No mundo atual orientado por dados, a proteção de informações é fundamental. Esta postagem do blog explora como a Oracle Cloud Infrastructure (OCI) ajuda as empresas a proteger seus dados usando a tríade da CIA: confidencialidade, integridade e disponibilidade.

Compreendendo a tríade da CIA

A maioria das empresas é regulamentada para garantir a melhor segurança do ativo mais importante: os dados. O National Institute of Standards and Technology (NIST) descreve os pilares da segurança da informação com os seguintes atributos:

  • Confidencialidade: preservar as restrições autorizadas sobre o acesso e a divulgação de informações, incluindo meios para proteger informações proprietárias e de privacidade pessoal
  • Integridade: proteção contra modificação ou destruição indevida de informações e ajuda a garantir o não repúdio e a autenticidade das informações
  • Disponibilidade: acesso e utilização oportunos e confiáveis ​​da informação

Malware destrutivo, ransomware, atividades internas mal-intencionadas e até mesmo erros não propositais preparam o cenário para que as organizações detectem e respondam a um evento que afete a integridade dos dados. As empresas precisam ter certeza de que esses eventos serão detectados em tempo hábil e respondidos adequadamente.

Enquanto o OCI Vault aborda a confidencialidade e a integridade, recursos como a replicação de armazenamento no OCI Block Volume podem abordar a disponibilidade. Vamos unir os dois.

Criptografia na OCI

A OCI criptografa automaticamente seus dados, geralmente usando chaves gerenciadas pela Oracle. No entanto, muitos clientes preferem a flexibilidade de usar chaves gerenciadas pelo cliente, que podem ser replicadas com eficiência para aumentar a segurança. Para obter mais detalhes sobre a criptografia que os serviços da OCI oferecem, consulte os seguintes recursos:

Uma chave de criptografia de dados é essencial para proteger seus dados, enquanto a chave mestra criptografa a DEK.

Agora que entendemos os níveis de criptografia na OCI, vamos explorar as melhores práticas para gerenciamento de chaves.

Melhores práticas de gerenciamento de chaves

Os manuais de soluções, Estrutura de melhores práticas da Oracle Cloud Infrastructure e Criptografar dados em volumes em blocos, recomendam o uso de chaves gerenciadas pelo cliente. Com base na estrutura de melhores práticas da OCI, recomendamos rotacionar o conteúdo do segredo periodicamente para reduzir o impacto se um segredo for exposto.

Se quiser alternar o segredo, atualize a chave mestra de criptografia, o que significa que deverá criptografar novamente a chave de criptografia de dados anexada a uma chave mestra. A atualização da chave mestra não altera a chave de criptografia de dados subjacente herdada de um volume, que é necessária para acessar os dados. Essa alteração se aplica apenas às chaves gerenciadas pelo cliente em um vault e não à chave mestra de um domínio de disponibilidade. A rotação da chave mestra do domínio de disponibilidade ocorre com as atividades de rotação de chaves existentes.

A rotação de chaves significa atualizar a versão da chave. Atualmente, não há suporte para atualizações automáticas de chaves gerenciadas pelo cliente do Block Storage no Key Management Service (KMS). Portanto, ao rotacionar a chave KMS para uma nova versão no serviço OCI Vault, os volumes continuam usando a versão antiga da chave. Ao rotacionar a chave KMS no Vault, você pode executar uma operação de atualização no volume em blocos para aplicar a nova versão. Você pode atualizar a chave KMS para uma nova chave ou para a mesma que usa a versão mais recente do Vault sem tempo de inatividade.

Com base na estrutura de melhores práticas da Oracle Cloud Infrastructure, recomendamos rotacionar o conteúdo do segredo periodicamente para reduzir o impacto se um segredo for exposto.

A atualização é apenas para a MEK (Master Encryption Key, Chave de criptografia mestre), o que significa criptografar novamente a DEK (Data Encryption Key, Chave de criptografia de dados) com uma determinada MEK. Isso não altera a chave de criptografia de dados (DEK) subjacente herdada do volume (que é necessária para acessar os dados). Essa alteração é apenas para a chave KMS em um vault e não para a chave mestra do AD. A rotação de chaves mestre do AD é realizada pelas atividades de rotação de chaves existentes.

A rotação de chaves significa atualizar a versão da chave. No momento, não oferecemos suporte à atualização automática de versão para chaves gerenciadas pelo cliente (KMS) do Block Storage. Em outras palavras, quando o cliente rotaciona sua chave KMS (para uma nova versão) no OCI Vault Service, os volumes ainda continuam a usar a chave KMS da versão antiga antes da rotação. Quando a chave KMS é rotacionada no Vault Service, o cliente pode executar a operação “atualizar volume” no Block Volume para aplicar a nova versão. A chave KMS pode ser atualizada pelo cliente para uma nova chave, ou a mesma chave (que usará a versão mais recente do Vault Service) sem tempo de inatividade.

Agora que entendemos as melhores práticas de gerenciamento de chaves, vamos discutir uma configuração de replicação entre regiões.

Replicação entre regiões

Vamos analisar um exemplo de replicação entre regiões. Temos os seguintes ativos:

Região de origem: Frankfurt

Volume em blocos de origem (localizado em Frankfurt)

Vault de origem (localizado em Frankfurt)

Chave de criptografia mestre de origem

Chave de criptografia de dados de origem

Região de destino: Londres

Política de backup com destino de cópia entre regiões: Londres

Como pré-requisito, devemos replicar a chave de criptografia de dados para a região de destino. Para obter detalhes sobre como replicar o vault, incluindo as chaves mestras e de criptografia de dados, consulte o tutorial no GitHub. Essa replicação fornece o OCID da chave de criptografia de dados de destino na região de destino, Londres.

O tutorial do GitHub, Resiliência na nuvem por padrão, apresenta uma replicação automatizada entre regiões de volumes em blocos. Agora, só precisamos adicionar o OCID da chave de criptografia de dados de destino para configurar um servidor com resiliência por padrão, usando o Oracle Cloud Console. Para automatizar esse processo usando a CLI da OCI, consulte Configurar servidor com resiliência por padrão usando a CLI.

Esse processo permite automatizar o ambiente de produção e melhorar a confidencialidade, a integridade e a disponibilidade de todos os seus servidores. Você pode observar todos os detalhes técnicos de como a OCI o ajuda a otimizar a proteção dos dados.

Conclusão

Com os serviços da OCI, você pode atingir sua meta de confidencialidade, integridade e disponibilidade ideais para a segurança de suas informações. O Gerente Sênior de Produtos Max Verun fornece mais detalhes na postagem do blog, Suporte a chaves gerenciadas pelo cliente para replicação de volume entre regiões e cópia de backup programada baseada em políticas. Você pode contar conosco. Estamos aqui para ajudar você a atender às suas necessidades de segurança com sucesso.

Explore os recursos da OCI hoje mesmo, inscrevendo-se no Modo Gratuito e conte-nos como podemos oferecer suporte à sua jornada na segurança da nuvem! Compartilhe seu feedback nos comentários e diga-nos como podemos continuar melhorando sua experiência na Oracle Cloud Infrastructure.