Note :

• Ce tutoriel nécessite l'accès à Oracle Cloud. Pour vous inscrire à un compte gratuit, voir Démarrer avec le niveau gratuit d'Oracle Cloud Infrastructure.
• Il utilise des exemples de valeurs pour les données d'identification, la location et les compartiments d'Oracle Cloud Infrastructure. À la fin de votre laboratoire, remplacez ces valeurs par celles qui sont propres à votre environnement en nuage.

Gérer le chiffrement dans les microservices Oracle GoldenGate avec Oracle Key Vault

Présentation

Ce tutoriel fournit un processus étape par étape pour gérer le chiffrement à l'aide d'Oracle Key Vault 21.7 dans les microservices Oracle GoldenGate.

Service de gestion de clés

Oracle fournit deux services de gestion des clés : Oracle Key Vault et Oracle Cloud Infrastructure Key Management Service (OCI KMS); tous deux pris en charge par Oracle GoldenGate. Ces services fournissent une évolutivité dans la gestion des clés de chiffrement et des données d'identification, garantissant que la clé n'est pas stockée ou gérée par Oracle GoldenGate.

Chiffrement dans Oracle GoldenGate

Oracle GoldenGate sécurise les fichiers trace à l'aide d'une approche de cryptage par encapsulation. Pour chaque fichier de piste, il génère une clé de chiffrement de données unique (DEK), appelée clé locale, qui est utilisée pour chiffrer le contenu du fichier de piste. Ce DEK est ensuite chiffré à l'aide d'une clé maître et le DEK chiffré est intégré dans l'en-tête du fichier trace.

Cette méthode garantit qu'une nouvelle clé de chiffrement est générée automatiquement pour chaque fichier trace, améliorant ainsi la sécurité des données. Le processus de cryptage d'une clé (le DEK) avec une autre clé (la clé principale) est connu sous le nom d'emballage de clé, une technique normalisée par ANSI X9.102 de l'American National Standards Institute (ANSI).

Pourquoi utiliser le service de gestion des clés pour OCI pour stocker les clés de chiffrement Oracle GoldenGate?

La gestion des clés comprend la génération, la distribution, le stockage, l'utilisation et la rotation des clés de chiffrement. Un service de gestion des clés pour OCI comprend des serveurs clés, des procédures définies par l'utilisateur et des protocoles sécurisés. Une gestion efficace des clés est essentielle pour maintenir la posture de sécurité globale d'une entreprise.

Les avantages du service de gestion des clés pour OCI avec Oracle GoldenGate sont les suivants :

• Gestion centralisée des clés principales : Les clés principales peuvent être générées et chargées directement dans Oracle Key Vault à l'aide d'attributs personnalisés, ce qui permet des opérations de cycle de vie transparentes telles que la rotation et l'expiration dans le service de gestion des clés pour OCI lui-même.
• Aucun stockage de clé locale : Oracle GoldenGate ne stocke ni ne gère les clés principales localement, ce qui réduit les risques et simplifie la conformité.
• Intégration améliorée de la sécurité : Oracle GoldenGate tire parti des capacités de sécurité avancées des solutions de gestion des clés OCI dédiées, notamment des contrôles de chiffrement en couches et des politiques d'accès strictes.

Chiffrement du fichier de piste

Oracle GoldenGate fournit les méthodes de chiffrement AES (Advanced Encryption Standard) suivantes pour le chiffrement des traces :

• Portefeuille local : La clé principale de chiffrement est stockée dans le fichier de portefeuille local.

• Oracle Key Vault : La clé principale de chiffrement est stockée dans Oracle Key Vault. Oracle Key Vault peut résider sur un serveur différent du serveur Oracle GoldenGate. La méthode Oracle Key Vault est fortement recommandée pour le chiffrement de piste Oracle GoldenGate sur place. Cette méthode est disponible avec Oracle GoldenGate Microservices Architecture et nécessite la définition d'un profil de chiffrement dans Oracle GoldenGate. Pour plus d'informations, voir Utilisation du chiffrement de fichier de piste Oracle Key Vault dans Oracle GoldenGate.

• OCI KMS : La clé principale de chiffrement est stockée dans OCI KMS et la clé principale ne quitte jamais OCI KMS. Cette méthode est recommandée si votre déploiement Oracle GoldenGate peut accéder au service de gestion des clés pour OCI. Il est compatible avec Oracle GoldenGate Microservices Architecture et nécessite la définition d'un profil de chiffrement dans Oracle GoldenGate. Pour plus d'informations, voir Configurer les processus Oracle GoldenGate pour activer le chiffrement du fichier de piste du service de gestion des clés pour OCI.

