Gestione delle chiavi di cifratura su dispositivi esterni
Scopri come memorizzare e gestire le chiavi di cifratura del database.
Sono disponibili due opzioni per memorizzare e gestire le chiavi di cifratura del database per i database in Oracle Exadata Database Service on Cloud@Customer:
- In un file wallet di login automatico memorizzato in un file system Oracle Advanced Cluster File System (Oracle ACFS) accessibile dal sistema operativo VM del cliente.
- Oracle Key Vault.
- Chiavi gestite dal cliente in Oracle Exadata Database Service on Cloud@Customer
Le chiavi gestite dal cliente per Oracle Exadata Database Service on Cloud@Customer sono una funzione che consente di eseguire la migrazione della chiave di cifratura principale TDE di Oracle Database per un Oracle Database dal file wallet protetto da password memorizzato nell'apparecchiatura Oracle Exadata Database Service on Cloud@Customer a un server OKV controllato dall'utente. - Informazioni su Oracle Key Vault
Oracle Key Vault è un'appliance software full-stack e con protezione avanzata creata per centralizzare la gestione delle chiavi e degli oggetti di sicurezza all'interno dell'azienda. - Panoramica del keystore
Integrare Oracle Key Vault (OKV) on-premise con i servizi cloud di database gestiti dal cliente per proteggere i dati critici on-premise. - Policy IAM obbligatoria per la gestione di OKV su Oracle Exadata Database Service on Cloud@Customer
Analizzare il criterio di gestione dell'accesso alle identità (IAM) per la gestione di OKV sui sistemi Oracle Exadata Database Service on Cloud@Customer. - Applicazione di tag alle risorse
È possibile applicare tag alle risorse per organizzarle in base alle esigenze aziendali. - Spostamento delle risorse in un altro compartimento
È possibile spostare le risorse del vault, del segreto e del keystore OKV da un compartimento all'altro. - Impostazione dell'utilizzo di Oracle Exadata Database Service on Cloud@Customer con Oracle Key Vault
- Gestione del keystore
- Amministrazione delle chiavi TDE (Transparent Data Encryption)
Usare questa procedura per modificare la configurazione di gestione delle chiavi. - Come duplicare manualmente un pluggable database (PDB) da un container database remoto (CDB) quando i dati vengono cifrati con la chiave di cifratura principale (MEK, Master Encryption Key) in Oracle Key Vault (OKV)
- Come aggiornare la home di Oracle Key Vault (OKV) in ExaDB-C@C
Argomento padre: guide esplicative
Chiavi gestite dal cliente in Oracle Exadata Database Service on Cloud@Customer
Le chiavi gestite dal cliente per Oracle Exadata Database Service on Cloud@Customer sono una funzione che consente di eseguire la migrazione della chiave di cifratura principale TDE di Oracle Database per un Oracle Database dal file wallet protetto da password memorizzato nell'apparecchiatura Oracle Exadata Database Service on Cloud@Customer a un server OKV controllato dall'utente.
Oracle Key Vault (OKV) fornisce la gestione delle chiavi e dei segreti con tolleranza degli errori, alta disponibilità e scalabilità per i database ExaDB-C@C cifrati. Utilizza le chiavi gestite dal cliente quando hai bisogno di governance della sicurezza, conformità alle normative e crittografia omogenea dei dati, gestendo, memorizzando e monitorando centralmente il ciclo di vita delle chiavi che utilizzi per proteggere i tuoi dati.
È possibile effettuare le seguenti operazioni.
- Passare dalle chiavi gestite da Oracle alle chiavi gestite dal cliente sui database non abilitati con Oracle Data Guard.
- Ruotare le chiavi per mantenere la conformità alla sicurezza.
- È supportata anche la rotazione della chiave PDB. Le operazioni Ruota CDB e Chiave PDB sono consentite solo se il database è gestito dal cliente.
Requisiti
- Per abilitare la gestione delle chiavi di cifratura gestite dal cliente, è necessario creare un criterio nella tenancy che consenta a un determinato gruppo dinamico di farlo. Per ulteriori informazioni, vedere Impostazione di Oracle Exadata Database Service on Cloud@Customer per l'utilizzo di Oracle Key Vault.
- I pluggable database devono essere configurati in modalità United. Per ulteriori informazioni sulla modalità United, vedere Gestione dei keystore e delle chiavi di cifratura principali TDE in modalità United.
