随着公有云的普及,客户常常希望在云上能够保护其数据安全,防止未经授权的数据修改和泄露。通用的一种方法是采用对数据进行加密和签名校验的手段,以满足客户在合规上的安全要求(包括数据敏感级别、完整性校验等)。
常见的应用场景
(1)云上数据的加解密:私有云、公有云和边缘云等云服务的静态数据和传输中的数据进行加密;
(2)设备数据的加解密:在IoT或边缘设备上对本地存储的数据加密,并定期备份到云上;在云上进行解密和数据处理;
(3)数据的加密签名:应用程序对数据块加密签名后,传递到另外一个集成的应用程序,在数据使用前对签名进行加密验证;
(4)敏感数据灾难备份和恢复:通常我们在本地提供主站点服务,灾难备份恢复站点存储到公有云上,一般在上云前——可进行加密处理,下载后——再进行解密处理。
OCI KMS简要介绍
Oracle云基础设施(OCI)密钥管理KMS是一项托管的公有云服务,可用于加密,解密,签名和验证等目的的密钥管理服务,可解决上述常见的应用场景。
KMS中的密钥存储在经过 FIPS 140-2,Level 3 认证的硬件安全模块 (HSM) 中,该模块具有高度持久性和高可用性。密钥管理服务与许多 Oracle 云基础设施服务相集成,包括块存储卷、文件存储、数据库、容器引擎和对象存储等。KMS除了满足OCI云服务自身安全的密钥使用外,还提供了与Oracle数据库以及其他非数据库应用的API集成。
OCI KMS主要能力
高可用的密钥管理服务,使得客户可以专注于加密需求
管理任务(如配置,修补和维护)由KMS处理。
KMS的后端HSM模块由Oracle管理。
Oracle作为厂商是无法以纯文本格式导出或查看客户的密钥。
客户可集中管理控制密钥来保护云上云下的数据
客户定义和管理密钥的访问策略。
客户定义密钥的生命周期,包括密钥创建、多版本、自动/轮换、跨region备份/恢复/复制、管理和删除、审计等。
支持对称和非对称加密(如:签名/校验的场景)
AES-GCM、RSA、ECDSA
提供灵活的硬件HSM和软件保护处理方式
HSM(默认):密钥的存储和处理均在HSM上进行。
软件:在HSM Key保护下的服务器上进行存储和处理。
支持灵活性价比的HSM分区选择
共享HSM分区(默认):更经济,无硬性限制。
独享HSM分区:隔离性更高,性能更高,安全性更好。
支持BYOK,允许用户导入自行构建的密钥
OCI KMS体验学习
(1)KMS归类到Vault(保险库)服务中。
可通过如下菜单进入Vault/KMS中。
(2)Vault类别
Vault提供Private Vault(专用:选择“使其成为虚拟专用Vault”时)、Default Vault(默认不选择“使其成为虚拟专用Vault”时)。
Default Vault属于共享HSM分区,而Private Vault独享HSM分区。
(3)保护模式
选择保护模式HSM或Software。
(4)Key算法
此外,还有密钥多版本管理、导入外部密钥、密钥的备份/恢复/禁用等操作。
密钥创建完成后,便可将密钥Key应用到块存储卷、文件存储、数据库、容器引擎和对象存储等服务,也可借助API来将OCI KMS集成到我们的IoT设备或其他应用上,例如:加密与解密/签名与校验/获取数据加密密钥等服务。
更多信息请参考如下文档链接。
温馨提示:
