Gestión de Claves de Cifrado Maestras en Oracle Key Vault

Autonomous Database soporta claves de cifrado de datos transparente (TDE) gestionadas por el cliente que residen en Oracle Key Vault (OKV).

Requisitos para usar claves de cifrado gestionadas por el cliente en Oracle Key Vault

Describe los pasos previos necesarios para utilizar claves de cifrado maestras gestionadas por el cliente que residen en Oracle Key Vault (OKV) en Autonomous Database.

Requisitos:
Limitación:
  • OKV no está soportado en bases de datos en espera de Autonomous Data Guard entre regiones.

Realice los siguientes pasos:

  1. Cree un punto final, una cartera y una clave maestra de TDE de OKV.
    1. Inicie sesión en la instancia de OKV.
      • Copie la dirección IP pública o la dirección IP privada en la página de detalles de la instancia de OKV y péguela en un explorador.

      • En la página de conexión de la instancia de OKV, introduzca el nombre de usuario y la contraseña.

    2. Cree y registre un punto final de OKV.
    3. Crear una cartera

      La cartera de OKV contiene la clave de cifrado maestra de TDE.

    4. Cree una clave de cifrado maestra de TDE en la cartera.
      • Seleccione Claves y secretos y haga clic en Crear.
      • En Claves de aplicación, seleccione Clave de cifrado maestra de TDE.
      • En Extraíble, seleccione Verdadero.
      • Asegúrese de que la Fecha de desactivación está vacía.

        Por ejemplo:



      • En Membresía de cartera, haga clic en Seleccionar cartera.
      • En la lista mostrada de carteras, seleccione la cartera creada en el paso anterior y haga clic en Cerrar.
      • Haga clic en Crear. La clave de cifrado maestra de TDE se crea y se muestra en Contenido de cartera.
    5. Modifique el punto final para que la cartera creada anteriormente sea la cartera por defecto.
      • Navegar a la página de detalles del punto final.
      • En el panel Cartera por defecto, seleccione Seleccionar cartera.
      • En la página Seleccionar cartera, seleccione la cartera creada anteriormente y haga clic en Seleccionar.
      • Haga clic en Guardar.
    6. Activar Servicios Ininterrumpidos.
      Nota

      Los servicios Restful deben estar activados en la instancia de OKV para ejecutar correctamente el comando curl, en un paso posterior, para descargar la cartera.
      • En la página de inicio de OKV, seleccione el separador Sistema.
      • En el panel de navegación de la izquierda, haga clic en Configuración.
      • En Configuración del sistema, seleccione Servicios de restauración.
      • Haga clic en Todo y, a continuación, en Guardar.
  2. Aprovisione una instancia de Autonomous Database con los siguientes valores necesarios:
    1. En Seleccionar acceso de red, seleccione Solo acceso de punto final privado.
    2. En Red virtual en la nube, seleccione la VCN en la que se ejecuta esta instancia de base de datos.
    3. En Subred, seleccione la subred privada en la que se está ejecutando esta instancia de base de datos.
    4. En Grupos de seguridad de red (NSG), seleccione el grupo de seguridad.
    5. Para la configuración de Clave de cifrado, defina por defecto Cifrado mediante una clave gestionada por Oracle. Esta configuración se cambia a claves gestionadas por el cliente en OKV, una vez que se completan estos pasos previos necesarios. Las claves gestionadas por el cliente se desactivan durante el aprovisionamiento de instancias. Consulte Uso de claves de cifrado gestionadas por el cliente en Autonomous Database con Oracle Key Vault para obtener más información.
  3. Conéctese a la instancia de Autonomous Database y cree un directorio para la cartera de OKV.
    1. Conéctese a la instancia de Autonomous Database de punto final privado como usuario ADMIN.
      Por ejemplo, conéctese a la instancia de base de datos OKVDEMO1:
      SQL> connect ADMIN/<password>@OKVDEMO1_low
    2. Cree un objeto de directorio en la instancia de Autonomous Database.
      Por ejemplo:
      SQL> create directory okv_dir as 'okvdir';
    3. Compruebe que se ha creado el directorio.
      Por ejemplo, las siguientes sentencias crean el objeto de directorio OKV_DIR y los resultados de la sentencia muestran el nombre del directorio (OKV_DIR) y la ruta de acceso del directorio (/u03/dbfs/<path data>/data/okvdir).
      SQL> connect ADMIN/<admin password>#@OKVDEMO1_low
      Connected
      SQL>
      SQL> create directory okv_dir as 'okvdir';
      Directory created.
      SQL> select * from dba_directories where directory_name = 'OKV_DIR';
      OWNER
      –--------------------------------------------------------------------
      DIRECTORY_NAME
      –--------------------------------------------------------------------
      DIRECTORY_PATH
      –--------------------------------------------------------------------
      ORIGIN_CON_ID
      –------------
      SYS
      OKV_DIR
      /u03/dbfs/<path data>/data/okvdir
      SQL>
  4. Descargue la cartera de punto final en el objeto de directorio creado en la instancia de Autonomous Database. Esta cartera no es la cartera de TDE virtual en OKV que contiene la clave de cifrado maestra de TDE. Esta cartera contiene los certificados necesarios para establecer una conexión mTLS 1.2 entre OKV y Autonomous Database.
    1. Descargue la cartera para el punto final desde la instancia de OKV.
      Ejecute el siguiente comando desde una instancia informática que esté en la misma red que OKV:
      curl -k -X POST
       --location https://OKV server:5695/okv/cloud/utility/endpoint/download/sso
       --data "token=Enrollment Token"
       --output cwallet.sso
      Donde:
      • OKV server es el nombre de dominio completo interno o la dirección IP privada, que se encuentra en la página de detalles de la instancia de OKV.

