Gestisci chiavi mediante keystore esterno

Questo processo di configurazione è fondamentale per utilizzare keystore esterni per gestire e proteggere le chiavi di cifratura per i database nei sistemi Exadata. Garantire l'installazione corretta, la configurazione delle password e la configurazione della comunicazione per un funzionamento ottimale.

Installazione del server keystore esterno: è responsabilità dell'installazione e della configurazione del server keystore esterno utilizzando la documentazione fornita dal fornitore.

Formato password keystore esterno: il formato della password keystore esterno varia a seconda del provider.

Configurazione di rete: assicurarsi che tra la VM guest e il server keystore esterno sia stabilita una connessione mediante:

• Configurazione della rete necessaria.
• Apertura dei porti necessari.
• Abilitazione del protocollo specificato dal fornitore del keystore esterno.

Installazione della libreria PKCS#11: installare il software relativo a PKCS#11 e configurare la libreria PKCS#11 nelle VM in base alla documentazione del fornitore del keystore esterno.

Limitazioni

• Una sola libreria PKCS#11 del fornitore può essere presente su una VM guest alla volta.
• Le interfacce keystore esterne non possono essere utilizzate per associare le chiavi ai database Oracle in Oracle Exadata Database Service on Dedicated Infrastructure.
• Anche se l'interfaccia del keystore esterno consente di visualizzare le chiavi associate ai database, è possibile che non supporti l'esecuzione delle operazioni di gestione delle chiavi direttamente dall'interfaccia.

Convalida comunicazione: verificare che la libreria PKCS#11 sia in grado di comunicare correttamente con il keystore esterno. Tenere presente che l'automazione cloud non esegue controlli preliminari per convalidare questa connessione. Se la chiave è inaccessibile, il database restituirà un errore con i dettagli pertinenti.

Ora è possibile cifrare i database Oracle in Oracle Exadata Database Service on Dedicated Infrastructure memorizzando la chiave di cifratura master (MEK) in un keystore esterno.

Versioni di database applicabili: 23ai e 19c

Quando si esegue il provisioning di un database, è possibile scegliere tra diverse soluzioni di gestione delle chiavi: Oracle Software Keystore, Oracle Key Vault (OKV) o un keystore esterno.

• La soluzione di gestione delle chiavi selezionata si applica all'intero container database (CDB) e a tutti i pluggable database (PDB) in esso contenuti. Se un CDB è configurato per l'uso di un keystore esterno, tutti i PDB associati utilizzeranno anche il keystore esterno. Impossibile selezionare soluzioni di gestione delle chiavi diverse a livello di PDB.
• Sebbene la soluzione di gestione delle chiavi debba essere coerente tra il CDB e i relativi PDB, PDB diversi all'interno dello stesso CDB possono utilizzare chiavi di cifratura distinte, offrendo flessibilità nell'uso delle chiavi nei PDB.

Questa funzionalità garantisce che le chiavi di cifratura riservate vengano memorizzate in modo sicuro in un keystore esterno, offrendo un ulteriore livello di sicurezza per i database.

Per ulteriori informazioni, vedere https://support.oracle.com/support/?kmExternalId=FAQ2403.

Quando un database è protetto da un keystore esterno, l'aggiunta di una nuova virtual machine (VM) al cluster è limitata.

Se uno o più database in un cluster VM sono configurati con un keystore esterno, viene visualizzato il messaggio riportato di seguito.

While you should be able to add the virtual machine to the existing VM cluster, the database instance will not be extended to the newly created VM. This is because one or more databases on this VM cluster are configured with an external keystore. You must configure the external keystore on the newly created VM, then run the dbaascli command to extend the database instances to the new VM.