Distribuire Oracle Key Vault con Oracle Exadata Database Service (Oracle Database@Azure)

Oracle Database@Azure offre ai clienti una nuova opzione per gestire le chiavi di cifratura, i wallet Oracle, i keystore Java (JKS), i keystore JCEKS (Java Cryptography Extension Keystores) e i file delle credenziali, che includono chiavi private SSH, indipendentemente dal cloud in cui operano.

Oracle Key Vault è un sistema di gestione delle chiavi tollerante agli errori, costantemente disponibile e altamente scalabile che è stato appositamente progettato per fornire la gestione delle chiavi per le distribuzioni di database Oracle altamente consolidate, ad esempio Oracle Exadata Database Service su Oracle Database@Azure.

Sebbene Oracle e Azure siano responsabili della protezione dell'infrastruttura sottostante che supporta Oracle Database@Azure, i clienti sono responsabili dell'implementazione dei controlli di sicurezza richiesti nelle loro applicazioni e di qualsiasi meccanismo di configurazione per soddisfare le loro normative su sicurezza e conformità. L'utilizzo di Oracle Key Vault con Oracle Exadata Database Service (Oracle Database@Azure) offre ai clienti i seguenti vantaggi:

• Fault Tolerance
• High Availability
• Scalabilità
• Sicurezza
• Conformità agli standard

Gli oggetti di sicurezza che è possibile gestire con Oracle Key Vault includono chiavi di cifratura, wallet Oracle, JKS (Java Keystores), JCEKS (Java Cryptography Extension Keystores) e file delle credenziali. I file delle credenziali possono includere chiavi private SSH, utilizzate per l'autenticazione a chiave pubblica su server remoti (in locale o in qualsiasi cloud) o password degli account di database per l'esecuzione non presidiata degli script di manutenzione pianificati regolarmente. Oracle Key Vault è ottimizzato per Oracle Cloud Stack (database, middleware, sistemi) e per la cifratura dei dati trasparente (TDE) della sicurezza avanzata. Inoltre, è conforme allo standard di settore OASIS Key Management Interoperability Protocol (KMIP) per la compatibilità con i client basati su KMIP. Oracle Key Vault funziona con gli endpoint, un endpoint è un computer come un database server, un Application Server e altri sistemi informativi. Per poter comunicare con Oracle Key Vault, gli endpoint devono essere registrati e registrati. Gli endpoint iscritti possono caricare le chiavi, condividerle con altri endpoint e scaricarle per accedere ai dati. Le chiavi vengono utilizzate per accedere ai dati cifrati e le credenziali vengono utilizzate per eseguire l'autenticazione in altri sistemi. Per i database server che ospitano uno o più database Oracle, ogni database Oracle sarà almeno un endpoint. Oracle Key Vault semplifica le operazioni quotidiane con database cifrati distribuiti come RAC o con Active Data Guard, database collegabili, OCI GoldenGate e database distribuiti (condivisi) a livello globale. Oracle Key Vault facilita lo spostamento dei dati cifrati utilizzando Oracle Data Pump e le tablespace trasportabili, una funzione chiave di Oracle Database.

Operazioni preliminari

Per usufruire di questa architettura di riferimento, sono necessari i seguenti elementi:

Oracle Database@Azure

• Accesso a una sottoscrizione e a una directory di Azure
• Accesso a una tenancy OCI
• Collegamento multicloud attivo di Oracle Database@Azure tra i cloud Azure e OCI
• Prima del provisioning, assicurati limiti adeguati di Oracle Exadata Database Service e limiti del servizio OCI
  1. Nel menu OCI, fare clic su Governance e amministrazione.
  2. In Gestione tenancy, fare clic su Limiti, quote e uso.
  3. Nell'elenco a discesa Servizio, selezionare Database.
• Pianificare la topologia di rete:
  • Richiede almeno una rete virtuale Azure (VNet) che può essere abbinata a una rete cloud virtuale (VCN) OCI corrispondente
  • I blocchi CIDR per qualsiasi rete VCN Azure VNet e OCI non devono sovrapporsi

Oracle Key Vault

• Accesso a un'immagine di Oracle Key Vault, creata in locale dal file ISO corrispondente
• Requisiti di installazione di Oracle Key Vault
• Impostazione NTP obbligatoria

Architettura

Questa architettura mostra come distribuire Oracle Key Vault su una virtual machine (VM) Microsoft Azure come storage di gestione delle chiavi esterno sicuro a lungo termine per le chiavi di cifratura di Oracle Exadata Database Service in Oracle Database@Azure.

