Despliegue Oracle Key Vault con Oracle Exadata Database Service (Oracle Database@Azure)

Oracle Database@Azure proporciona a los clientes una nueva opción para gestionar claves de cifrado, carteras de Oracle, almacenes de claves Java (JKS), almacenes de claves de extensión de criptografía Java (JCEKS) y archivos de credenciales, que incluyen claves privadas SSH, independientemente de la nube en la que estén operando.

Oracle Key Vault es un sistema de gestión de claves tolerante a fallos, de disponibilidad continua y altamente escalable que se ha diseñado específicamente para proporcionar gestión de claves para despliegues de bases de datos de Oracle altamente consolidadas, por ejemplo, Oracle Exadata Database Service en Oracle Database@Azure.

Aunque Oracle y Azure son responsables de proteger la infraestructura subyacente que soporta Oracle Database@Azure, los clientes son responsables de implementar los controles de seguridad necesarios en sus aplicaciones y cualquier mecanismo de configuración para cumplir con sus mandatos de seguridad y cumplimiento. El uso de Oracle Key Vault con Oracle Exadata Database Service (Oracle Database@Azure) proporciona a los clientes las siguientes ventajas:

• Tolerancia a fallos
• Alta disponibilidad
• Posibilidades de ampliación
• Seguridad
• Cumplimiento de estándares

Los objetos de seguridad que puede gestionar con Oracle Key Vault incluyen claves de cifrado, carteras de Oracle, almacenes de claves Java (JKS), almacenes de claves de extensiones de criptografía Java (JCEKS) y archivos de credenciales. Los archivos de credenciales pueden incluir claves privadas SSH, utilizadas para la autenticación de claves públicas en servidores remotos (local o en cualquier nube), o contraseñas de cuentas de base de datos para la ejecución desatendida de scripts de mantenimiento programados regularmente. Oracle Key Vault está optimizado para la pila de Oracle Cloud (base de datos, middleware, sistemas) y el cifrado de datos transparente (TDE) de seguridad avanzada. Además, cumple con el estándar de la industria OASIS Key Management Interoperability Protocol (KMIP) para la compatibilidad con clientes basados en KMIP. Oracle Key Vault funciona con puntos finales, un punto final es un sistema informático como un servidor de base de datos, un servidor de aplicaciones y otros sistemas de información. Los puntos finales se deben registrar e inscribir para que se puedan comunicar con Oracle Key Vault. Los puntos finales inscritos pueden cargar sus claves, compartirlas con otros puntos finales y descargarlas para acceder a sus datos. Las claves se utilizan para acceder a datos cifrados y las credenciales se utilizan para autenticarse en otros sistemas. Para los servidores de bases de datos que alojen una o más bases de datos de Oracle, cada base de datos Oracle tendrá al menos un punto final. Oracle Key Vault optimiza las operaciones diarias con bases de datos cifradas desplegadas como RAC o con Active Data Guard, bases de datos conectables, OCI GoldenGate, así como bases de datos distribuidas globalmente (con particiones horizontales). Oracle Key Vault facilita el movimiento de datos cifrados mediante Oracle Data Pump y tablespaces transportables, una función clave de Oracle Database.

Antes de empezar

Para aprovechar esta arquitectura de referencia, se necesitan los siguientes elementos:

Oracle Database@Azure

• Acceso a una suscripción y directorio de Azure
• Acceso a un arrendamiento de OCI
• Enlace multinube activo de Oracle Database@Azure entre las nubes de Azure y OCI
• Antes del aprovisionamiento, asegúrese de que los límites adecuados de Oracle Exadata Database Service y los límites del servicio OCI
  1. En el menú OCI, haga clic en Gobernanza y administración.
  2. En Gestión de arrendamiento, haga clic en Límites, cuotas y uso.
  3. En la lista desplegable Servicio, seleccione Base de datos.
• Planificar la topología de red:
  • Necesita al menos una red virtual de Azure (VNet) que se pueda emparejar con una red virtual en la nube (VCN) de OCI correspondiente
  • Los bloques de CIDR para cualquier VNet de Azure y las redes virtuales en la nube de OCI no se deben solapar

