Déployer Oracle Key Vault avec Oracle Exadata Database Service (Oracle Database@Azure)

Oracle Database@Azure offre aux clients une nouvelle option pour la gestion des clés de chiffrement, des portefeuilles Oracle, des magasins de clés Java (JKS), des magasins de clés d'extension de cryptographie Java (JCEKS) et des fichiers de données d'identification, qui comprennent des clés privées SSH, quel que soit le nuage dans lequel ils opèrent.

Oracle Key Vault est un système de gestion de clés hautement évolutif, à tolérance de pannes et disponible en continu, qui a été spécialement conçu pour fournir une gestion des clés pour les déploiements de base de données Oracle hautement consolidés, par exemple Oracle Exadata Database Service sur Oracle Database@Azure.

Bien qu'Oracle et Azure soient responsables de la sécurisation de l'infrastructure sous-jacente prenant en charge Oracle Database@Azure, les clients sont responsables de la mise en oeuvre des contrôles de sécurité requis dans leurs applications et de tous les mécanismes de configuration pour répondre à leurs mandats de sécurité et de conformité. L'utilisation d'Oracle Key Vault avec Oracle Exadata Database Service (Oracle Database@Azure) offre aux clients les avantages suivants :

• Tolérance aux pannes
• Haute disponibilité
• Extensibilité
• Sécurité
• Conformité aux normes

Les objets de sécurité que vous pouvez gérer avec Oracle Key Vault comprennent des clés de chiffrement, des portefeuilles Oracle, des magasins de clés Java (JKS), des magasins de clés d'extension de cryptographie Java (JCEKS) et des fichiers de données d'identification. Les fichiers de données d'identification peuvent inclure des clés privées SSH, utilisées pour l'authentification par clé publique sur des serveurs distants (sur place ou dans n'importe quel nuage), ou des mots de passe de compte de base de données pour l'exécution sans surveillance de scripts de maintenance programmés régulièrement. Oracle Key Vault est optimisé pour la pile Oracle Cloud (base de données, intergiciel, systèmes) et le chiffrement transparent des données de sécurité avancé (TDE). En outre, il est conforme à la norme OASIS Key Management Interoperability Protocol (KMIP) pour la compatibilité avec les clients basés sur KMIP. Oracle Key Vault fonctionne avec des points d'extrémité, un point d'extrémité est un système informatique tel qu'un serveur de base de données, un serveur d'applications et d'autres systèmes d'informations. Les points d'extrémité doivent être enregistrés et inscrits pour pouvoir communiquer avec Oracle Key Vault. Les points d'extrémité inscrits peuvent charger leurs clés, les partager avec d'autres points d'extrémité et les télécharger pour accéder à leurs données. Les clés sont utilisées pour accéder aux données chiffrées et les données d'identification sont utilisées pour l'authentification auprès d'autres systèmes. Pour les serveurs de base de données hébergeant une ou plusieurs bases de données Oracle, chaque base de données Oracle sera au moins un point d'extrémité. Oracle Key Vault rationalise les opérations quotidiennes avec des bases de données chiffrées déployées en tant que RAC ou avec Active Data Guard, des bases de données enfichables, OCI GoldenGate, ainsi que des bases de données réparties globalement (fragmentées). Oracle Key Vault facilite le déplacement de données chiffrées à l'aide d'Oracle Data Pump et d'espaces-tables transportables, une fonction clé d'Oracle Database.

Étapes préliminaires

Pour tirer parti de cette architecture de référence, les éléments suivants sont requis :

Oracle Database@Azure

• Accès à un abonnement et à un annuaire Azure
• Accès à une location OCI
• Lien multinuage Oracle Database@Azure actif entre les nuages Azure et OCI
• Avant le provisionnement, assurez-vous des limites appropriées pour le service Oracle Exadata Database Service et les limites de service OCI
  1. Dans le menu OCI, cliquez sur Gouvernance et administration.
  2. Sous Gestion des locations, cliquez sur Limites, quotas et utilisation.
  3. Dans la liste déroulante Service, sélectionnez Base de données.
• Planifiez votre topologie réseau :
  • Nécessite au moins un réseau virtuel Azure (VNet) qui peut être appairé à un réseau en nuage virtuel (VCN) OCI correspondant.
  • Les blocs CIDR des réseaux en nuage virtuels Azure VNet et OCI ne doivent pas se chevaucher