Il diagramma dell'architettura descrive il cluster multimaster consigliato Oracle Key Vault in Azure per fornire una gestione delle chiavi costantemente disponibile, estremamente scalabile e tollerante agli errori per Oracle Database in Oracle Exadata Database Service (Oracle Database@Azure).

Il seguente diagramma illustra questa architettura di riferimento.

Descrizione dell'immagine key-vault-database-azure-diagram.png

key-vault-database-azure-diagram-oracle.zip

Oracle Key Vault per Oracle Database@Azure può essere distribuito in locale, in Azure o in qualsiasi altro cloud, purché sia possibile stabilire la connettività di rete. Sono inoltre possibili cluster Oracle Key Vault estesi (da on-premise al cloud o tra provider cloud), offrendo la massima flessibilità di distribuzione e disponibilità locale delle chiavi di cifratura. Oracle Key Vault offre la funzionalità "tieni la tua chiave" pronta all'uso, senza la necessità di avere un'appliance di gestione delle chiavi di terze parti aggiuntiva e costosa.

L'architettura presenta i seguenti componenti:

• Area di Azure

  Un'area geografica Oracle Cloud Infrastructure è un'area geografica localizzata che contiene uno o più data center, denominati domini di disponibilità. Le regioni sono indipendenti da altre regioni e grandi distanze possono separarle (tra paesi o addirittura continenti).

  Un'area di Azure è un'area geografica in cui risiedono uno o più data center fisici di Azure, denominati zone di disponibilità. Le regioni sono indipendenti da altre regioni e grandi distanze possono separarle (tra paesi o addirittura continenti).

  Azure e le region OCI sono aree geografiche localizzate. Per Oracle Database@Azure, un'area di Azure è connessa a un'area OCI, con zone di disponibilità (AZ) in Azure connesse ai domini di disponibilità (AD) in OCI. Le coppie di aree Azure e OCI vengono selezionate per ridurre al minimo distanza e latenza.

• Zona di disponibilità di Azure

  Una zona di disponibilità è un centro dati fisicamente separato all'interno di un'area progettata per essere disponibile e con tolleranza degli errori. Le zone di disponibilità sono abbastanza vicine da avere connessioni a bassa latenza con altre zone di disponibilità.

• Microsoft Azure Rete virtuale

  La rete virtuale Microsoft Azure (VNet) è la base fondamentale per la rete privata in Azure. VNet consente a molti tipi di risorse di Azure, come le macchine virtuali (VM) di Azure, di comunicare in modo sicuro tra loro, con Internet e con le reti on-premise.

• Exadata Database Service on Dedicated Infrastructure

  Oracle Exadata Database Service offre funzionalità Oracle Database comprovate su un'infrastruttura Oracle Exadata ottimizzata e appositamente creata nel cloud pubblico. L'automazione cloud integrata, la scalabilità elastica delle risorse, la sicurezza e le prestazioni rapide per OLTP, gli analytics in-memory e i carichi di lavoro convergenti di Oracle Database semplificano la gestione e riducono i costi.

  L'infrastruttura Exadata Cloud X9M porta più core CPU, maggiore storage e un fabric di rete più veloce nel cloud pubblico. I server di storage Exadata X9M includono la memoria RDMA (XRMEM) Exadata, che crea un livello aggiuntivo di storage e migliora le prestazioni complessive del sistema. Exadata X9M combina XRMEM con innovativi algoritmi RDMA che ignorano la rete e lo stack I/O, eliminando costosi interrupt CPU e switch di contesto.

