En el mundo impulsado por datos de hoy, asegurar tu información es primordial. Este artículo explora cómo Oracle Cloud Infrastructure (OCI) ayuda a las empresas a proteger sus datos utilizando la tríada CIA: confidentiality, integrity, availability (confidencialidad, integridad y disponibilidad).

Entendiendo la tríada CIA

La mayoría de las empresas están reguladas para asegurar la mejor seguridad del activo más importante: los datos. El Instituto Nacional de Estándares y Tecnología (NIST) describe los pilares de la seguridad de la información con los siguientes atributos:

• Confidencialidad: preservar las restricciones autorizadas sobre el acceso y divulgación de información, incluidos los medios para proteger la privacidad personal y la información propietaria
• Integridad: proteger contra la modificación o destrucción indebida de la información y ayudar a garantizar la no repudio y autenticidad de la información
• Disponibilidad: acceso y uso oportuno y confiable de la información

Malware destructivo, ransomware, actividad maliciosa de empleados internos e incluso errores sin intención, crean un escenario en el que las organizaciones deben detectar y responder a un evento que impacta la integridad de los datos. Las empresas deben estar seguras de que estos eventos son detectados de manera oportuna y respondidos de manera apropiada.

Mientras OCI Vault aborda la confidencialidad y la integridad, características como replicación de almacenamiento en OCI Block Volume pueden abordar la disponibilidad. Unamos ambos.

Cifrado en OCI

OCI cifra automáticamente tus datos, normalmente utilizando claves gestionadas por Oracle. Sin embargo, muchos clientes prefieren la flexibilidad de utilizar claves gestionadas por ellos mismo, que pueden replicar de manera efectiva para una mayor seguridad. Para más detalles sobre el cifrado que ofrecen los servicios de OCI, consulta los siguientes recursos:

• Oracle Cloud Infrastructure Vault: cifrado de volumen en bloque
• Gestión de claves de cifrado de almacén para volumen en bloque
• Cómo Oracle Cloud Infrastructure (OCI) te ayuda a proteger datos con cifrado por defecto

Una clave de cifrado de datos es crucial para asegurar tu información, mientras que la clave de cifrado maestra cifra el DEK.

Ahora que entendemos los niveles de cifrado en OCI, exploremos las mejores prácticas para la gestión de claves.

Mejores prácticas para la gestión de claves

Los playbooks de soluciones, Manuales de mejores prácticas para Oracle Cloud Infrastructure y Cifrar datos en volúmenes en bloque, recomiendan usar claves gestionadas por el cliente. Basado en el marco de mejores prácticas para OCI, te recomendamos rotar periódicamente los contenidos secretos para reducir el impacto si un secreto se expone.

Si deseas rotar tu secreto, deberás actualizar la clave de cifrado maestra, lo que significa que debes reencriptar tu clave de cifrado de datos adjunta a una clave maestra. Actualizar tu clave maestra no cambia la clave de cifrado de datos subyacente heredada de un volumen, que es necesaria para acceder a los datos. Este cambio solo se aplica a las claves gestionadas por el cliente en un almacén y no a la clave maestra para un dominio de disponibilidad. La rotación de la clave maestra del dominio de disponibilidad ocurre con las actividades existentes de rotación de claves.

La rotación de claves significa actualizar la versión de la clave. Actualmente, no se admiten actualizaciones automáticas para claves gestionadas por el cliente en el Servicio de Gestión de Claves (KMS) para almacenamiento en bloque. Por lo tanto, cuando rotas tu clave KMS a una nueva versión en el servicio de OCI Vault, los volúmenes continúan utilizando la antigua versión de la clave. Cuando rotas la clave KMS en Vault, puedes ejecutar una operación de actualización de volumen en tu volumen en bloque para aplicar la nueva versión.

Puedes actualizar tu clave KMS a una nueva clave o a la misma que utilice la última versión en Vault sin tiempo de inactividad.
Basado en el marco de mejores prácticas para Oracle Cloud Infrastructure, te pedimos que rotes periódicamente los contenidos confidenciales para reducir el impacto si un secreto se expone.

La actualización es solo para la clave de cifrado maestra (MEK), lo que significa re-encriptar la clave de cifrado de datos (DEK) con un MEK dado. Esto no cambia la clave de cifrado de datos (DEK) subyacente heredada de un volumen (que es necesaria para acceder a los datos). Este cambio es solo para la clave KMS en un vault y no para la clave maestra de AD. La rotación de la clave maestra de AD se maneja mediante actividades existentes de rotación de claves.

La rotación de claves significa actualizar la versión de la clave. Actualmente no admitimos actualización automática de versión para claves (KMS) gestionadas por el cliente de almacenamiento en bloque. En otras palabras, cuando el cliente rota su clave KMS (a una nueva versión) en el servicio de OCI Vault, los volúmenes continúan usando la antigua clave KMS antes de la rotación. Cuando la clave KMS se rota en Vault Service, el cliente puede ejecutar una operación de “actualización de volumen” en el volumen en bloque para aplicar la nueva versión. La clave KMS puede ser actualizada por el cliente a una nueva clave o a la misma clave (que usará la última versión en Vault Service) sin tiempo de inactividad.

Ahora que entendemos las mejores prácticas para la gestión de claves, hablemos de una configuración de replicación entre regiones.

Replicación entre regiones

Exploremos un ejemplo de replicación entre regiones. Tenemos los siguientes activos:

Región de origen: Frankfurt
Volumen en bloque de origen (situado en Frankfurt)
Almacén de origen (situado en Frankfurt)
Clave de cifrado maestra de origen
Clave de cifrado de datos de origen
Región de destino: Londres
Política de copia de seguridad con objetivo de copia entre regiones: Londres

Como requisito previo, debemos replicar la clave de cifrado de datos a la región de destino. Para obtener detalles sobre cómo replicar tu almacén, incluyendo tus claves de cifrado maestra y de datos, consulta el tutorial en GitHub. Esta replicación te da el OCID de la clave de cifrado de datos de destino en la región de destino, Londres.

El tutorial de GitHub, Resiliencia en la nube por defecto, presenta una replicación automatizada entre regiones de volúmenes en bloque. Ahora, solo tenemos que agregar el OCID de la clave de cifrado de datos de destino para configurar un servidor con resiliencia por defecto, usando Oracle Cloud Console. Para automatizar este proceso usando OCI CLI, consulta Configura tu servidor con resiliencia por defecto usando CLI.

Este proceso te permite automatizar tu entorno de producción y mejorar la confidencialidad, integridad y disponibilidad para todos tus servidores. Puedes observar todos los detalles técnicos sobre cómo OCI te ayuda a optimizar tu protección de datos.

Conclusión

Con los servicios de OCI, puedes alcanzar tu objetivo de óptima confidencialidad, integridad y disponibilidad para la seguridad de tu información. El líder principal sénior de productos, Max Verun, proporciona más detalles en la publicación del blog Soporte para claves gestionadas por el cliente para replicación de volúmenes entre regiones y copia de seguridad basada en políticas programadas. Puedes confiar en nosotros. Estamos aquí para ayudarte a satisfacer con éxito tus necesidades de seguridad.

Explora las capacidades de OCI hoy mismo registrándote para el Modo Gratuito y háznos saber cómo podemos apoyar tu viaje en seguridad en la nube. Comparte tus comentarios en los comentarios, y haznos saber cómo podemos seguir mejorando tu experiencia en Oracle Cloud Infrastructure.