Protección de datos
Para los proveedores de la nube, la protección de datos es el aspecto central de la estrategia de seguridad. Dada la importancia de los mandatos de privacidad y conformidad, las organizaciones que consideran arquitecturas de varios inquilinos deben considerar el uso de la criptografía para proteger la información que fluye desde y hacia sus bases de datos. El uso de servicios criptográficos para protección de datos se aplica de manera sistemática para garantizar la confidencialidad y la integridad de la información a medida que fluye por la red y cuando reside en el disco.
El procesador SPARC M7 en SuperCluster facilita el cifrado asistido por hardware y de alto rendimiento para las necesidades de protección de datos de los entornos de TI donde la seguridad es importante. Le procesador SPARC M7 también cuenta con tecnología Silicon Secured Memory, que garantiza la prevención de ataques malintencionados de nivel de aplicación, como recortes de memoria, daños silenciosos de memoria, saturaciones de buffer y ataques relacionados.
Figura 4 Protección de datos proporcionada por la aceleración criptográfica asistida por hardware y la protección contra intrusiones de memoria
Para arquitecturas de varios inquilinos seguras, donde la protección de datos es importante en prácticamente todos los aspectos de una arquitectura, SuperCluster y el software de soporte permiten a las organizaciones alcanzar los objetivos de seguridad y conformidad sin necesidad de sacrificar el rendimiento. SuperCluster aprovecha las instrucciones criptográficas basadas en el núcleo y las capacidades de Silicon Secured Memory, que están diseñadas en el procesador SPARC M7 para acelerar las operaciones criptográficas y garantizar la protección de la intrusión de memoria sin un impacto en el rendimiento. Estas capacidades protegen el rendimiento criptográfico mejorado y proporcionan comprobación de intrusiones de memoria. También mejoran el rendimiento general, ya que se pueden dedicar más recursos de cálculo a atender las cargas de trabajo de los inquilinos.
El procesador SPARC permite el soporte de la aceleración criptográfica asistida por hardware para más de 16 algoritmos criptográficos estándar del sector. En conjunto, estos algoritmos admiten las necesidades criptográficas más modernas, incluido el cifrado de claves públicas, el cifrado de claves simétricas, la generación de números aleatorios, y el cálculo y la verificación de firmas digitales y resúmenes de mensajes. Además, en el nivel del sistema operativo, la aceleración de hardware criptográfico está activada por defecto para la mayoría de los servicios principales, incluidos shell seguro IPSec/IKE y juegos de datos ZFS cifrados.
Oracle Database y Oracle Fusion Middleware identifican de manera automática el sistema operativo Oracle Solaris y el procesador SPARC usado por SuperCluster. Esto permite que la base de datos y el middleware usen automáticamente las capacidades de aceleración criptográfica de la plataforma para TLS, WS-Securit y operaciones de cifrado de tablespace. También les permite usar la función Silicon Secured Memory para garantizar la protección de memoria y garantiza la integridad de los datos de aplicación sin necesidad de configuración del usuario final. Para proteger la confidencialidad y la integridad de las comunicaciones entre zonas y específicas de un inquilino, basadas en IP, que fluyen por la red de IB, use IPSec (seguridad IP) e IKE (intercambio de claves de Internet).
Cualquier análisis de criptografía estaría incompleto sin el análisis de cómo se gestionan las claves de cifrado. La generación y la gestión de claves de cifrado, en especial para grandes colecciones de servicios, ha sido tradicionalmente un desafío mayor para las organizaciones y los desafíos aumentan aún más en el caso de un entorno de varios inquilinos basado en nube. En SuperCluster, el cifrado de juego de datos ZFS y el cifrado de datos transparentes de Oracle Database pueden aprovechar el almacén de claves PKCS#11 de Oracle Solaris para proteger correctamente la clave maestra. El uso del almacén de claves PKCS#11 de Oracle Solaris involucra de inmediato la aceleración criptográfica asistida por hardware de SPARC para las operaciones maestras clave. Esto permite a SuperCluster mejorar ampliamente el rendimiento de las operaciones de cifrado y descifrado asociadas con el cifrado de juegos de datos ZFS, el cifrado de tablespace de Oracle Database, las copias de seguridad de base de datos cifradas (mediante Oracle Recovery Manager [Oracle RMAN]), las exportaciones de base de datos cifradas (mediante la función Data Pump de Oracle Database) y los redo logs (mediante Oracle Active Data Guard).
Los inquilinos que usan un enfoque de cartera compartida pueden aprovechar el dispositivo de almacenamiento ZFS para crear un directorio que se pueda compartir en todos los nodos de un cluster. Mediante el uso de un almacén de claves centralizado y compartido, se puede ayudar a los inquilinos a gestionar, mantener y rotar mejor las claves en las arquitecturas de base de datos agrupadas, como Oracle Real Application Clusters (Oracle RAC), ya que las claves se pueden sincronizar en cada uno de los nodos del cluster.
Figura 5 Protección de datos mediante un escenario de gestión de claves de varios inquilinos mediante Oracle Key Manager
Para solucionar las complejidades y los problemas de gestión de claves asociados con varios hosts y aplicaciones en un entorno de varios inquilinos basado en la nube, use la Oracle Key Manager opcional como un dispositivo integrado a la red de gestión. Oracle Key Manager autoriza, protege y gestiona de manera central el acceso a claves de cifrado usadas por Oracle Database, aplicaciones de Oracle Fusion, Oracle Solaris y ZFS Storage Appliance. Oracle Key Manager también admite las unidades de cinta de cifrado de Oracle StorageTek. La política de cifrado y la gestión de claves del juego de datos ZFS (sistema de archivos) permiten la supresión garantizada de sistemas de archivos de inquilinos mediante la destrucción de claves.
Oracle Key Manager es un dispositivo completo de gestión de claves que admite operaciones de gestión de claves del ciclo de vida y almacenamiento de claves de confianza. Cuando se configura con una tarjeta PCIe Sun Crypto Accelerator 6000 de Oracle, Oracle Key Manager ofrece almacenamiento de claves certificado FIPS 140-2 nivel 3 de claves de cifrado AES de 256 bits, así como generación aleatoria de números que cumplen con FIPS 186-2. Dentro de SuperCluster, todos los dominios de base de datos y aplicación, incluidas las zonas globales y no globales, se pueden configurar para usar Oracle Key Manager para la gestión de claves asociadas con aplicaciones, bases de datos y juegos de datos ZFS cifrados. De hecho, Oracle Key Manager admite operaciones de gestión de claves asociadas con instancias de base de datos individuales o múltiples, Oracle RAC, Oracle Active Data Guard, Oracle RMAN y la función Data Pump de Oracle Database.
Finalmente, la separación de tareas, aplicada por Oracle Key Manager, permite que cada inquilino mantenga el control completo sobre las claves de cifrado, con una visibilidad coherente de las operaciones de gestión de claves. Dada la importancia de las claves para la protección de información, es crítico que los inquilinos implementen los niveles necesarios de control de acceso basado en roles y la auditoría para garantizar que las claves se protejan correctamente durante el ciclo de vida.