Oracle Key Vault mit Oracle Exadata Database Service (Oracle Database@Azure) bereitstellen

Oracle Database@Azure bietet Kunden eine neue Option zum Verwalten von Verschlüsselungsschlüsseln, Oracle-Wallets, Java Keystores (JKS), Java Cryptography Extension Keystores (JCEKS) und Zugangsdatendateien, die SSH-Private Keys enthalten, unabhängig von der Cloud, in der sie arbeiten.

Oracle Key Vault ist ein fehlertolerantes, kontinuierlich verfügbares und hoch skalierbares Schlüsselverwaltungssystem, das speziell für die Schlüsselverwaltung für hochkonsolidierte Oracle-Datenbankbereitstellungen entwickelt wurde, z.B. Oracle Exadata Database Service auf Oracle Database@Azure.

Während Oracle und Azure für die Sicherung der zugrunde liegenden Infrastruktur zur Unterstützung von Oracle Database@Azure verantwortlich sind, sind Kunden für die Implementierung der erforderlichen Sicherheitskontrollen in ihren Anwendungen und aller Konfigurationsmechanismen verantwortlich, um ihre Sicherheits- und Complianceanforderungen zu erfüllen. Die Verwendung von Oracle Key Vault mit Oracle Exadata Database Service (Oracle Database@Azure) bietet Kunden die folgenden Vorteile:

• Fehlertoleranz
• High Availability
• Skalierbarkeit
• Sicherheit
• Standard-Compliance

Zu den Sicherheitsobjekten, die Sie mit Oracle Key Vault verwalten können, gehören Verschlüsselungsschlüssel, Oracle Wallets, Java Keystores (JKS), Java Cryptography Extension Keystores (JCEKS) und Zugangsdatendateien. Zugangsdatendateien können SSH-Private Keys umfassen, die für die Public-Key-Authentifizierung bei Remoteservern (On-Premise oder in einer beliebigen Cloud) verwendet werden, oder Datenbankaccountkennwörter für die unbeaufsichtigte Ausführung regelmäßig geplanter Wartungsskripte. Oracle Key Vault ist für den Oracle Cloud Stack (Datenbank, Middleware, Systeme) und die erweiterte sicherheitstransparente Datenverschlüsselung (TDE) optimiert. Darüber hinaus entspricht es dem Branchenstandard OASIS Key Management Interoperability Protocol (KMIP) für die Kompatibilität mit KMIP-basierten Clients. Oracle Key Vault funktioniert mit Endpunkten, ein Endpunkt ist ein Computersystem wie ein Datenbankserver, ein Anwendungsserver und andere Informationssysteme. Endpunkte müssen registriert und registriert sein, damit sie mit Oracle Key Vault kommunizieren können. Registrierte Endpunkte können ihre Schlüssel hochladen, für andere Endpunkte freigeben und herunterladen, um auf ihre Daten zuzugreifen. Schlüssel werden für den Zugriff auf verschlüsselte Daten verwendet und Zugangsdaten werden zur Authentifizierung bei anderen Systemen verwendet. Bei Datenbankservern, die eine oder mehrere Oracle-Datenbanken hosten, ist jede Oracle-Datenbank mindestens ein Endpunkt. Oracle Key Vault optimiert den täglichen Betrieb mit verschlüsselten Datenbanken, die als RAC oder mit Active Data Guard, integrierbaren Datenbanken, OCI GoldenGate sowie global verteilten (gemischten) Datenbanken bereitgestellt werden. Oracle Key Vault erleichtert das Verschieben verschlüsselter Daten mit Oracle Data Pump und Transportable Tablespaces, einem wichtigen Feature von Oracle Database.

Bevor Sie beginnen

Um diese Referenzarchitektur nutzen zu können, sind folgende Voraussetzungen erforderlich:

Oracle Database@Azure

• Zugriff auf ein Azure-Abonnement und -Verzeichnis
• Zugriff auf einen OCI-Mandanten
• Aktiver Oracle Database@Azure-Multicloud-Link zwischen den Azure- und OCI-Clouds
• Stellen Sie vor dem Provisioning angemessene Limits für Oracle Exadata Database Service und OCI-Servicelimits sicher
  1. Klicken Sie im OCI-Menü auf Governance und Administration.
  2. Klicken Sie unter Mandantenverwaltung auf Limits, Quota und Nutzung.
  3. Wählen Sie in der Dropdown-Liste Service die Option Datenbank aus.
• Planen Sie Ihre Netzwerk-Topologie:
  • Erfordert mindestens ein virtuelles Azure-Netzwerk (VNet), das mit einem entsprechenden virtuellen OCI-Cloud-Netzwerk (VCN) gekoppelt werden kann
  • Die CIDR-Blöcke für Azure-VNet und OCI-VCNs dürfen sich nicht überschneiden