Tâche 1 : Configurer Oracle Key Vault pour Oracle GoldenGate

Les étapes suivantes appartiennent à la configuration Oracle Key Vault sur l'ordinateur sur lequel l'instance Oracle GoldenGate est exécutée.

1. Téléchargez okvrestservices.jar à partir du serveur Oracle Key Vault, en vous assurant qu'Oracle GoldenGate est déployé sous le même utilisateur système que le déploiement.

2. Téléchargez et installez le fichier de point d'extrémité, okvclient.jar, à partir du serveur Oracle Key Vault, en vous assurant qu'Oracle GoldenGate est déployé sous le même utilisateur système que le déploiement. Par exemple, java -jar okvclient.jar -d /u01/app/oracle/OKV.

   

3. Exécutez l'exemple de commande suivant pour créer la clé. Le nom du portefeuille est fourni par l'administrateur d'Oracle Key Vault ou nous pouvons associer le portefeuille à partir de la console Oracle Key Vault plus tard.

   	java -jar okvrestservices.jar kmip  --config /u01/app/oracle/OKV/conf/okvclient.ora  --service create_key --algorithm AES --length 256 --mask "ENCRYPT,DECRYPT,TRANSLATE_ENCRYPT,TRANSLATE_DECRYPT,TRANSLATE_WRAP,TRANSLATE_UNWRAP"
   
   

   

4. À partir de la console Oracle Key Vault, nous pouvons valider la clé et mettre en correspondance l'identificateur unique créé à l'étape 3.

   

5. Associez le portefeuille créé à partir de la console Oracle Key Vault à la clé de chiffrement et accordez l'accès au point d'extrémité.

   

6. Ajoutez les détails du portefeuille pour fournir l'accès au point d'extrémité.

   

7. Cliquez sur Enregistrer pour enregistrer vos modifications.

   

   

8. Définissez la variable d'environnement OKV_HOME.

   OS> export OKV_HOME /u01/app/oracle/OKV 
   

   La structure du sous-répertoire contient les bibliothèques, les fichiers binaires et les fichiers de configuration nécessaires à l'environnement Oracle Key Vault. Pour plus d'informations sur la configuration du serveur OKV, voir Installation et configuration d'Oracle Key Vault dans le guide d'administration d'Oracle Key Vault.

9. Activez la clé comme illustré dans l'exemple suivant.

   java -jar okvrestservices.jar kmip  --config /u01/app/oracle/OKV/conf/okvclient.ora  --service activate -uid A087DAC3-ED0F-4F06-BF6C-3F3CD3FC528B
   

   

10. Ajoutez les attributs de clé connexes à Oracle GoldenGate (KeyName, KeyVersion) à la configuration. Le nom de la clé doit correspondre au nom de la clé principale dans le profil de chiffrement du service de gestion des clés pour OCI créé dans Oracle GoldenGate. La valeur de clé doit correspondre au numéro de version de la clé principale.

    java -jar okvrestservices.jar kmip  --config /u01/app/oracle/OKV/conf/okvclient.ora  --service add_custom_attr --uid  D98640C4-A4B4-4FA5-BF8B-8D90610CD68A --attribute x-OGG-Keyname --type TEXT --value OGG_Masterkey
    Success
    
    

    java -jar okvrestservices.jar kmip  --config /u01/app/oracle/OKV/conf/okvclient.ora  --service add_custom_attr --uid  D98640C4-A4B4-4FA5-BF8B-8D90610CD68A --attribute x-OGG-KeyVersion --type TEXT --value 1
    Success
    
    

    

    

11. Utilisez l'utilitaire okvutil pour lister le paramètre de configuration et vérifier le statut du point d'extrémité, comme illustré dans l'exemple suivant.

    -bash-4.2$ export OKV_HOME=/u01/app/oracle/OKV
    -bash-4.2$ $OKV_HOME/bin/okvutil list -v 4
    

    

Tâche 2 : Configurer un profil de chiffrement dans les microservices Oracle GoldenGate avec Oracle Key Vault

Qu'est-ce qu'un profil de chiffrement?

Un profil de chiffrement définit la configuration requise pour accéder en toute sécurité à une clé principale à partir d'un service de gestion des clés pour OCI. Il contient tous les détails nécessaires pour se connecter au service de gestion des clés pour OCI, authentifier la demande et identifier la clé principale spécifique à utiliser pour les opérations de chiffrement et de déchiffrement. Cela inclut les paramètres de connexion au serveur, les données d'identification d'authentification et les attributs d'identification de clé.

Comment configurer un profil de chiffrement dans l'architecture de microservices Oracle GoldenGate?

Les profils de chiffrement peuvent être configurés à l'aide du serveur d'administration ou de AdminClient.