Oracle Key Vault

• Accès à une image Oracle Key Vault, créée sur place à partir du fichier ISO correspondant
• Exigences d'installation d'Oracle Key Vault
• La configuration de NTP est requise

Architecture

Cette architecture montre comment déployer Oracle Key Vault sur une machine virtuelle Microsoft Azure en tant que stockage de gestion de clés externes sécurisé à long terme pour les clés de chiffrement Oracle Exadata Database Service dans Oracle Database@Azure.

Le diagramme d'architecture présente la grappe maître multiple Oracle Key Vault recommandée dans Azure pour fournir une gestion des clés disponible en continu, extrêmement évolutive et tolérante aux défaillances pour Oracle Database dans Oracle Exadata Database Service (Oracle Database@Azure).

Le diagramme suivant illustre cette architecture de référence.

Description de l'illustration key-vault-database-azure-diagram.png

key-vault-database-azure-diagramme-oracle.zip

Oracle Key Vault pour Oracle Database@Azure peut être déployé sur place, dans Azure ou dans tout autre nuage, tant que la connectivité réseau peut être établie. Des grappes Oracle Key Vault étendues (sur place vers le nuage ou entre des fournisseurs de services en nuage) sont également possibles, ce qui vous offre une flexibilité de déploiement maximale et une disponibilité locale de vos clés de chiffrement. Oracle Key Vault fournit la fonctionnalité de "maintien de votre propre clé" prête à l'emploi, sans avoir besoin d'un boîtier de gestion de clés de tierce partie supplémentaire et coûteux.

L'architecture comprend les composants suivants :

• région Azure

  Une région Oracle Cloud Infrastructure est une zone géographique localisée qui contient un ou plusieurs centres de données, appelés domaines de disponibilité. Les régions sont indépendantes les unes des autres, et de grandes distances peuvent les séparer (dans différents pays ou continents).

  Une région Azure est une zone géographique dans laquelle résident un ou plusieurs centres de données Azure physiques, appelés zones de disponibilité. Les régions sont indépendantes les unes des autres, et de grandes distances peuvent les séparer (dans différents pays ou continents).

  Les régions Azure et OCI sont des zones géographiques localisées. Pour Oracle Database@Azure, une région Azure est connectée à une région OCI, avec des zones de disponibilité dans Azure connectées à des domaines de disponibilité dans OCI. Les paires de régions Azure et OCI sont sélectionnées pour réduire la distance et la latence.

• Zone de disponibilité Azure

  Une zone de disponibilité est un centre de données physiquement séparé dans une région qui est conçu pour être disponible et tolérant aux pannes. Les zones de disponibilité sont suffisamment proches pour avoir des connexions à faible latence vers d'autres zones de disponibilité.

• Réseau virtuel Microsoft Azure

  Le réseau virtuel Microsoft Azure (VNet) est le bloc fonctionnel fondamental de votre réseau privé dans Azure. VNet permet à de nombreux types de ressource Azure, tels que les machines virtuelles Azure, de communiquer en toute sécurité les uns avec les autres, avec Internet et avec les réseaux sur place.

• Service Exadata Database sur une infrastructure dédiée

  Oracle Exadata Database Service offre des capacités éprouvées d'Oracle Database sur une infrastructure optimisée et spécialement conçue pour Oracle Exadata dans le nuage public. Automatisation en nuage intégrée, évolutivité élastique des ressources, sécurité et performance rapide pour OLTP, analyses en mémoire et charges de travail Oracle Database convergées aident à simplifier la gestion et à réduire les coûts.

  Exadata Cloud Infrastructure X9M offre plus de coeurs d'UC, plus de stockage et une matrice réseau plus rapide pour le nuage public. Les serveurs de stockage Exadata X9M comprennent une mémoire Exadata RDMA (XRMEM), créant un niveau de stockage supplémentaire, améliorant ainsi la performance globale du système. Exadata X9M combine XRMEM à des algorithmes RDMA innovants qui contournent la pile réseau et d'E/S, éliminant ainsi les interruptions coûteuses d'UC et les commutateurs de contexte.

