1 簡介
本節提供產品的簡介並說明應用程式安全的一般原則。
產品簡介
Oracle Key Manager (OKM) 可建立、儲存與管理加密金鑰。OKM 是由下列元件所組成:
-
金鑰管理設備 (Key Management Appliance,KMA) – 此為強化安全的設備,提供可設定原則的週期金鑰管理、認證、存取控制與金鑰啟動設定服務。作為儲存網路的信任授權單位,KMA 可確保註冊並認證所有儲存裝置,且所有加密金鑰的建立、啟動設定及刪除均符合指定的原則。
-
Oracle Key Manager GUI – 此為圖形使用者介面;這個圖形使用者介面會在工作站上執行,並可透過 IP 網路與 KMA 通訊,以設定與管理 OKM。Oracle Key Manager GUI 必須安裝在客戶提供的工作站上。
-
Oracle Key Manager CLI – 此為兩個指令行介面;這兩個指令行介面會在工作站上執行,並可透過 IP 網路與 KMA 通訊,以自動化一般管理作業。Oracle Key Manager CLI 必須安裝在客戶提供的工作站上。
-
OKM 叢集 – 系統中整組的 KMA。所有 KMA 均知悉彼此的存在,且會相互複製資訊。
-
代理程式 – 使用 OKM 叢集管理的金鑰執行加密的裝置或軟體。例如 StorageTek 加密磁帶機。代理程式使用 KMS 代理程式協定與 KMA 通訊。代理程式 API 是一組軟體介面,可整合至代理程式的硬體或軟體。
OKM 在 KMA、代理程式及執行 Oracle Key Manager GUI 與 CLI 所在工作站之間的連線使用 TCP/IP 網路。為了提供彈性的網路連線,每個 KMA 上的網路連線均有三個介面:
-
管理連線 – 用於客戶網路連線
-
服務連線 – 用於代理程式連線
-
ILOM/ELOM 連線 – 用於 KMA 上的 ILOM 或 ELOM 連線
請看下列影像中的範例:
一般安全原則
下列為安全使用任何應用程式的基本原則。
將軟體保持在最新狀態
為了安全起見,建議您讓所有軟體版本與修補程式保持在最新的狀態。My Oracle Support 網站上提供最新的 Oracle Key Manager 升級套裝軟體和安裝程式,位置在:http://support.oracle.com。
限制對重要服務的網路存取
請使用防火牆保護您的商業應用程式。防火牆可確保只有透過已知的網路路徑才能存取這些系統,並且能依照需求監督與限制這些網路路徑。另外,您也可以使用防火牆路由器取代多部獨立的防火牆。
遵循最低權限的原則
最低權限的原則是指使用者應被授予最少的權限來執行他們的工作。過度授予職責、角色、授權等 (特別是在人員較少且必須迅速完成工作的組織早期階段),可能會導致系統遭到濫用。請定期複查使用者權限,以判斷與現有工作責任的關聯。