Gestión de claves mediante un almacén de claves externo

Este proceso de configuración es crucial para utilizar almacenes de claves externos a fin de gestionar y proteger las claves de cifrado de las bases de datos en sistemas de Exadata. Asegúrese de que la instalación, la configuración de contraseña y la configuración de comunicación sean correctas para un funcionamiento perfecto.

Instalación del servidor del almacén de claves externo: es responsable de instalar y configurar el servidor del almacén de claves externo mediante la documentación proporcionada por el proveedor.

Formato de contraseña de almacén de claves externo: el formato de la contraseña de almacén de claves externo varía según el proveedor.

Configuración de red: asegúrese de que se establezca una conexión entre la VM de invitado y el servidor del almacén de claves externo mediante:

• Configurar la red necesaria.
• Abrir los puertos necesarios.
• Activación del protocolo especificado por el proveedor del almacén de claves externo.

Instalación de la biblioteca PKCS#11: instale el software relacionado con PKCS#11 y configure la biblioteca PKCS#11 en las máquinas virtuales según la documentación del proveedor del almacén de claves externo.

Limitaciones:

• Solo puede haber una biblioteca PKCS#11 de un proveedor en una máquina virtual de invitado a la vez.
• Las interfaces de almacén de claves externas no se pueden utilizar para asociar claves a bases de datos de Oracle en Oracle Exadata Database Service on Dedicated Infrastructure.
• Aunque la interfaz del almacén de claves externo permite ver las claves asociadas a las bases de datos, puede que no soporte realizar operaciones de gestión de claves directamente desde la interfaz.

Validación de comunicación: verifique que la biblioteca PKCS#11 se pueda comunicar correctamente con el almacén de claves externo. Tenga en cuenta que la automatización en la nube no realiza comprobaciones previas para validar esta conexión. Si no se puede acceder a la clave, la base de datos devolverá un error con los detalles relevantes.

Ahora puede cifrar bases de datos Oracle en Oracle Exadata Database Service on Dedicated Infrastructure almacenando la clave de cifrado maestra (MEK) en un almacén de claves externo.

Versiones de base de datos aplicables: 23ai y 19c

Al aprovisionar una base de datos, tiene la opción de elegir entre diferentes soluciones de gestión de claves: almacén de claves de software de Oracle, Oracle Key Vault (OKV) o almacén de claves externo.

• La solución de gestión de claves seleccionada se aplica a toda la base de datos de contenedores (CDB) y a todas las bases de datos conectables (PDB) que contiene. Si una CDB está configurada para utilizar un almacén de claves externo, todas las PDB asociadas también utilizarán el almacén de claves externo. No puede seleccionar diferentes soluciones de gestión de claves en el nivel de PDB.
• Aunque la solución de gestión de claves debe ser consistente en toda la CDB y sus PDB, las distintas PDB de la misma CDB pueden utilizar distintas claves de cifrado, lo que proporciona flexibilidad en el uso de claves en todas las PDB.

Esta funcionalidad garantiza que las claves de cifrado confidenciales se almacenen de forma segura en un almacén de claves externo, lo que ofrece una capa adicional de seguridad para las bases de datos.

Para obtener más información, consulte https://support.oracle.com/support/?kmExternalId=FAQ2403.

Cuando una base de datos está protegida por un almacén de claves externo, se restringe la adición de una nueva máquina virtual (VM) al cluster.

Si una o más bases de datos de un cluster de VM se configuran con un almacén de claves externo, se muestra el siguiente mensaje:

While you should be able to add the virtual machine to the existing VM cluster, the database instance will not be extended to the newly created VM. This is because one or more databases on this VM cluster are configured with an external keystore. You must configure the external keystore on the newly created VM, then run the dbaascli command to extend the database instances to the new VM.