Modalità isolata non supportata. Per ulteriori informazioni sulla modalità isolata, vedere Gestione dei keystore e delle chiavi di cifratura principali TDE in modalità isolata
- Se per Oracle Key Vault è stato configurato un servizio di database Exadata utilizzando le procedure pubblicate nella pagina relativa alla migrazione della funzione TDE basata su file a OKV per Exadata Database Service on Cloud at Customer Gen2 (ID documento 2823650.1), è necessario aprire una richiesta di servizio My Oracle Support (MOS) per fare in modo che le operazioni cloud Oracle aggiornino la configurazione del piano di controllo in modo che rifletta le informazioni di Oracle Key Vault per il servizio di database Exadata specifico
Argomento padre: Gestione delle chiavi di cifratura sui dispositivi esterni
Informazioni su Oracle Key Vault
Oracle Key Vault è un'appliance software full-stack e con protezione avanzata creata per centralizzare la gestione delle chiavi e degli oggetti di sicurezza all'interno dell'azienda.
Oracle Key Vault è un sistema gestito e con provisioning eseguito dai clienti e non fa parte dei servizi gestiti di Oracle Cloud Infrastructure.
Argomenti correlati
Argomento padre: Gestione delle chiavi di cifratura sui dispositivi esterni
Panoramica del keystore
Integra Oracle Key Vault (OKV) on-premise con i servizi cloud di database gestiti dai clienti per proteggere i dati critici on-premise.
L'integrazione di Oracle Key Vault consente di assumere il controllo completo delle chiavi di cifratura e di memorizzarle in modo sicuro su un dispositivo di gestione delle chiavi esterno e centralizzato.
OKV è ottimizzato per i wallet Oracle, i keystore Java e le chiavi principali TDE (Transparent Data Encryption) di Oracle Advanced Security. Oracle Key Vault supporta lo standard KMIP OASIS. L'appliance software full-stack e con protezione avanzata utilizza la tecnologia Oracle Linux e Oracle Database per garantire sicurezza, disponibilità e scalabilità e può essere distribuita su un hardware compatibile a scelta.
OKV fornisce inoltre un'interfaccia REST per i client per l'iscrizione automatica degli endpoint e l'impostazione di wallet e chiavi. Affinché Autonomous Databases on Exadata Cloud@Customer si connettano all'interfaccia REST OKV, creare un keystore nella tenancy per memorizzare l'indirizzo IP e le credenziali di amministratore di OKV. Exadata Cloud@Customer memorizza temporaneamente la password dell'amministratore utente REST di OKV necessaria per connettersi all'appliance OKV in un file wallet protetto da password in modo che il software in esecuzione nella VM del cliente possa connettersi al server OKV. Dopo la migrazione delle chiavi TDE in OKV, il software di automazione del cloud rimuoverà la password dal file wallet. Assicurarsi di creare un segreto con il servizio Vault di Oracle, in cui verrà memorizzata la password necessaria per consentire ai database autonomi di connettersi a OKV per la gestione delle chiavi.
Per ulteriori informazioni, vedere "Oracle Key Vault".
Argomenti correlati
Argomento padre: Gestione delle chiavi di cifratura sui dispositivi esterni
Criterio IAM richiesto per la gestione di OKV su Oracle Exadata Database Service on Cloud@Customer
Rivedere i criteri di gestione dell'accesso alle identità (IAM) per la gestione di OKV sui sistemi Oracle Exadata Database Service on Cloud@Customer.
Un criterio è un documento IAM che specifica chi dispone del tipo di accesso alle risorse. Viene utilizzato in diversi modi: per singola istruzione scritta nel linguaggio dei criteri, per raccolta di istruzioni in un singolo documento denominato "criterio" (a cui è assegnato un ID Oracle Cloud (OCID) e per indicare il corpo complessivo dei criteri utilizzati dall'organizzazione per controllare l'accesso alle risorse.
Per compartimento si intende una raccolta di risorse correlate alle quali possono accedere solo determinati gruppi autorizzati da un amministratore dell'organizzazione.
Per utilizzare Oracle Cloud Infrastructure, devi ricevere il tipo di accesso richiesto in un criterio scritto da un amministratore, sia che tu stia utilizzando la console, sia che tu stia utilizzando l'API REST con un kit di sviluppo software (SDK), un'interfaccia della riga di comando (CLI) o qualche altro strumento. Se si tenta di eseguire un'azione e si riceve un messaggio che informa che non si dispone dell'autorizzazione o che non si è autorizzati, confermare con l'amministratore il tipo di accesso concesso e il compartimento in cui si dovrebbe lavorare.
Per gli amministratori: il criterio in "Consenti agli amministratori del database di gestire i sistemi DB" consente al gruppo specificato di eseguire qualsiasi operazione con i database e le risorse di database correlate.
