Služba správy klíčů (KMS) Oracle Cloud Infrastructure (OCI) poskytuje centralizované řízení šifrovacích klíčů pro data v OCI. KMS nabízí zákazníkům spravované šifrování prostřednictvím rozmanité sady řešení pro správu klíčů, včetně Vault, který nabízí následující možnosti:
- Virtuální trezor (Virtual Vault): Cenově efektivní služba pro více nájemců pro správu klíčů.
- Privátní trezor (Private Vault): Služba pro jednoho klienta poskytující zvýšenou izolaci a zabezpečení.
Jsme rádi, že můžeme oznámit obecnou dostupnost replikace mezi regiony pro Virtual Vault. Virtuální úschovna a privátní úschovna nyní chrání vaše aplikace před regionálními selháními a pomáhají dosáhnout vyšší dostupnosti prostřednictvím převzetí služeb při selhání napříč regiony. Meziregionální replikace je podporována pro softwarově a hardwarově chráněné hlavní šifrovací klíče používané pro symetrické nebo asymetrické šifrování. Vault udržuje zabezpečení FIPS 140-2 úrovně 3 během regionální replikace a tyto klíče nikdy neopouštějí hardwarové bezpečnostní moduly (HSM) v prostém textu. Místo toho se exportují jako zašifrované binární objekty a obnovují se výhradně v rámci HSM FIPS 140-2 úrovně 3 poskytovaných společností Oracle v rámci vašeho pronájmu.
Toto vydání podporuje replikaci mezi libovolnými dvěma oblastmi. Klíče jsou automaticky a asynchronně kopírovány ze zdroje do cílové oblasti. Ačkoli můžete jak spravovat klíče – vytvářet, mazat atd. – a používat je pro šifrování a dešifrování ve zdrojové oblasti, replikované klíče v cílové oblasti můžete používat pouze pro operace šifrování a dešifrování za běhu. Stejně jako u všech ostatních funkcí OCI jsou kroky podniknuté ke spuštění a odstranění replikace zaznamenávány do protokolů auditu OCI, což zákazníkům pomáhá plnit jejich cíle v oblasti dodržování předpisů.
Meziregionální replikace pro OCI Vault poskytuje následující výhody:
- Posílené zotavení po havárii: Replikace klíčů napříč regiony pomáhá zajistit dostupnost dat a obnovu v případě regionálních narušení.
- Vylepšená ochrana dat: Udržování redundantních kopií klíčů chrání před náhodnou ztrátou nebo neoprávněným přístupem, což pomáhá posílit celkovou bezpečnost.
- Soulad a umístění dat: U regulovaných odvětví nebo odvětví se specifickými požadavky na umístění dat vám replikace pomůže splnit vaše cíle shody a dodržovat příslušné zákony.
RPO a RTO meziregionální replikace
Pojďme si definovat některé pojmy, než popíšeme zkušenost, kterou získáte. Cíl doby obnovy (RTO) je maximální doba, po kterou mohou být vaše aplikace nedostupné během obnovy v cílové oblasti. Cíl bodu obnovení (RPO) je maximální množství dat, které můžete ztratit ve zdrojové oblasti. U našeho řešení replikace mezi regiony je RTO v ustáleném stavu blízko nule, protože každý klíč, který vytvoříte ve zdrojové oblasti, se okamžitě replikuje do cílové oblasti a zpoždění je většinou způsobeno latencí sítě mezi oblastmi v milisekundách. Vaše aplikace může téměř okamžitě přejít do cíle a přistupovat ke klíčům. RPO je také nulové, protože nepotvrdíme úspěch v primární oblasti, dokud není váš klíč zavázán k trvalému úložišti HSM, což pomáhá zajistit, že nedojde ke ztrátě dat.
Povolení replikace mezi regiony
Povolení replikace mezi regiony má následující základní předpoklady:
- Vytvoření trezoru: Ujistěte se, že používáte trezor vytvořený po obecné dostupnosti této funkce. Starší vaulty nejsou vhodné pro replikaci a nelze je migrovat, aby ji podporovaly. V případě potřeby vytvořte další trezor, abyste mohli tuto funkci využívat.
- Zásady správy identit a přístupu (IAM): Musí být zavedena vhodná zásada IAM, která umožní službě Vault provádět replikaci (kopírování vaultů a klíčů) v cílové oblasti vaším jménem.
Vytvoření trezoru
Následující obrázky vám mohou pomoci určit, zda je vaše úložiště vhodné pro replikaci napříč oblastmi.
Obrázek 1: Vault, který lze replikovat napříč regiony, má akční tlačítko Replikovat úložiště
Obrázek 2: Vault, který nelze replikovat mezi regiony, má deaktivované tlačítko Replikovat úložiště
Zásady IAM
Musí být zavedena zásada, která umožní službě Vault provádět replikaci, kopírování vaultů a klíčů v cílové oblasti vaším jménem.
Zásada „Povolit službě keymanagementservice spravovat vaulty v pronájmu“ uděluje službě oprávnění k replikaci ve všech odděleních v rámci pronájmu.
Poté, co vytvoříte úschovnu a nastavíte příslušné zásady IAM, je replikace stejně jednoduchá jako jeden výběr nebo volání API, kde jednoduše vyberete cílovou oblast. Replikace probíhá na úrovni úschovny, což umožňuje efektivní kopírování všech vašich klíčů. Podrobné pokyny k replikaci vaultů naleznete v dokumentaci OCI KMS.
Ceny
Povolení replikace mezi regiony ve službě Vault není zpoplatněno, ale platí se poplatky za každou verzi klíče vytvořenou ve zdrojové a cílové oblasti podle dokumentace OCI KMS.
Další kroky
Tato nová funkce výrazně zlepšuje dostupnost dat a možnosti obnovy po havárii pro zákazníky KMS. Umožňuje bezproblémový přístup k šifrovacím klíčům i v případě regionálního výpadku, čímž pomáhá minimalizovat prostoje aplikací a ztráty dat.
Chcete-li si to vyzkoušet, zjistit více o Oracle Cloud Infrastructure Vault, neváhejte nás kontaktovat.
Zdroj: Oracle