Oracle Key Vault

• Zugriff auf ein Oracle Key Vault-Image, das On Premise aus der entsprechenden ISO-Datei erstellt wurde
• Oracle Key Vault-Installationsanforderungen
• NTP muss eingerichtet werden

Architektur

Diese Architektur zeigt, wie Sie Oracle Key Vault auf einer Microsoft Azure-VM als sicheren langfristigen externen Schlüsselverwaltungsspeicher für Oracle Exadata Database Service-Verschlüsselungsschlüssel in Oracle Database@Azure bereitstellen.

Das Architekturdiagramm zeigt das empfohlene Oracle Key Vault-Multimastercluster in Azure, um eine kontinuierlich verfügbare, extrem skalierbare und fehlertolerante Schlüsselverwaltung für Oracle Database in Oracle Exadata Database Service (Oracle Database@Azure) bereitzustellen.

Das folgende Diagramm veranschaulicht diese Referenzarchitektur.

Beschreibung der Abbildung key-vault-database-azure-diagram.png

key-vault-database-azure-diagram-oracle.zip

Oracle Key Vault für Oracle Database@Azure kann On Premise, in Azure oder in jeder anderen Cloud bereitgestellt werden, sofern Netzwerkkonnektivität hergestellt werden kann. Gestreckte Oracle Key Vault-Cluster (On-Premise in die Cloud oder über Cloud-Provider hinweg) sind ebenfalls möglich, sodass Sie maximale Deployment-Flexibilität und lokale Verfügbarkeit Ihrer Verschlüsselungsschlüssel erhalten. Oracle Key Vault bietet Out-of-the-box-Funktionen, mit denen Sie Ihren eigenen Schlüssel behalten können, ohne dass eine zusätzliche, teure Schlüsselverwaltungs-Appliance von Drittanbietern erforderlich ist.

Die Architektur umfasst die folgenden Komponenten:

• Azure-Region

  Eine Oracle Cloud Infrastructure-Region ist ein lokalisierter geografischer Bereich, der mindestens ein Data Center enthält, das als Availability-Domain bezeichnet wird. Regionen sind unabhängig von anderen Regionen, und große Entfernungen können sie trennen (über Länder oder sogar Kontinente).

  Eine Azure-Region ist ein geografisches Gebiet, in dem sich mindestens ein physisches Azure-Data Center, die so genannten Verfügbarkeitszonen, befinden. Regionen sind unabhängig von anderen Regionen, und große Entfernungen können sie trennen (über Länder oder sogar Kontinente).

  Azure- und OCI-Regionen sind lokalisierte geografische Bereiche. Bei Oracle Database@Azure ist eine Azure-Region mit einer OCI-Region verbunden, wobei Availability Zones (AZs) in Azure mit Availability Domains (ADs) in OCI verbunden sind. Azure- und OCI-Regionspaare werden ausgewählt, um Entfernung und Latenz zu minimieren.

• Azure-Verfügbarkeitszone

  Eine Availability-Zone ist ein physisch getrenntes Data Center innerhalb einer Region, die auf Verfügbarkeit und Fehlertoleranz ausgelegt ist. Verfügbarkeitszonen sind nahe genug, um Verbindungen mit geringer Latenz zu anderen Verfügbarkeitszonen zu haben.

• Virtuelles Netzwerk von Microsoft Azure

  Das virtuelle Microsoft Azure-Netzwerk (VNet) ist der grundlegende Baustein für Ihr privates Netzwerk in Azure. Mit VNet können viele Typen von Azure-Ressourcen, wie virtuelle Azure-Maschinen (VM), sicher miteinander, mit dem Internet und On-Premise-Netzwerken kommunizieren.

• Exadata Database Service on Dedicated Infrastructure

  Oracle Exadata Database Service bietet bewährte Oracle Database-Funktionen auf einer speziell entwickelten, optimierten Oracle Exadata-Infrastruktur in der Public Cloud. Integrierte Cloud-Automatisierung, elastische Ressourcenskalierung, Sicherheit und schnelle Performance für OLTP, In-Memory-Analysen und konvergente Oracle Database-Workloads vereinfachen die Verwaltung und senken die Kosten.