      • Enrollment Token es el token de inscripción para el punto final que se encuentra en la página Puntos finales.

      Por ejemplo:

      $ curl -k -X POST --location https://10.0.0.123:5695/okv/cloud/utility/endpoint/download/sso 
                                 --data "token=H5r8NzqxopYOgkZC" 
                                 --output cwallet.sso
      % Total    % Received % Xferd Average Speed   Time    Time    Time  Current 
               Dload  Upload  Total   Spent    Left  Speed
      100  3697  100  3675  100    22  2157     12  0:00:01  0:00:01 --:--:--  2172 
      
      ls -altr ./cwallet.sso 
      -rw-r--r--. 1 opc opc 3675 Jun 17 16:53 wallet.sso

      Una vez descargada la cartera, el punto final de la instancia de OKV cambia de REGISTRADO a INFORMADO.

    2. Cargue la cartera en Object Storage.

      Cargue el archivo de cartera de la máquina local en el cubo de Object Storage mediante Upload Object. Consulte Carga de un objeto en un cubo para obtener más información.

    3. En Object Storage, genere una URL de solicitud autenticada previamente (SAP) para el archivo de cartera cargado. Consulte la sección sobre creación de una solicitud autenticada previamente en Object Storage para obtener más información.
    4. Desde la máquina virtual, conéctese a la instancia de base de datos como usuario ADMIN.
    5. En la instancia de base de datos, ejecute el procedimiento DBMS_CLOUD.GET_OBJECT para descargar la cartera de Object Storage en el directorio de cartera de la instancia de base de datos.
      Por ejemplo:
      BEGIN
          DBMS_CLOUD.GET_OBJECT(
              object_uri => '<PAR URL>',
              directory_name => '<wallet_dir>');
      END;
      /
      • Donde:
        • object_uri es la URL de PAR generada para el archivo de cartera en Object Storage.
        • directory_name es el nombre del directorio de cartera creado en la instancia de base de datos.

        Consulte GET_OBJECT Procedimiento y función para obtener más información.

    6. Suprima la cartera de Object Storage.

Uso de claves de cifrado gestionadas por el cliente en Autonomous Database con Oracle Key Vault

Muestra los pasos para cifrar la instancia de Autonomous Database mediante claves de cifrado maestras gestionadas por el cliente que residen en Oracle Key Vault (OKV).

