Gestisci chiavi mediante un keystore esterno

Rivedere i casi d'uso e i dettagli di implementazione di un keystore esterno.

Configurazione di un keystore esterno

Questo processo di configurazione è fondamentale per utilizzare i keystore esterni per gestire e proteggere le chiavi di cifratura per i database nei sistemi Exadata. Assicurati che l'installazione, la configurazione delle password e l'impostazione delle comunicazioni siano corrette per un funzionamento ottimale.

Rivolgersi al fornitore del keystore esterno per i passi di configurazione dettagliati. I dettagli descritti di seguito forniscono una panoramica generale dei passi generici necessari per configurare un keystore esterno.

Installazione del server keystore esterno: l'utente è responsabile dell'installazione e della configurazione del server keystore esterno utilizzando la documentazione fornita dal fornitore.

Formato password keystore esterno: il formato della password del keystore esterno varia a seconda del provider.

Configurazione di rete: assicurarsi che venga stabilita una connessione tra la VM guest e il server keystore esterno mediante:

  • Configurazione della rete richiesta.
  • Apertura delle porte necessarie.
  • Abilitazione del protocollo specificato dal fornitore del keystore esterno.

Installazione della libreria PKCS#11: installare il software correlato a PKCS#11 e configurare la libreria PKCS#11 nelle VM in base alla documentazione del fornitore del keystore esterno.

Limitazioni

  • In una VM guest può essere presente una sola libreria PKCS#11 alla volta.
  • Le interfacce keystore esterne non possono essere utilizzate per associare le chiavi ai database Oracle in Oracle Exadata Database Service on Cloud@Customer.
  • Sebbene l'interfaccia del keystore esterno consenta di visualizzare le chiavi associate ai database, potrebbe non supportare l'esecuzione di operazioni di gestione delle chiavi direttamente dall'interfaccia.

Convalida della comunicazione: verificare che la libreria PKCS#11 possa comunicare correttamente con il keystore esterno. Si noti che l'automazione cloud non esegue controlli preliminari per convalidare questa connessione. Se la chiave non è accessibile, il database restituirà un errore con i dettagli pertinenti.

Per ulteriori informazioni, vedere https://support.oracle.com/support/?kmExternalId=FAQ2403.

Memorizzazione delle chiavi in un keystore esterno

Ora è possibile cifrare i database Oracle in Oracle Exadata Database Service on Cloud@Customer memorizzando le chiavi in un keystore esterno.

Versioni del database applicabili: 23ai e 19c

Quando si esegue il provisioning di un database, è possibile scegliere tra diverse soluzioni di gestione delle chiavi: Oracle Software Keystore, Oracle Key Vault (OKV) o un keystore esterno.

  • La soluzione di gestione delle chiavi selezionata si applica all'intero container database (CDB) e a tutti i pluggable database (PDB) in esso contenuti. Se un CDB è configurato per utilizzare un keystore esterno, anche tutti i PDB associati utilizzeranno il keystore esterno. Non è possibile selezionare soluzioni di gestione delle chiavi diverse a livello di PDB.
  • Sebbene la soluzione di gestione delle chiavi debba essere coerente nel CDB e nei relativi PDB, diversi PDB all'interno dello stesso CDB possono utilizzare chiavi di cifratura distinte, offrendo flessibilità nell'uso delle chiavi nei PDB.

Questa funzionalità garantisce che le chiavi di cifratura riservate vengano memorizzate in modo sicuro in un keystore esterno, offrendo un ulteriore livello di sicurezza per i database.

Limitazioni all'aggiunta di una virtual machine a un cluster VM configurato con un keystore esterno

Quando un database è protetto da un keystore esterno, l'aggiunta di una nuova virtual machine (VM) al cluster è limitata.

Se uno o più database in un cluster VM sono configurati con un keystore esterno, viene visualizzato il messaggio seguente:

"While you should be able to add the virtual machine to the existing VM cluster, the database instance will not be extended to the newly created VM. This is because one or more databases on this VM cluster are configured with an external keystore. You must configure the external keystore on the newly created VM, then run the dbaascli command to extend the database instances to the new VM."