieren. im Vault-Service.

Schlüssel rotieren

Sie rotieren Schlüssel basierend auf den Sicherheitspraktiken Ihres Unternehmens. Sie können einen CLI-Job so einrichten, dass die Schlüssel automatisch rotiert werden, oder der angegebene Sicherheitsadministrator kann sie manuell über die Konsolen-UI des Vault-Service rotieren. Weitere Informationen zu Schlüsselversionen finden Sie unter Konzepte der Schlüssel- und Secret-Verwaltung.

So drehen Sie einen Schlüssel

Befolgen Sie die Prozedur Rotieren eines Vault-Schlüssels in der Vault-Dokumentation.

Hinweis

Je nach Anwendung müssen möglicherweise weitere Schritte ausgeführt werden. Prüfen Sie die nächsten Schritte für das Rotationsverfahren in der anwendungsspezifischen Dokumentation.

Schlüssel deaktivieren und aktivieren

Wenn Sie den Anwendungsservice herunterfahren und auf die Anwendungsdatenbank zugreifen möchten, können Sie den Schlüssel deaktivieren, um sofort alle Benutzer aus dem System zu erzwingen.

Warnung

Wenn Sie einen Schlüssel deaktivieren, gehen möglicherweise Daten verloren. Wenn der Schlüssel deaktiviert ist, versucht Oracle proaktiv, die Umgebung herunterzufahren, um die Wahrscheinlichkeit von Ausfällen zu minimieren, während die Umgebung verwendet wird. Sobald der Schlüssel deaktiviert wurde, kann die Umgebung jedoch erst wieder neu gestartet werden, nachdem sie wieder aktiviert wurde. Während der Schlüssel deaktiviert bleibt, kann kein Cloud-Service für Anwendungen auf zuvor gespeicherte Kundendaten zugreifen.
Hinweis

Wenn Sie die Deaktivierung eines Schlüssels initiieren, findet eine Reihe von Prozessen zum Herunterfahren der Komponenten der Umgebung (z.B. der Datenbankservices, der Middle Tier und der Load Balancer) statt, die bis zu eine Stunde dauern können. Versuchen Sie nicht, einen Schlüssel erneut zu aktivieren, bis diese Prozesse abgeschlossen sind.

Wenn Sie die Aktivierung eines Schlüssels initiieren, kann der Abschluss der Prozesse, die das System sichern, bis zu eine Stunde dauern.

Schlüssel löschen

Das Löschen von Schlüsseln und Vaults ist ein äußerst zerstörerischer Vorgang. Er sollte nur vom Mandantenadministrator in seltenen Fällen ausgeführt werden.

Wenn ein Mandantenadministrator einen Schlüssel löscht, können alle Daten oder OCI-Ressourcen (einschließlich der Anwendungsdatenbank), die mit diesem Schlüssel verschlüsselt sind, sofort nicht mehr verwendet oder abgerufen werden.

Wir empfehlen dringend, einen Schlüssel zu sichern, bevor Sie ihn zum Löschen einplanen. Mit einem Backup können Sie den Schlüssel und Vault wiederherstellen, wenn Sie den Schlüssel später wieder verwenden möchten.

Weitere Informationen finden Sie unter Vault-Schlüssel löschen.

Berechtigungsreferenz

Der Anwendungsadministrator benötigt read-Berechtigungen für Vaults und Schlüssel. Mit der Berechtigung read kann der Administrator:
  • Wählen Sie den Vault und den Schlüssel während der Konfiguration aus.
  • Zeigen Sie den Vault und die Schlüssel im OCI Vault-Service zur Fehlerbehebung an.

So fügen Sie die Berechtigungen für den Anwendungsadministrator hinzu:

  1. Weitere Informationen zum Erstellen der Anwendungsadministratorrolle finden Sie in der Policy-Referenz zu Anwendungsservices.
  2. Fügen Sie der Rolle die folgenden Anweisungen hinzu, falls noch nicht vorhanden: 
    
Allow group <your-group-name> to read vaults in tenancy
Allow group <your-group-name> to read keys in tenancy

Wenn der Anwendungsadministrator auch die Vaults und Schlüssel erstellen kann oder wenn Sie eine andere Person wie einen Sicherheitsadministrator zum Verwalten von Vaults und Schlüsseln angeben, müssen diese Mitglieder einer Gruppe mit den folgenden Berechtigungen sein:

allow group <group-name> to manage keys in <location> where request.permission not in ('KEY_DELETE')
allow group <group-name> to manage vaults in <location> where request.permission not in ('VAULT_DELETE')

Beachten Sie, dass die Löschberechtigungen aus den Policy-Anweisungen entfernt werden. Dadurch wird sichergestellt, dass nur der Mandantenadministrator Löschvorgänge ausführen kann. Unter Benutzer mit eingeschränktem Zugriff hinzufügen finden Sie die Verfahren zum Erstellen von Gruppen und Policys zum Definieren von Rollen.