  Exadata Cloud Infrastructure X9M augmente le débit de sa structure de réseau interne active-active Remote Direct Memory Access sur Ethernet convergé (RoCE) de 100 Gbit/s, offrant une interconnexion plus rapide que les générations précédentes avec une latence extrêmement faible entre tous les serveurs de calcul et de stockage.

• Oracle Database@Azure

  Oracle Database@Azure is the Oracle Database service (Oracle Exadata Database Service on Dedicated Infrastructure or Oracle Autonomous Database Serverless) running on Oracle Cloud Infrastructure (OCI), deployed in Microsoft Azure data centers. Le service offre des fonctions et une parité de prix avec OCI. Les utilisateurs achètent le service sur le marché des applications Azure.

  Oracle Database@Azure intègre les technologies Oracle Exadata Database Service, Oracle Real Application Clusters (Oracle RAC) et Oracle Data Guard dans la plate-forme Azure. Le service Oracle Database@Azure offre la même latence faible que les autres services natifs Azure et répond aux charges de travail critiques et aux besoins de développement natif en nuage. Les utilisateurs gèrent le service sur la console Azure et avec les outils d'automatisation Azure. Le service est déployé dans le réseau virtuel Azure (VNet) et intégré au système de gestion des identités et des accès Azure. Les mesures et les journaux de vérification OCI et Oracle Database sont disponibles de manière native dans Azure. Le service nécessite que les utilisateurs aient une location Azure et une location OCI.

• Chiffrement transparent des données (TDE)

  Le chiffrement transparent des données (TDE) chiffre de manière transparente les données au repos dans Oracle Database. Il arrête les tentatives non autorisées du système d'exploitation pour accéder aux données de base de données stockées dans des fichiers, sans incidence sur la façon dont les applications accèdent aux données à l'aide de SQL. TDE est entièrement intégré à Oracle Database et peut chiffrer des sauvegardes de base de données complètes (RMAN), des exportations Data Pump, des espaces-tables d'application complets ou des colonnes sensibles spécifiques. Les données cryptées restent cryptées dans la base de données, que ce soit dans les fichiers de stockage des tablespaces, les tablespaces temporaires, les tablespaces d'annulation ou d'autres fichiers tels que les fichiers de journalisation.

• Chambre forte de clés

  Oracle Key Vault stocke en toute sécurité des clés de chiffrement, des portefeuilles Oracle, Java KeyStores, des paires de clés SSH et d'autres clés secrètes dans une grappe évolutive tolérante aux défaillances qui prend en charge la norme KMIP OASIS et se déploie dans Oracle Cloud Infrastructure, Microsoft Azure et Amazon Web Services, ainsi que sur place sur du matériel dédié ou des machines virtuelles.

Recommandations

Utilisez les recommandations suivantes comme point de départ. Vos exigences peuvent différer de l'architecture décrite ici.

• ISO pour Oracle Key Vault

  Pour créer la solution Oracle Key Vault appropriée, veillez à utiliser le dernier support d'installation d'Oracle Key Vault. En savoir plus sur le lien Oracle Software Delivery Cloud.

• Création d'images d'Oracle Key Vault

  Pour créer l'image Oracle Key Vault à partir de la norme ISO, utilisez un système local d'au moins 1 To de stockage avec au moins 32 Go de mémoire vive. Créez le disque dur virtuel en tant que taille fixe et au format VHD.

• Grappe multinoeud

  Déployez Oracle Key Vault en tant que grappe à plusieurs noeuds pour atteindre une disponibilité et une fiabilité maximales avec des paires lecture-écriture de noeuds Oracle Key Vault.

  La grappe multimaître Oracle Key Vault est créée avec un premier noeud, puis des noeuds supplémentaires peuvent ensuite être insérés pour former une grappe à plusieurs noeuds avec jusqu'à 8 paires lecture-écriture.

