Gérer les clés à l'aide d'un fichier de clés externe

Passez en revue les cas d'utilisation et les détails d'implémentation d'un fichier de clés externe.

Configuration d'un fichier de clés externe

Ce processus de configuration est crucial pour l'utilisation de fichiers de clés externes afin de gérer et de sécuriser les clés de cryptage de vos bases de données sur des systèmes Exadata. Assurez-vous que l'installation, la configuration du mot de passe et la configuration de la communication sont correctes pour un fonctionnement transparent.

Contactez votre fournisseur de fichier de clés externe pour connaître les étapes de configuration détaillées. Les détails décrits ci-dessous fournissent un aperçu général des étapes génériques requises pour configurer un fichier de clés externe.

Installation du serveur de fichier de clés externe : vous êtes responsable de l'installation et de la configuration du serveur de fichier de clés externe à l'aide de la documentation fournie par le fournisseur.

Format du mot de passe du fichier de clés externe : le format du mot de passe du fichier de clés externe varie en fonction du fournisseur.

Configuration réseau : assurez-vous qu'une connexion est établie entre la machine virtuelle invitée et le serveur de fichier de clés externe en procédant comme suit :

  • Configuration du réseau requis.
  • Ouverture des ports nécessaires.
  • Activation du protocole spécifié par le fournisseur du fichier de clés externe.

Installation de la bibliothèque PKCS#11 : installez le logiciel PKCS#11 et configurez la bibliothèque PKCS#11 sur les machines virtuelles en fonction de la documentation du fournisseur du fichier de clés externe.

Limites:

  • Une seule bibliothèque PKCS#11 fournisseur peut être présente sur une machine virtuelle invitée à la fois.
  • Les interfaces de fichier de clés externes ne peuvent pas être utilisées pour associer des clés à des bases de données Oracle sur Oracle Exadata Database Service on Cloud@Customer.
  • Bien que l'interface de fichier de clés externe vous permette d'afficher les clés associées aux bases de données, elle peut ne pas prendre en charge l'exécution des opérations de gestion des clés directement à partir de l'interface.

Validation de la communication : vérifiez que la bibliothèque PKCS#11 peut communiquer avec le keystore externe. L'automatisation du cloud n'effectue pas de prévérifications pour valider cette connexion. Si la clé est inaccessible, la base de données renvoie une erreur avec les détails pertinents.

Pour plus d'informations, reportez-vous à https://support.oracle.com/support/?kmExternalId=FAQ2403.

Stockage des clés dans un fichier de clés externe

Vous pouvez désormais crypter les bases de données Oracle sur Oracle Exadata Database Service on Cloud@Customer en stockant les clés dans un fichier de clés externe.

Versions de base de données applicables : 23ai et 19c

Lors du provisionnement d'une base de données, vous avez la possibilité de choisir parmi différentes solutions de gestion des clés : le fichier de clés logiciel Oracle, Oracle Key Vault (OKV) ou un fichier de clés externe.

  • La solution de gestion des clés sélectionnée s'applique à l'ensemble de la base de données Conteneur et à toutes les bases de données pluggables qu'elle contient. Si une base de données Conteneur est configurée pour utiliser un fichier de clés externe, toutes les bases de données pluggables associées utilisent également le fichier de clés externe. Vous ne pouvez pas sélectionner d'autres solutions de gestion des clés au niveau de la base de données pluggable.
  • Si la solution de gestion des clés doit être cohérente dans l'ensemble de la base de données Conteneur et de ses bases de données pluggables, différentes bases de données pluggables d'une même base de données Conteneur peuvent utiliser des clés de cryptage distinctes, ce qui offre une certaine flexibilité dans l'utilisation des clés dans les bases de données pluggables.

Cette fonctionnalité garantit que les clés de cryptage confidentielles sont stockées en toute sécurité dans un fichier de clés externe, offrant ainsi une couche de sécurité supplémentaire pour vos bases de données.

Restrictions relatives à l'ajout d'une machine virtuelle à un cluster de machines virtuelles configuré avec un fichier de clés externe

Lorsqu'une base de données est protégée par un fichier de clés externe, l'ajout d'une nouvelle machine virtuelle au cluster est limité.

Si des bases de données sur un cluster de machines virtuelles sont configurées avec un fichier de clés externe, le message suivant s'affiche :

"While you should be able to add the virtual machine to the existing VM cluster, the database instance will not be extended to the newly created VM. This is because one or more databases on this VM cluster are configured with an external keystore. You must configure the external keystore on the newly created VM, then run the dbaascli command to extend the database instances to the new VM."