  Exadata Cloud Infrastructure X9M bringt mehr CPU-Cores, mehr Speicher und eine schnellere Netzwerkstruktur in die Public Cloud. Exadata X9M-Speicherserver umfassen Exadata RDMA-Arbeitsspeicher (XRMEM), wodurch eine zusätzliche Speicherebene erstellt wird und die allgemeine Systemperformance erhöht wird. Exadata X9M kombiniert XRMEM mit innovativen RDMA-Algorithmen, die das Netzwerk und den I/O-Stack umgehen. Dadurch werden teure CPU-Interrupts und Kontext-Switches vermieden.

  Exadata Cloud Infrastructure X9M erhöht den Durchsatz seiner internen Netzwerkstruktur aus 100 Gbit/s mit aktivem Remote Direct Memory Access über konvergiertes Ethernet (RoCE), wodurch ein schnelleres Interconnect als frühere Generationen mit extrem geringer Latenz zwischen allen Compute- und Speicherservern bereitgestellt wird.

• Oracle Database@Azure

  Oracle Database@Azure ist der auf Oracle Cloud Infrastructure (OCI) ausgeführte Oracle Database-Service (Oracle Exadata Database Service on Dedicated Infrastructure oder Oracle Autonomous Database Serverless), der in Microsoft Azure-Data Centern bereitgestellt wird. Der Service bietet Features und Preisparität mit OCI. Benutzer erwerben den Service im Azure Marketplace.

  Oracle Database@Azure integriert Oracle Exadata Database Service-, Oracle Real Application Clusters-(Oracle RAC-) und Oracle Data Guard-Technologien in die Azure-Plattform. Der Oracle Database@Azure-Service bietet dieselbe geringe Latenz wie andere Azure-native Services und erfüllt erfolgsrelevante Workloads und Cloud-native Entwicklungsanforderungen. Benutzer verwalten den Service in der Azure-Konsole und mit Azure-Automatisierungstools. Der Service wird im virtuellen Azure-Netzwerk (VNet) bereitgestellt und in das Azure-Identitäts- und Zugriffsmanagementsystem integriert. Die OCI- und Oracle Database-Metriken und -Auditlogs sind nativ in Azure verfügbar. Der Service erfordert, dass Benutzer einen Azure-Mandanten und einen OCI-Mandanten haben.

• Transparente Datenverschlüsselung (TDE)

  Transparente Datenverschlüsselung (TDE) verschlüsselt Daten im Ruhezustand transparent in einer Oracle Database. Es verhindert nicht autorisierte Versuche des Betriebssystems, auf in Dateien gespeicherte Datenbankdaten zuzugreifen, ohne den Zugriff von Anwendungen auf die Daten mit SQL zu beeinträchtigen. TDE ist vollständig in Oracle Database integriert und kann ganze Datenbankbackups (RMAN), Data Pump-Exporte, ganze Anwendungs-Tablespaces oder bestimmte sensible Spalten verschlüsseln. Verschlüsselte Daten bleiben in der Datenbank verschlüsselt, unabhängig davon, ob sie sich in Tablespace-Speicherdateien, Temporary Tablespaces, Undo Tablespaces oder anderen Dateien wie Redo Logs befinden.

• Key Vault

  Oracle Key Vault speichert Verschlüsselungsschlüssel, Oracle Wallets, Java KeyStores, SSH-Schlüsselpaare und andere Secrets sicher in einem skalierbaren, fehlertoleranten Cluster, das den OASIS-KMIP-Standard unterstützt und in Oracle Cloud Infrastructure, Microsoft Azure und Amazon Web Services sowie On-Premises auf dedizierter Hardware oder virtuellen Maschinen bereitgestellt wird.

Empfehlungen

Verwenden Sie die folgenden Empfehlungen als Ausgangspunkt. Ihre Anforderungen können von der hier beschriebenen Architektur abweichen.

• Oracle Key Vault - ISO

  Um die richtige Oracle Key Vault-Lösung zu erstellen, müssen Sie das neueste Oracle Key Vault-Installationsmedium verwenden. Weitere Informationen finden Sie unter dem Link Oracle Software Delivery Cloud.

• Oracle Key Vault-Image erstellen

  Um das Oracle Key Vault-Image aus der ISO zu erstellen, führen Sie diese Schritte auf einem lokalen System mit mindestens 1 TB Speicher mit mindestens 32 GB RAM aus. Erstellen Sie die virtuelle Festplatte in der Größe Fest und im Format VHD.

• Cluster mit mehreren Knoten

  Stellen Sie Oracle Key Vault als Cluster mit mehreren Knoten bereit, um maximale Verfügbarkeit und Zuverlässigkeit mit Lese-/Schreibpaaren von Oracle Key Vault-Knoten zu erreichen.

  Oracle Key Vault-Multimastercluster wird mit einem ersten Knoten erstellt. Anschließend können zusätzliche Knoten induziert werden, um schließlich ein Multi-Knoten-Cluster mit bis zu 8 Lese-/Schreibpaaren zu bilden.