  Le noeud initial est en mode restreint en lecture seule et aucune donnée critique ne peut y être ajoutée. Oracle recommande de déployer un second noeud pour former une paire lecture-écriture avec le premier noeud. Ensuite, le cluster peut être développé avec des paires lecture-écriture afin que les données critiques et non critiques puissent être ajoutées aux noeuds lecture-écriture. Les noeuds en lecture seule peuvent faciliter l'équilibrage de la charge ou la continuité des opérations pendant les opérations de maintenance.

  Consultez la documentation pour savoir comment un cluster multi-maîtres affecte les points d'extrémité, à la fois dans la façon dont un point d'extrémité se connecte et avec des restrictions.

  Pour les déploiements volumineux, installez au moins quatre serveurs Oracle Key Vault. Les points d'extrémité doivent être inscrits en les rendant uniques et équilibrés sur les quatre serveurs pour assurer une haute disponibilité. Par exemple, si un centre de données comporte 1 000 points d'extrémité de base de données à enregistrer et que vous disposez de quatre serveurs Oracle Key Vault pour les accueillir, inscrivez 250 points d'extrémité sur chacun des quatre serveurs.

  Assurez-vous que les horloges système de l'hôte du point d'extrémité et du serveur Oracle Key Vault sont synchronisées. Pour le serveur Oracle Key Vault, la configuration de NTP est requise.

Points à considérer

Tenez compte des points suivants lors du déploiement de cette architecture de référence.

• Performance

  Pour des performances optimales et un équilibrage de charge, ajoutez d'autres paires lecture-écriture.

  Plusieurs noeuds en lecture seule peuvent être ajoutés à une grappe, mais pour optimiser les performances et l'équilibrage de la charge, vous devez disposer de paires lecture-écriture supplémentaires pour éviter la surcharge de la grappe.

  La grappe multimaître Oracle Key Vault nécessite au moins une paire lecture-écriture pour être pleinement opérationnelle. Il peut comporter un maximum de huit paires lecture-écriture.

• Disponibilité

  La grappe à plusieurs noeuds assure la haute disponibilité, la récupération après sinistre, la répartition de la charge et la répartition géographique dans un environnement Oracle Key Vault. Il fournit un mécanisme permettant de créer des paires lecture-écriture de noeuds Oracle Key Vault pour une disponibilité et une fiabilité maximales.

  Après avoir initialisé le cluster, vous pouvez le développer en ajoutant jusqu'à 15 noeuds supplémentaires, en tant que paires lecture-écriture ou noeuds en lecture seule. Un cluster multi-maîtres peut contenir un minimum de deux noeuds et un maximum de 16 noeuds.

  Vous pouvez ajouter des noeuds Oracle Key Vault en lecture seule à la grappe pour assurer une disponibilité encore plus grande aux points d'extrémité qui ont besoin de portefeuilles Oracle, de clés de chiffrement, de magasins de clés Java, de certificats, de fichiers de données d'identification et d'autres objets.

Informations complémentaires

Cliquez sur le lien pour en savoir plus sur la gestion du chiffrement dans Oracle Database@Azure avec Oracle Key Vault.

Vérifiez les ressources supplémentaires suivantes :

• Création d'une image Oracle Key Vault dans Microsoft Azure dans le guide de l'administrateur d'Oracle Key Vault
• Cadre des meilleures pratiques pour Oracle Cloud Infrastructure
• Oracle Database@Azure
• Concepts relatifs à Oracle Key Vault
• Inscription et mise à niveau de points d'extrémité pour Oracle Key Vault dans le guide de l'administrateur d'Oracle Key Vault
• Administration générale du système d'Oracle Key Vault dans le guide de l'administrateur d'Oracle Key Vault
• Oracle Software Delivery Cloud
• En savoir plus sur Oracle Maximum Availability Architecture pour Oracle Database@Azure
• Passez à Oracle Database@Azure avec Oracle Zero Downtime Migration
• Migration du chiffrement transparent des données basé sur des fichiers vers OKV pour ExaDB-D à l'aide de l'automatisation au moyen de REST

Confirmation

• Auteurs : Anwar Belayachi, Peter Wahl, Suzanne Holliday
• Contributeurs : Leo Alvarado, Wei Han, John Sulyok