Se non si ha familiarità con i criteri, vedere "Guida introduttiva ai criteri" e "Criteri comuni". Se si desidera approfondire la scrittura dei criteri per i database, vedere "Dettagli per il servizio di database".
Applicazione di tag alle risorse
Puoi applicare tag alle tue risorse per aiutarti a organizzarle in base alle tue esigenze aziendali.
È possibile applicare le tag al momento della creazione di una risorsa oppure aggiornare la risorsa in un secondo momento con le tag desiderate. Per informazioni generali sull'applicazione dei tag, vedere "Tag risorsa".
Argomenti correlati
Argomento padre: Gestione delle chiavi di cifratura sui dispositivi esterni
Spostamento delle risorse in un altro compartimento
È possibile spostare le risorse del vault, del segreto e del keystore OKV da un compartimento all'altro.
Dopo aver spostato una risorsa OCI in un nuovo compartimento, i criteri intrinseci vengono applicati immediatamente e influiscono sull'accesso alla risorsa. Lo spostamento di una risorsa del vault OKV non influisce sull'accesso a chiavi del vault OKV o a segreti del vault OKV contenuti nel vault. È possibile spostare le chiavi del vault OKV o i segreti del vault OKV da un compartimento all'altro indipendentemente dallo spostamento del vault OKV a cui è associato. Per ulteriori informazioni, vedere Gestione dei compartimenti.
Argomenti correlati
Argomento padre: Gestione delle chiavi di cifratura sui dispositivi esterni
Impostazione di Oracle Exadata Database Service on Cloud@Customer per l'utilizzo di Oracle Key Vault
- Assicurarsi che OKV sia impostato e che la rete sia accessibile dalla rete client Exadata. Aprire le porte 443, 5695 e 5696 per i dati in uscita sulla rete client per il software client OKV e l'istanza di database Oracle per accedere al server OKV.
- Assicurarsi che l'interfaccia REST sia abilitata dall'interfaccia utente OKV.
- Crea l'utente "Amministratore REST OKV".
È possibile utilizzare qualsiasi nome utente qualificato di propria scelta, ad esempio "okv_rest_user". Per ADB-C@C e ExaDB-C@C, utilizzare gli stessi utenti REST o diversi. Tali database possono essere gestiti mediante chiavi negli stessi cluster OKV in locale o in cluster diversi. Per ExaDB-C@C è necessario un utente REST con privilegio
create endpoint
. Per ADB-C@C è necessario un utente REST con privilegicreate endpoint
ecreate endpoint group
. - Raccogliere le credenziali e l'indirizzo IP dell'amministratore OKV, necessario per connettersi a OKV.
Per ulteriori informazioni, vedere Requisiti delle porte di rete, Gestione degli utenti di Oracle Key Vault e Gestione dei ruoli amministrativi e dei privilegi utente
- Passo 1: creare un vault nel servizio vault OKV e aggiungere un segreto al vault per memorizzare la password dell'amministratore REST OKV
- Passo 2: creare un gruppo dinamico e un'istruzione dei criteri per consentire al keystore di accedere al segreto nel vault OKV
- Passo 3: creare un gruppo dinamico e un'istruzione dei criteri per l'infrastruttura Exadata nel keystore
- Passo 4: creare un'istruzione dei criteri per consentire al servizio di database di utilizzare il segreto dal servizio OKV Vault
- Passo 5: creazione del keystore
Argomenti correlati
Argomento padre: Gestione delle chiavi di cifratura sui dispositivi esterni
Passo 1: creare un vault nel servizio vault OKV e aggiungere un segreto al vault per memorizzare la password dell'amministratore REST OKV
L'infrastruttura Exadata Cloud@Customer comunica con OKV su REST ogni volta che viene eseguito il provisioning di un Oracle Database per registrare Oracle Database e richiedere un wallet su OKV. Pertanto, l'infrastruttura Exadata deve accedere alle credenziali di amministratore REST per eseguire la registrazione con il server OKV.
Queste credenziali vengono memorizzate in modo sicuro nel servizio Oracle Vault in OCI sotto forma di segreto e vi si accede dall'infrastruttura Exadata Cloud@Customer solo quando necessario. Se necessario, le credenziali vengono memorizzate in un file wallet protetto da password.
Per memorizzare la password dell'amministratore OKV nel servizio OKV Vault, creare un vault attenendosi alle istruzioni descritte in Gestione dei vault e creare un segreto in tale vault seguendo le istruzioni descritte in Gestione dei segreti.