AdminClient fournit des commandes telles que ADD ENCRYPTIONPROFILE, ALTER ENCRYPTIONPROFILE, DELETE ENCRYPTIONPROFILE et INFO ENCRYPTIONPROFILE pour gérer ces profils. En outre, les commandes ADD et ALTER pour l'extraction, la réplication et le chemin de répartition ont été améliorées afin d'inclure le paramètre ENCRYPTIONPROFILE encryptage-profile-name.

Le serveur d'administration d'Oracle GoldenGate fournit des options permettant de configurer des profils de chiffrement pour les processus d'extraction et de réplication gérés.

1. Pour configurer le profil de chiffrement, cliquez sur Profil dans le volet de navigation et sélectionnez Système de gestion des clés (KMS).

2. Par défaut, le profil de portefeuille local est créé. Si nous devons configurer Oracle Key Vault en tant que service de gestion des clés pour Oracle GoldenGate, cliquez sur + sign à côté de Profil pour créer un profil de chiffrement pour Oracle Key Vault en spécifiant les détails suivants :

   • Nom : Entrez le nom du profil de chiffrement Oracle Key Vault.
   • Type : Spécifiez le type du service de gestion des clés OCI comme Oracle Key Vault.
   • Chemin d'accueil : Spécifiez l'emplacement du répertoire où Oracle Key Vault est installé. Dans le client d'administration, il s'agit du chemin Oracle Key Vault. Dans l'interface Web, il s'agit du chemin de la bibliothèque du service de gestion des clés pour OCI.
   • Attribut de nom de clé : Spécifiez le nom de la clé de chiffrement à l'aide de cet attribut personnalisé. Cette valeur doit correspondre au nom de la clé dans le paramètre du service de gestion des clés pour OCI dans Oracle GoldenGate et ne peut pas être modifiée une fois la réplication démarrée.
   • Attribut de version de clé : Spécifiez la version de la clé de chiffrement à l'aide de cet attribut personnalisé. Cette valeur doit être numérique.
   • Nom MasterKey : Spécifiez le nom de la clé principale.
   • Version MasterKey : Spécifiez la version d'Oracle Key Vault. La valeur par défaut est LATEST ou vous pouvez spécifier le numéro de version, par exemple 18.1.
   • Durée de vie : Durée de vie (TTL) de la clé extraite par l'extraction à partir du service de gestion des clés pour OCI. Lors du chiffrement de la piste suivante, le processus Extract vérifie si la durée de vie a expiré. Si tel est le cas, il récupère la dernière version de la clé maître. La valeur par défaut est 24 heures.

   Note : Ne chargez pas les clés dont les valeurs en double sont Nom de clé et Version de clé. Au moment du démarrage, du redémarrage ou du report, les processus Oracle GoldenGate extraient la valeur de version de clé la plus élevée.

   

Tâche 3 : Ajouter les détails de la base de données et tester la connexion

1. Ouvrez la console du service d'administration d'Oracle GoldenGate et connectez-vous.

2. Cliquez sur Connexions à la base de données dans le volet de navigation de gauche.

3. Cliquez sur le signe plus (+) à côté de Connexions à la base de données. Les données d'identification s'affichent.

4. Soumettez les détails de la base de données et cliquez sur Soumettre.

5. Cliquez sur l'icône de connexion à la base de données.

Tâche 4 : Ajouter l'extraction en fournissant le profil de chiffrement

Pour ajouter une extraction, entrez les informations requises, comme illustré dans les images suivantes.

Nous pouvons vérifier que les fichiers trace sont désormais chiffrés à l'aide de la commande string, comme illustré dans l'image suivante.

Nous pouvons également consulter le journal d'erreurs d'Oracle GoldenGate pour vérifier que les fichiers de piste sont chiffrés.

Liens connexes

• Gestion du chiffrement à l'aide d'un service Key Management dans l'architecture de microservices Oracle GoldenGate

Remerciements

• Auteurs - Amresh Kumar Singh (Ingénieur en nuage principal, services infonuagiques Oracle pour l'Amérique du Nord - NACIE), Ankush Chawla (Architecte en nuage principal, services infonuagiques Oracle pour l'Amérique du Nord - NACIE)

Autres ressources d'apprentissage

Explorez d'autres laboratoires sur le site docs.oracle.com/learn ou accédez à plus de contenu d'apprentissage gratuit sur le canal Oracle Learning YouTube. De plus, visitez education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour obtenir la documentation sur le produit, visitez Oracle Help Center.

---

Informations sur le titre et les droits d'auteur

Manage Encryption in Oracle GoldenGate Microservices with Oracle Key Vault

G34776-02

Copyright ©2025, Oracle and/or its affiliates.