  L'infrastruttura Exadata Cloud X9M aumenta il throughput del suo accesso diretto remoto attivo-attivo a 100 Gbps su fabric di rete interno RoCE (Converged Ethernet), fornendo un'interconnessione più rapida rispetto alle generazioni precedenti con latenza estremamente bassa tra tutti i server di calcolo e storage.

• Oracle Database@Azure

  Oracle Database@Azure è il servizio Oracle Database (Oracle Exadata Database Service on Dedicated Infrastructure o Oracle Autonomous Database Serverless) in esecuzione su Oracle Cloud Infrastructure (OCI), distribuito nei data center Microsoft Azure. Il servizio offre funzioni e parità di prezzo con OCI. Gli utenti acquistano il servizio sul Marketplace di Azure.

  Oracle Database@Azure integra le tecnologie Oracle Exadata Database Service, Oracle Real Application Clusters (Oracle RAC) e Oracle Data Guard nella piattaforma Azure. Il servizio Oracle Database@Azure offre la stessa bassa latenza di altri servizi nativi di Azure e soddisfa i carichi di lavoro mission-critical e le esigenze di sviluppo cloud-native. Gli utenti gestiscono il servizio sulla console di Azure e con gli strumenti di automazione di Azure. Il servizio viene distribuito in Azure Virtual Network (VNet) e integrato con il sistema di gestione delle identità e degli accessi di Azure. Le metriche e i log di audit OCI e Oracle Database sono disponibili in modo nativo in Azure. Il servizio richiede che gli utenti dispongano di una tenancy di Azure e di una tenancy OCI.

• Cifratura dei dati trasparente (TDE)

  La Cifratura dei dati trasparente (TDE) cifra in modo trasparente i dati in archivio in un Oracle Database. Blocca i tentativi non autorizzati dal sistema operativo di accedere ai dati del database memorizzati nei file, senza influire sul modo in cui le applicazioni accedono ai dati utilizzando SQL. TDE è completamente integrato con Oracle Database e può cifrare interi backup del database (RMAN), esportazioni di Data Pump, intere tablespace dell'applicazione o colonne con informazioni riservate specifiche. I dati cifrati rimangono cifrati nel database, indipendentemente dal fatto che si trovino nei file di memorizzazione delle tablespace, nelle tablespace temporanee, nelle tablespace di undo o in altri file come i redo log.

• Vault della chiave

  Oracle Key Vault memorizza in modo sicuro le chiavi di cifratura, i wallet Oracle, le coppie di chiavi Java KeyStores, SSH e altri segreti in un cluster scalabile e con tolleranza degli errori che supporta lo standard OASIS KMIP e si distribuisce in Oracle Cloud Infrastructure, Microsoft Azure e Amazon Web Services, nonché in locale su hardware dedicato o macchine virtuali.

Suggerimenti

Utilizzare i seguenti suggerimenti come punto di partenza. Le vostre esigenze potrebbero differire dall'architettura descritta qui.

• ISO Oracle Key Vault

  Per creare la soluzione Oracle Key Vault più adatta, assicurarsi di utilizzare il supporto di installazione più recente di Oracle Key Vault. Per ulteriori informazioni, consulta il collegamento Oracle Software Delivery Cloud.

• Creazione di immagini di Oracle Key Vault

  Per creare l'immagine di Oracle Key Vault dall'ISO, eseguire questa operazione su un sistema locale con almeno 1 TB di storage con almeno 32 GB di RAM. Creare il disco rigido virtuale con una dimensione Fixed e il formato VHD.

• Cluster a più nodi

  Distribuire Oracle Key Vault come cluster a più nodi per ottenere la massima disponibilità e affidabilità con coppie di lettura-scrittura di nodi Oracle Key Vault.

  Il cluster master multiplo di Oracle Key Vault viene creato con un primo nodo, quindi i nodi aggiuntivi possono essere inseriti successivamente per formare un cluster a più nodi con un massimo di 8 coppie di lettura-scrittura.