Argomenti correlati
Passo 2: creare un gruppo dinamico e un'istruzione dei criteri per consentire al keystore di accedere al segreto nel vault OKV
Per concedere alle risorse del keystore l'autorizzazione per accedere al segreto nel vault OKV, creare un gruppo dinamico IAM che identifichi queste risorse, quindi creare un criterio IAM che conceda a questo gruppo dinamico l'accesso al segreto creato nei vault e nei segreti OKV.
Quando si definisce il gruppo dinamico, è possibile identificare le risorse del keystore specificando l'OCID del compartimento contenente il keystore.
Argomenti correlati
Passo 3: creare un gruppo dinamico e un'istruzione dei criteri per l'infrastruttura Exadata nel keystore
Per concedere alle risorse dell'infrastruttura Exadata l'autorizzazione per accedere al keystore, è necessario creare un gruppo dinamico IAM che identifichi queste risorse, quindi creare un criterio IAM che conceda a questo gruppo dinamico l'accesso al keystore creato.
Quando si definisce il gruppo dinamico, è possibile identificare le risorse dell'infrastruttura Exadata specificando l'OCID del compartimento contenente l'infrastruttura Exadata.
Passo 4: creare un'istruzione dei criteri per consentire al servizio di database di utilizzare il segreto dal servizio vault OKV
allow service database to read secret-family in compartment <vaults-and-secrets-compartment>
dove <vaults-and-secrets-compartment> è il nome del compartimento in cui sono stati creati i vault e i segreti OKV.
Dopo aver impostato il vault OKV e aver impostato la configurazione IAM, è ora possibile distribuire il ' keystore' di Oracle Key Vault in OCI e associarlo al cluster VM Exadata Cloud@Customer.
Gestione del keystore
- Visualizza dettagli keystore
Seguire questi passi per visualizzare i dettagli del keystore che includono i dettagli di connessione a Oracle Key Vault (OKV) e la lista dei database associati. - Modifica dettagli keystore
È possibile modificare un keystore solo se non è associato ad alcun CDB. - Sposta un keystore in un altro compartimento
Segui questi passi per spostare un keystore su un sistema Oracle Exadata Database Service on Cloud@Customer da un compartimento a un altro compartimento. - Eliminare un keystore
È possibile eliminare un keystore solo se non è associato ad alcun CDB. - Visualizza dettagli container database associati a keystore
Per visualizzare i dettagli del container database associato a un keystore, attenersi alla procedura riportata di seguito. - Uso dell'interfaccia API per gestire il keystore
Informazioni su come utilizzare l'interfaccia API per gestire il keystore.
Argomento padre: Gestione delle chiavi di cifratura sui dispositivi esterni
Visualizza dettagli keystore
Attenersi alla procedura riportata di seguito per visualizzare i dettagli del keystore che includono i dettagli di connessione a Oracle Key Vault (OKV) e la lista dei database associati.
Argomento padre: Gestione del keystore
Modifica dettagli keystore
È possibile modificare un keystore solo se non è associato ad alcun CDB.
- Aprire il menu di navigazione. In Oracle Database, fare clic su Exadata Database Service on Cloud@Customer.
- Scegliere il compartimento.
- Fare clic su Archivi chiavi.
- Fare clic sul nome del keystore o sull'icona Azioni (tre punti), quindi fare clic su Visualizza dettagli.
- Nella pagina Dettagli keystore fare clic su Modifica.
- Nella pagina Modifica keystore apportare le modifiche necessarie, quindi fare clic su Salva modifiche.
Argomento padre: Gestione del keystore
Spostare un keystore in un altro compartimento
Attenersi alla procedura riportata di seguito per spostare un keystore in un sistema Oracle Exadata Database Service on Cloud@Customer da un compartimento a un altro compartimento.
Argomento padre: Gestione del keystore
Elimina un keystore
È possibile eliminare un keystore solo se non è associato ad alcun CDB.
Argomento padre: Gestione del keystore
Visualizza dettagli container database associato al keystore
Attenersi alla procedura riportata di seguito per visualizzare i dettagli del container database associato a un keystore.
- Aprire il menu di navigazione. In Oracle Database, fare clic su Exadata Database Service on Cloud@Customer.
- Scegliere il compartimento.
- Fare clic su Archivi chiavi.
- Nella pagina Negozi chiavi risultante, fare clic sul nome del keystore o sull'icona Azioni (tre punti), quindi fare clic su Visualizza dettagli.
- Fare clic su Database associati.
- Fare clic sul nome del database associato o sull'icona Azioni (tre punti), quindi fare clic su Visualizza dettagli.