  Der anfängliche Knoten befindet sich im schreibgeschützten eingeschränkten Modus, und es können keine kritischen Daten hinzugefügt werden. Oracle empfiehlt, einen zweiten Knoten bereitzustellen, um ein Lese-/Schreibpaar mit dem ersten Knoten zu bilden. Danach kann das Cluster um Lese-/Schreibpaare erweitert werden, sodass den Lese-/Schreibknoten sowohl kritische als auch nicht kritische Daten hinzugefügt werden können. Schreibgeschützte Knoten können beim Load Balancing oder bei der Betriebskontinuität während Wartungsvorgängen helfen.

  In der Dokumentation erfahren Sie, wie sich ein Multi-Master-Cluster auf Endpunkte auswirkt, sowohl in Bezug auf die Verbindung eines Endpunkts als auch auf Einschränkungen.

  Bei großen Deployments installieren Sie mindestens vier Oracle Key Vault-Server. Endpunkte sollten registriert werden, indem sie auf den vier Servern einzigartig und ausgewogen sind, um High Availability sicherzustellen. Beispiel: Wenn ein Data Center über 1.000 zu registrierende Datenbankendpunkte verfügt und Sie über vier Oracle Key Vault-Server verfügen, melden Sie 250 Endpunkte für jeden der vier Server an.

  Stellen Sie sicher, dass die Systemuhren des Endpunkthosts und des Oracle Key Vault-Servers synchron sind. Für den Oracle Key Vault-Server ist die Einrichtung von NTP erforderlich.

Hinweise

Beachten Sie beim Deployment dieser Referenzarchitektur die folgenden Punkte.

• Performance

  Für optimale Performance und Load Balancing fügen Sie weitere Lese-/Schreibpaare hinzu.

  Einem Cluster können mehrere schreibgeschützte Knoten hinzugefügt werden. Um jedoch eine optimale Performance und ein optimales Load Balancing zu erreichen, müssen Sie über mehr Lese-/Schreibpaare verfügen, um zu verhindern, dass das Cluster überlastet wird.

  Für das Oracle Key Vault-Multimastercluster ist mindestens ein Lese-/Schreibpaar erforderlich, damit es vollständig betriebsbereit ist. Es kann maximal acht Lese-/Schreibpaare enthalten.

• Verfügbarkeit

  Das Cluster mit mehreren Knoten bietet High Availability, Disaster Recovery, Lastverteilung und geografische Verteilung für eine Oracle Key Vault-Umgebung. Es bietet einen Mechanismus zum Erstellen von Lese-/Schreibpaaren von Oracle Key Vault-Knoten für maximale Verfügbarkeit und Zuverlässigkeit.

  Nachdem Sie das Cluster initialisiert haben, können Sie es erweitern, indem Sie bis zu 15 weitere Knoten hinzufügen, entweder als Lese-/Schreibpaare oder als schreibgeschützte Knoten. Ein Multi-Master-Cluster kann mindestens zwei Knoten und maximal 16 Knoten enthalten.

  Sie können dem Cluster schreibgeschützte Oracle Key Vault-Knoten hinzufügen, um Endpunkten, die Oracle-Wallets, Verschlüsselungsschlüssel, Java-Keystores, Zertifikate, Zugangsdatendateien und andere Objekte benötigen, noch mehr Verfügbarkeit zu bieten.

Mehr erfahren

Weitere Informationen zum Verwalten der Verschlüsselung in Oracle Database@Azure mit Oracle Key Vault.

Prüfen Sie diese zusätzlichen Ressourcen:

• Oracle Key Vault-Image in Microsoft Azure erstellen im Oracle Key Vault Administrator's Guide
• Best Practice Framework für Oracle Cloud Infrastructure
• Oracle Database@Azure
• Oracle Key Vault - Konzepte
• Endpunkte für Oracle Key Vault registrieren und upgraden im Oracle Key Vault Administrator's Guide
• Oracle Key Vault General System Administration im Oracle Key Vault Administrator's Guide
• Oracle Software Delivery Cloud werden verwendet
• Erfahren Sie mehr über Oracle Maximum Availability Architecture für Oracle Database@Azure
• Wechsel zu Oracle Database@Azure mit Oracle Zero Downtime Migration
• Migration dateibasierter TDE zu OKV für ExaDB-D mit Automatisierung über REST

Bestätigungen

• Autoren: Anwar Belayachi, Peter Wahl, Suzanne Holliday
• Beitragende: Leo Alvarado, Wei Han, John Sulyok