隨著公有云的普及,客戶常常希望在云上能夠保護(hù)其數(shù)據(jù)安全,防止未經(jīng)授權(quán)的數(shù)據(jù)修改和泄露。通用的一種方法是采用對數(shù)據(jù)進(jìn)行加密和簽名校驗(yàn)的手段,以滿足客戶在合規(guī)上的安全要求(包括數(shù)據(jù)敏感級別、完整性校驗(yàn)等)。
常見的應(yīng)用場景
(1)云上數(shù)據(jù)的加解密:私有云、公有云和邊緣云等云服務(wù)的靜態(tài)數(shù)據(jù)和傳輸中的數(shù)據(jù)進(jìn)行加密;
(2)設(shè)備數(shù)據(jù)的加解密:在IoT或邊緣設(shè)備上對本地存儲的數(shù)據(jù)加密,并定期備份到云上;在云上進(jìn)行解密和數(shù)據(jù)處理;
(3)數(shù)據(jù)的加密簽名:應(yīng)用程序?qū)?shù)據(jù)塊加密簽名后,傳遞到另外一個集成的應(yīng)用程序,在數(shù)據(jù)使用前對簽名進(jìn)行加密驗(yàn)證;
(4)敏感數(shù)據(jù)災(zāi)難備份和恢復(fù):通常我們在本地提供主站點(diǎn)服務(wù),災(zāi)難備份恢復(fù)站點(diǎn)存儲到公有云上,一般在上云前——可進(jìn)行加密處理,下載后——再進(jìn)行解密處理。
OCI KMS簡要介紹
Oracle云基礎(chǔ)設(shè)施(OCI)密鑰管理KMS是一項(xiàng)托管的公有云服務(wù),可用于加密,解密,簽名和驗(yàn)證等目的的密鑰管理服務(wù),可解決上述常見的應(yīng)用場景。
KMS中的密鑰存儲在經(jīng)過 FIPS 140-2, Level 3 認(rèn)證的硬件安全模塊 (HSM) 中,該模塊具有高度持久性和高可用性。密鑰管理服務(wù)與許多 Oracle 云基礎(chǔ)設(shè)施服務(wù)相集成,包括塊存儲卷、文件存儲、數(shù)據(jù)庫、容器引擎和對象存儲等。KMS除了滿足OCI云服務(wù)自身安全的密鑰使用外,還提供了與Oracle數(shù)據(jù)庫以及其他非數(shù)據(jù)庫應(yīng)用的API集成。
OCI KMS主要能力
高可用的密鑰管理服務(wù),使得客戶可以專注于加密需求
管理任務(wù)(如配置,修補(bǔ)和維護(hù))由KMS處理。
KMS的后端HSM模塊由Oracle管理。
Oracle作為廠商是無法以純文本格式導(dǎo)出或查看客戶的密鑰。
客戶可集中管理控制密鑰來保護(hù)云上云下的數(shù)據(jù)
客戶定義和管理密鑰的訪問策略。
客戶定義密鑰的生命周期,包括密鑰創(chuàng)建、多版本、自動/輪換、跨region備份/恢復(fù)/復(fù)制、管理和刪除、審計(jì)等。
支持對稱和非對稱加密(如:簽名/校驗(yàn)的場景)
AES-GCM、RSA、ECDSA
提供靈活的硬件HSM和軟件保護(hù)處理方式
HSM(默認(rèn)):密鑰的存儲和處理均在HSM上進(jìn)行。
軟件:在HSM Key保護(hù)下的服務(wù)器上進(jìn)行存儲和處理。
支持靈活性價(jià)比的HSM分區(qū)選擇
共享HSM分區(qū)(默認(rèn)):更經(jīng)濟(jì),無硬性限制。
獨(dú)享HSM分區(qū):隔離性更高,性能更高,安全性更好。
支持BYOK,允許用戶導(dǎo)入自行構(gòu)建的密鑰
OCI KMS體驗(yàn)學(xué)習(xí)
(1)KMS歸類到Vault(保險(xiǎn)庫)服務(wù)中。
可通過如下菜單進(jìn)入Vault/KMS中。
(2)Vault類別
Vault提供Private Vault(專用:選擇“使其成為虛擬專用Vault”時(shí))、Default Vault(默認(rèn)不選擇“使其成為虛擬專用Vault”時(shí))。
Default Vault屬于共享HSM分區(qū),而Private Vault獨(dú)享HSM分區(qū)。
(3)保護(hù)模式
選擇保護(hù)模式HSM或Software。
(4)Key算法
此外,還有密鑰多版本管理、導(dǎo)入外部密鑰、密鑰的備份/恢復(fù)/禁用等操作。
密鑰創(chuàng)建完成后,便可將密鑰Key應(yīng)用到塊存儲卷、文件存儲、數(shù)據(jù)庫、容器引擎和對象存儲等服務(wù),也可借助API來將OCI KMS集成到我們的IoT設(shè)備或其他應(yīng)用上,例如:加密與解密/簽名與校驗(yàn)/獲取數(shù)據(jù)加密密鑰等服務(wù)。
更多信息請參考如下文檔鏈接。
京公網(wǎng)安備 11010802030320號