Realice los siguientes pasos:

  1. Realice los pasos necesarios para la clave de cifrado gestionada por el cliente según sea necesario. Consulte Requisitos para utilizar claves de cifrado gestionadas por el cliente en Oracle Key Vault para obtener más información.
  2. En la página Detalles de la instancia de Autonomous Database, haga clic en Más acciones y seleccione Gestionar clave de cifrado.


    Descripción de sec_okv_manage.png a continuación
    Descripción de la ilustración sec_okv_manage.png

    Nota

    Si ya está utilizando claves gestionadas por el cliente en OKV y desea rotar las claves de TDE, siga estos pasos y seleccione una clave diferente (Seleccione una clave que sea diferente de la clave de cifrado maestra seleccionada actualmente). Sin embargo, no puede utilizar una clave de OKV que se haya utilizado anteriormente en la misma instancia de Autonomous Database.

  3. En la página Gestionar clave de cifrado, seleccione Cifrar utilizando una clave gestionada por el cliente.
  4. En la lista desplegable Tipo de clave, seleccione Oracle Key Vault (OKV).

    El cuadro de diálogo Gestionar clave de cifrado muestra las opciones de Oracle Key Vault (OKV).
    Descripción de sec_okv.png a continuación
    Descripción de la ilustración sec_okv.png

  5. Introduzca la siguiente información:
    • UUID de OKV: introduzca el identificador único de la clave maestra de TDE para la clave ubicada en la instancia de OKV.

      Para buscar este valor:

      1. Conéctese a la instancia de OKV y seleccione Claves y carteras.

      2. Haga clic en el nombre de la cartera por defecto del punto final de Autonomous Database.

      3. Desplácese hasta Contenido de cartera y copie el Identificador único de la columna Detalles.

        Por ejemplo:

        BC63511B-4B4A-411C-A71C-4AA90005F632
        OKV Server URI: ok
        Certificate DN:

        Haga clic en el nombre del punto final y, a continuación, haga clic en el Descargar (formato PEM) verde; esto descarga "CA.pem" en su equipo.

        Extraiga el DN del certificado con un comando como:

        $ openssl x509 -in ./CA.pem -noout -subject -nameopt RFC2253 | sed 's|subject=||'

        Por ejemplo:

        CN=CA,OU=Key_Vault,O=Oracle,L=Redwood_City,ST=California,C=us
      4. Haga clic en el nombre de la cartera por defecto para el punto final de Autonomous Database.

      5. Desplácese hasta Acceso al contenido de la cartera y copie el identificador único.

        .


        Descripción de sec_okv_uuid.png a continuación
        Descripción de la ilustración sec_okv_uuid.png

      6. Pegue el identificador único en el campo UUID de OKV.

    • URI del servidor de OKV: introduzca el nombre de dominio completo interno o la IP privada que se encuentra en la página de detalles de la instancia de OKV.

      Por ejemplo, si utiliza una máquina virtual de OCI para alojar OKV, este valor se puede encontrar en la página de detalles de la instancia de OKV en VNIC principal:


      Descripción de sec_okv_fqdn.png a continuación
      Descripción de la ilustración sec_okv_fqdn.png

    • DN de certificado: introduzca el nombre distintivo (DN) del certificado.
    • ID de certificado (Opcional): introduzca el ID de certificado o deje el campo en blanco.
      Nota

      Este campo es opcional si se utilizan las versiones 21.9 y posteriores de OKV. Si usa versiones de OKV inferiores a 21.9, se requiere el ID del certificado.
    • Nombre de directorio: introduzca el nombre del directorio donde se guarda la cartera en la instancia de Autonomous Database.
  6. Haga clic en Guardar.

Cuando el guardado se completa correctamente, la configuración de cifrado de la instancia de Autonomous Database se actualiza para mostrar la clave gestionada por el cliente (Oracle Key Vault [OKV]) y el estado de la solicitud de trabajo se muestra correctamente.


Descripción de sec_okv_done.png a continuación
Descripción de la ilustración sec_okv_done.png