Oracle Key Vault

• Acceso a una imagen de Oracle Key Vault, creada localmente desde el archivo ISO correspondiente
• Requisitos de instalación de Oracle Key Vault
• Se requiere la configuración de NTP

Arquitectura

Esta arquitectura muestra cómo desplegar Oracle Key Vault en una máquina virtual (VM) de Microsoft Azure como almacenamiento seguro de gestión de claves externas a largo plazo para claves de cifrado de Oracle Exadata Database Service en Oracle Database@Azure.

En el diagrama de arquitectura se muestra el cluster de varios maestros recomendado de Oracle Key Vault en Azure para proporcionar una gestión de claves continuamente disponible, extremadamente escalable y tolerante a fallos para Oracle Database en Oracle Exadata Database Service (Oracle Database@Azure).

El siguiente diagrama ilustra esta arquitectura de referencia.

Descripción de la ilustración key-vault-database-azure-diagram.png

key-vault-database-azure-diagram-oracle.zip (en inglés)

Oracle Key Vault para Oracle Database@Azure se puede desplegar de forma local, en Azure o en cualquier otra nube, siempre que se pueda establecer la conectividad de red. También es posible ampliar los clusters de Oracle Key Vault (de la ubicación local a la nube o entre proveedores de nube), lo que proporciona la máxima flexibilidad de despliegue y disponibilidad local de las claves de cifrado. Oracle Key Vault proporciona la funcionalidad de "mantener su propia clave" lista para usar, sin necesidad de un dispositivo adicional y costoso de gestión de claves de terceros.

La arquitectura tiene los siguientes componentes:

• Región de Azure

  Una región de Oracle Cloud Infrastructure es un área geográfica localizada que contiene uno o más centros de datos, denominados dominios de disponibilidad. Las regiones son independientes de otras regiones, y grandes distancias pueden separarlos (entre países e incluso continentes).

  Una región de Azure es un área geográfica en la que residen uno o más centros de datos físicos de Azure, denominados zonas de disponibilidad. Las regiones son independientes de otras regiones, y grandes distancias pueden separarlos (entre países e incluso continentes).

  Las regiones de Azure y OCI son áreas geográficas localizadas. Para Oracle Database@Azure, una región de Azure está conectada a una región de OCI, con zonas de disponibilidad (AZ) en Azure conectadas a dominios de disponibilidad (AD) en OCI. Los pares de regiones de Azure y OCI se seleccionan para minimizar la distancia y la latencia.

• Zona de disponibilidad de Azure

  Una zona de disponibilidad es un centro de datos físicamente independiente dentro de una región diseñada para estar disponible y tolerante a fallos. Las zonas de disponibilidad están lo suficientemente cerca como para tener conexiones de baja latencia a otras zonas de disponibilidad.

• Red virtual de Microsoft Azure

  La red virtual de Microsoft Azure (VNet) es el componente fundamental de la red privada en Azure. VNet permite que muchos tipos de recursos de Azure, como máquinas virtuales (VM) de Azure, se comuniquen de forma segura entre sí, con Internet y con redes locales.

• Exadata Database Service on Dedicated Infrastructure

  Oracle Exadata Database Service ofrece capacidades probadas de Oracle Database en una infraestructura de Oracle Exadata optimizada y diseñada específicamente en la nube pública. La automatización en la nube integrada, el escalado flexible de recursos, la seguridad y el rápido rendimiento para OLTP, el análisis en memoria y las cargas de trabajo convergentes de Oracle Database ayudan a simplificar la gestión y reducir los costos.

  Exadata Cloud Infrastructure X9M aporta más núcleos de CPU, mayor almacenamiento y un tejido de red más rápido a la nube pública. Los servidores de almacenamiento X9M de Exadata incluyen memoria RDMA de Exadata (XRMEM), lo que crea un nivel adicional de almacenamiento y aumenta el rendimiento general del sistema. Exadata X9M combina XRMEM con algoritmos RDMA innovadores que omiten la red y la pila de E/S, lo que elimina las costosas interrupciones de CPU y los conmutadores de contexto.