Argomento padre: Gestione del keystore
Utilizzo dell'API per gestire il keystore
Scopri come utilizzare l'API per gestire il keystore.
Per informazioni sull'uso dell'API e delle richieste di firma, vedere "API REST" e "Credenziali di sicurezza". Per informazioni sugli SDK, vedere "Software Development Kits and Command Line Interface".
La tabella riportata di seguito elenca gli endpoint dell'API REST per gestire il keystore.
Operazione | Endpoint API REST |
---|---|
Crea keystore OKV |
|
Visualizza keystore OKV |
|
Aggiorna keystore OKV |
|
Elimina keystore OKV |
|
Modifica compartimento del keystore |
|
Scegli tra la cifratura gestita dal cliente e quella gestita da Oracle |
|
Recupera il nome del keystore (OKV o gestito da Oracle) e del wallet OKV |
|
Modifica tipo di keystore |
|
Ruota OKV e chiave gestita da Oracle |
|
Argomenti correlati
Argomento padre: Gestione del keystore
Amministrare le chiavi TDE (Transparent Data Encryption)
Utilizzare questa procedura per modificare la configurazione di gestione delle chiavi.
Dopo aver eseguito il provisioning di un database in un sistema ExaDB-C@C, è possibile modificare la gestione delle chiavi ed eseguire operazioni quali la rotazione delle chiavi TDE.
- È possibile modificare la gestione delle chiavi da Oracle Wallet ad altre opzioni disponibili.
- Quando si modifica la gestione delle chiavi in OKV, il database subirà un'operazione di arresto interrotto seguita da un riavvio. Pianificare l'esecuzione della migrazione in una finestra di manutenzione pianificata.
- È necessario ruotare le chiavi TDE solo tramite le interfacce OCI (console, API).
- Non è possibile ruotare una chiave di cifratura:
- quando è in corso un ripristino del database in una determinata Oracle home.
- quando è in corso l'applicazione di patch a un database o a una home del database.
- La migrazione delle chiavi TDE a Oracle Key Vault (OKV) richiede 10 minuti di tempo di inattività. Durante la migrazione, lo stato del database sarà UPDATING e le connessioni potrebbero non riuscire a causa di più riavvii del database per abilitare OKV. Le applicazioni possono riprendere l'operazione al termine della migrazione e quando il database torna allo stato ACTIVE originale.
- La password del keystore OKV verrà impostata sulla password del wallet TDE.
Attenzione:
Dopo aver modificato la gestione delle chiavi, l'eliminazione della chiave da OKV renderà il database non più disponibile.
Nella pagina dei dettagli del database per questo database, la sezione Cifratura visualizza il nome della chiave di cifratura e l'OCID della chiave di cifratura.
Argomenti correlati
Argomento padre: Gestione delle chiavi di cifratura sui dispositivi esterni
Come duplicare manualmente un pluggable database (PDB) da un container database remoto (CDB) quando i dati vengono cifrati con la chiave di cifratura master (MEK) in Oracle Key Vault (OKV)
Lo strumento dbaascli consente di duplicare i PDB quando il CDB di origine e il CDB di destinazione sono uguali (copia locale) o se sono diversi (copia remota). Tuttavia, non è possibile duplicare un PDB remoto se i dati sono cifrati con una chiave MEK in OKV.
Per decifrare o cifrare i dati durante una copia remota, il container database deve avere accesso alla chiave MEK. La chiave MEK deve essere resa disponibile al CDB di destinazione quando è memorizzata nel server OKV.
- Il CDB di origine e il CDB di destinazione sono cifrati con MEK nello stesso server OKV
- Il CDB di origine e il CDB di destinazione vengono cifrati con MEK in un server OKV diverso
Argomenti correlati
Argomento padre: Gestione delle chiavi di cifratura sui dispositivi esterni
Come aggiornare la home di Oracle Key Vault (OKV) in ExaDB-C@C
Dopo aver eseguito la migrazione del tipo di cifratura dalle chiavi gestite da Oracle alle chiavi gestite dal cliente (Oracle Key Vault), la home OKV in DomUs rimane con la stessa versione utilizzata per la migrazione.
Se il server OKV viene aggiornato, la funzionalità continuerà a funzionare a causa della compatibilità con le versioni precedenti. Tuttavia, il cliente potrebbe voler ottenere le nuove funzionalità per gli strumenti client. In tal caso, aggiornare la home OKV e la libreria PKCS#11
.
Argomento padre: Gestione delle chiavi di cifratura sui dispositivi esterni