  Il nodo iniziale è in modalità limitata di sola lettura e non è possibile aggiungere dati critici. Oracle consiglia di distribuire un secondo nodo per formare una coppia di lettura-scrittura con il primo nodo. Dopo di che, il cluster può essere espanso con coppie di lettura-scrittura in modo che sia i dati critici che quelli non critici possano essere aggiunti ai nodi di lettura-scrittura. I nodi di sola lettura possono favorire il bilanciamento del carico o la continuità operativa durante le operazioni di manutenzione.

  Consultare la documentazione per informazioni su come un cluster multimaster influisce sugli endpoint, sia nel modo in cui un endpoint si connette che con le limitazioni.

  Per le distribuzioni di grandi dimensioni, installare almeno quattro server Oracle Key Vault. Gli endpoint devono essere registrati rendendoli unici e bilanciati tra i quattro server per garantire l'alta disponibilità. Ad esempio, se un data center dispone di 1.000 endpoint di database da registrare e si dispone di quattro server Oracle Key Vault per accontentarli, registrare 250 endpoint in ciascuno dei quattro server.

  Assicurarsi che i clock di sistema dell'host endpoint e del server Oracle Key Vault siano sincronizzati. Per il server Oracle Key Vault, è necessaria l'impostazione di NTP.

Considerazioni

Quando si distribuisce questa architettura di riferimento, tenere presente quanto riportato di seguito.

• Prestazioni

  Per prestazioni ottimali e bilanciamento del carico, aggiungere altre coppie di lettura-scrittura.

  È possibile aggiungere più nodi di sola lettura a un cluster, ma per ottimizzare le prestazioni e il bilanciamento del carico, è necessario disporre di più coppie di lettura-scrittura per evitare il sovraccarico del cluster.

  Il cluster multimaster di Oracle Key Vault richiede almeno una coppia di lettura-scrittura per essere completamente operativo. Può avere un massimo di otto coppie di lettura-scrittura.

• Disponibilità

  Il cluster multi-nodo fornisce alta disponibilità, recupero in seguito a calamità, distribuzione del carico e distribuzione geografica in un ambiente Oracle Key Vault. Fornisce un meccanismo per creare coppie di lettura-scrittura di nodi Oracle Key Vault per garantire la massima disponibilità e affidabilità.

  Dopo aver inizializzato il cluster, è possibile espanderlo aggiungendo fino a 15 nodi in più, come coppie di lettura-scrittura o nodi di sola lettura. Un cluster multimaster può contenere un minimo di due nodi e un massimo di 16 nodi.

  È possibile aggiungere al cluster nodi Oracle Key Vault di sola lettura per offrire una disponibilità ancora maggiore agli endpoint che richiedono wallet Oracle, chiavi di cifratura, keystore Java, certificati, file delle credenziali e altri oggetti.

Visualizza altro

Scopri di più sulla gestione della cifratura in Oracle Database@Azure con Oracle Key Vault.

Esamina queste risorse aggiuntive:

• Creating Oracle Key Vault Image in Microsoft Azure nel manuale Oracle Key Vault Administrator's Guide
• Framework delle best practice per Oracle Cloud Infrastructure
• Oracle Database@Azure
• Concetti di Oracle Key Vault
• Iscrizione e aggiornamento degli endpoint per Oracle Key Vault nel manuale Oracle Key Vault Administrator's Guide
• Oracle Key Vault General System Administration nel manuale Oracle Key Vault Administrator's Guide
• Oracle Software Delivery Cloud
• Scopri di più su Oracle Maximum Availability Architecture per Oracle Database@Azure
• Passa a Oracle Database@Azure con Oracle Zero Downtime Migration
• Migrazione della funzione TDE basata su file in OKV per ExaDB-D mediante automazione tramite REST

Conferme

• Autori: Anwar Belayachi, Peter Wahl, Suzanne Holliday
• Collaboratori: Leo Alvarado, Wei Han, John Sulyok