  Exadata Cloud Infrastructure X9M aumenta el rendimiento de su tejido de red interna de acceso directo remoto a través de Ethernet convergente (RoCE) activo-activo de 100 Gbps, lo que proporciona una interconexión más rápida que las generaciones anteriores con una latencia extremadamente baja entre todos los servidores de almacenamiento y cálculo.

• Oracle Database@Azure

  Oracle Database@Azure es el servicio de Oracle Database (Oracle Exadata Database Service on Dedicated Infrastructure u Oracle Autonomous Database Serverless) que se ejecuta en los centros de datos de Oracle Cloud Infrastructure (OCI), desplegado en los centros de datos de Microsoft Azure. El servicio ofrece funciones y paridad de precios con OCI. Los usuarios adquieren el servicio en Azure Marketplace.

  Oracle Database@Azure integra las tecnologías de Oracle Exadata Database Service, Oracle Real Application Clusters (Oracle RAC) y Oracle Data Guard en la plataforma de Azure. El servicio Oracle Database@Azure ofrece la misma baja latencia que otros servicios nativos de Azure y satisface las cargas de trabajo esenciales y las necesidades de desarrollo nativas de la nube. Los usuarios gestionan el servicio en la consola de Azure y con las herramientas de automatización de Azure. El servicio se despliega en la red virtual de Azure (VNet) y se integra con el sistema de gestión de identidad y acceso de Azure. Las métricas y los logs de auditoría de OCI y Oracle Database están disponibles de forma nativa en Azure. El servicio requiere que los usuarios tengan un arrendamiento de Azure y un arrendamiento de OCI.

• cifrado de datos transparente (TDE)

  Transparent Data Encryption (TDE) cifra datos estáticos de forma transparente en Oracle Database. Para los intentos no autorizados del sistema operativo de acceder a los datos de la base de datos almacenados en archivos, sin que esto afecte a la forma en que las aplicaciones acceden a los datos mediante SQL. TDE está totalmente integrado con Oracle Database y puede cifrar copias de seguridad de bases de datos completas (RMAN), exportaciones de pump de datos, tablespaces de aplicación completos o columnas confidenciales específicas. Los datos cifrados permanecen cifrados en la base de datos, ya sea en archivos de almacenamiento de tablespace, tablespaces temporales, tablespaces de deshacer u otros archivos como redo logs.

• Archivo de claves

  Oracle Key Vault almacena de forma segura claves de cifrado, carteras de Oracle, Java KeyStores, pares de claves SSH y otros secretos en un cluster escalable y tolerante a fallos que soporta el estándar KMIP de OASIS y se despliega en Oracle Cloud Infrastructure, Microsoft Azure y Amazon Web Services, así como en máquinas virtuales o hardware dedicado locales.

Recomendaciones

Utilice las siguientes recomendaciones como punto de partida. Los requisitos pueden diferir de la arquitectura que se describe aquí.

• ISO de Oracle Key Vault

  Para crear la solución adecuada de Oracle Key Vault, asegúrese de utilizar el medio de instalación de Oracle Key Vault más reciente. Consulte Más información sobre el enlace Oracle Software Delivery Cloud.

• Creación de imágenes de Oracle Key Vault

  Para crear la imagen de Oracle Key Vault a partir de la ISO, hágalo en un sistema local con al menos 1 TB de almacenamiento con al menos 32 GB de RAM. Cree el disco duro virtual como tamaño Fijo y en el formato VHD.

• Cluster de varios nodos

  Despliegue Oracle Key Vault como un cluster de varios nodos para lograr la máxima disponibilidad y fiabilidad con pares de lectura y escritura de nodos de Oracle Key Vault.

  El cluster de varios maestros de Oracle Key Vault se crea con un primer nodo y, a continuación, se pueden inducir nodos adicionales para formar finalmente un cluster de varios nodos con hasta 8 pares de lectura y escritura.

  El nodo inicial está en modo restringido de solo lectura y no se pueden agregar datos críticos. Oracle recomienda desplegar un segundo nodo para formar un par de lectura y escritura con el primer nodo. Después de lo cual, el cluster se puede ampliar con pares de lectura y escritura para que se puedan agregar datos críticos y no críticos a los nodos de lectura y escritura. Los nodos de solo lectura pueden ayudar con el equilibrio de carga o la continuidad de las operaciones durante las operaciones de mantenimiento.

  Consulte la documentación para saber cómo afecta un cluster de varios maestros a los puntos finales, tanto en la forma en que se conecta un punto final como con restricciones.

  Para despliegues grandes, instale al menos cuatro servidores de Oracle Key Vault. Los puntos finales se deben inscribir haciéndolos únicos y equilibrados en los cuatro servidores para garantizar una alta disponibilidad. Por ejemplo, si un centro de datos tiene 1.000 puntos finales de base de datos para registrar y tiene cuatro servidores de Oracle Key Vault para alojarlos, inscriba 250 puntos finales en cada uno de los cuatro servidores.

  Asegúrese de que los relojes del sistema del host de punto final y el servidor de Oracle Key Vault estén sincronizados. Para el servidor de Oracle Key Vault, es necesario configurar el NTP.

Consideraciones

Tenga en cuenta los siguientes puntos al desplegar esta arquitectura de referencia.

• Rendimiento

  Para obtener un rendimiento óptimo y un equilibrio de carga, agregue más pares de lectura y escritura.

  Se pueden agregar varios nodos de solo lectura a un cluster, pero para un rendimiento y equilibrio de carga óptimos, debe tener más pares de lectura y escritura para evitar que se sobrecargue el cluster.

  El cluster de varios maestros de Oracle Key Vault necesita al menos un par de lectura y escritura para que esté completamente operativo. Puede tener un máximo de ocho pares de lectura y escritura.

• Disponibilidad

  El cluster de varios nodos proporciona alta disponibilidad, recuperación ante desastres, distribución de carga y distribución geográfica a un entorno de Oracle Key Vault. Proporciona un mecanismo para crear pares de lectura y escritura de nodos de Oracle Key Vault para una máxima disponibilidad y fiabilidad.

  Después de inicializar el cluster, puede ampliarlo agregando hasta 15 nodos más, ya sean pares de lectura y escritura o nodos de solo lectura. Un cluster de varios maestros puede contener un mínimo de dos nodos y un máximo de 16 nodos.

  Puede agregar nodos de Oracle Key Vault de solo lectura al cluster para proporcionar una disponibilidad aún mayor a los puntos finales que necesitan carteras de Oracle, claves de cifrado, almacenes de claves Java, certificados, archivos de credenciales y otros objetos.

Explorar más

Obtenga más información sobre la gestión del cifrado en Oracle Database@Azure con Oracle Key Vault.

Revise estos recursos adicionales:

• Creación de imágenes de Oracle Key Vault en Microsoft Azure en la Guía del administrador de Oracle Key Vault
• Marco de mejores prácticas para Oracle Cloud Infrastructure
• Oracle Database@Azure
• Conceptos de Oracle Key Vault
• Inscripción y actualización de puntos finales para Oracle Key Vault en la Guía del administrador de Oracle Key Vault
• Administración general del sistema Oracle Key Vault en la Guía del administrador de Oracle Key Vault
• Oracle Software Delivery Cloud
• Obtén más información sobre Oracle Maximum Availability Architecture for Oracle Database@Azure
• Pasa a Oracle Database@Azure con Oracle Zero Downtime Migration
• Migración de TDE basado en archivo a OKV para ExaDB-D mediante automatización mediante REST

Agradecimientos

• Autores: Anwar Belayachi, Peter Wahl, Suzanne Holliday
• Contribuyentes: Leo Alvarado, Wei Han, John Sulyok