Autonomous Database on Dedicated Exadata Infrastructure의 마스터 암호화 키
기본적으로 Autonomous Database on Dedicated Exadata Infrastructure는 데이터를 보호하는 데 사용되는 모든 마스터 암호화 키를 생성하고 관리하며 데이터베이스가 상주하는 동일한 Exadata 시스템의 보안 PKCS 12 키 저장소에 저장합니다. 이러한 키를 Oracle 관리 암호화 키라고 합니다.
Oracle Managed Keys를 사용하여 Oracle은 Oracle 관리 메타 데이터로 키의 전체 수명 주기를 보장합니다. Exadata Cloud@Customer 배포 시 백업에 대한 액세스는 공동의 책임이며, 고객은 Oracle API가 내부 키 관리 수명 주기 작업을 수행할 수 있도록 데이터베이스 환경과 백업 파일 접근성을 보장해야 합니다.
회사의 보안 정책에 필요한 경우 Autonomous Database는 대신 Oracle Key Store를 사용하여 생성 및 관리하는 키를 사용할 수 있습니다. Oracle Public Cloud 배포의 경우 Oracle Cloud Infrastructure Vault 서비스를 사용하여 키를 생성하고 관리할 수도 있습니다. 규제 준수를 통해 Oracle Cloud 외부 또는 타사 클라우드 프레미스에 키를 저장하는 고객은 외부 키 관리 서비스(외부 KMS)를 사용할 수 있습니다.
OCI Vault 서비스를 사용하여 고객 관리 키를 생성할 때 Vault 서비스가 내부적으로 키 자료를 생성하도록 하는 대신 자체 키 자료(자체 키 또는 BYOK 가져오기)를 임포트할 수도 있습니다.
주의:
OKV(Oracle Key Vault)에 저장된 고객 관리 키는 데이터베이스 호스트 외부에 있으므로 해당 키를 사용하여 데이터베이스에 OKV에 액세스할 수 없게 만드는 구성 변경 또는 중단으로 인해 데이터에 액세스할 수 없게 됩니다.
또한 Oracle 관리 키 또는 고객 관리 키를 사용하는지 여부에 관계없이 회사 보안 정책을 충족하기 위해 필요할 때 기존 데이터베이스에서 사용되는 키를 교체할 수 있습니다. 자세한 내용은 Rotate the Encryption Keys를 참조하십시오.
시작하기 전에: 컴파트먼트 계층 최적의 사용법
- 전체 배포를 위한 "상위" 구획
- 다양한 각 리소스 유형에 대한 "하위" 구획:
- 자율운영 데이터베이스
- 자율운영 컨테이너 데이터베이스 및 인프라 리소스(Exadata 인프라 및 자율운영 Exadata VM 클러스터)
- VCN(가상 클라우드 네트워크) 및 해당 서브넷
- 고객 관리 키를 포함하는 저장소
Autonomous Database 키에 대한 액세스 권한을 부여하기 위해 생성한 정책 문은 저장소 및 해당 키가 포함된 컴파트먼트보다 컴파트먼트 계층에서 더 높은 정책에 추가되어야 하므로, 고객 관리 키를 사용할 때는 이 모범 사례를 따르는 것이 특히 중요합니다.
관련 항목
저장소 서비스에서 고객 관리 키 사용
저장소 서비스에 저장된 고객 관리 키를 사용하려면 먼저 여러 가지 준비 구성 작업을 수행하여 저장소 및 마스터 암호화 키를 생성한 다음 해당 저장소 및 해당 키를 Autonomous Database에서 사용할 수 있도록 설정해야 합니다. 특히 다음과 같습니다.
- Oracle Cloud Infrastructure 설명서의 새 저장소를 생성하려면에 나와 있는 지침에 따라 저장소 서비스에서 저장소를 생성합니다. 이러한 지침에 따라 Oracle은 Compartment Hierarchy Best Practice에 설명된 대로 고객 관리 키를 포함하는 저장소를 포함하도록 특별히 생성된 컴파트먼트에 저장소를 생성할 것을 권장합니다.
저장소를 생성한 후 Oracle Cloud Infrastructure 설명서의 새 마스터 암호화 키를 생성하려면에 나와 있는 지침에 따라 저장소에 마스터 암호화 키를 하나 이상 생성할 수 있습니다. 다음 지침을 따르는 경우 다음 항목을 선택합니다.
- 컴파트먼트에 생성: Oracle은 저장소와 동일한 컴파트먼트에 마스터 암호화 키를 생성할 것을 권장합니다. 즉, 고객 관리 키를 포함하는 저장소를 포함하도록 특별히 생성된 컴파트먼트를 생성할 것을 권장합니다.
- 보호 모드: 드롭다운 목록에서 적합한 값을 선택합니다.
- HSM - HSM(하드웨어 보안 모듈)에서 저장 및 처리되는 마스터 암호화 키를 만듭니다.
- 소프트웨어 - 저장소 서비스의 소프트웨어 파일 시스템에 저장된 마스터 암호화 키를 만듭니다. 소프트웨어로 보호되는 키는 HSM 기반 루트 키를 사용하여 유휴 시 보호됩니다. 소프트웨어 키를 다른 키 관리 장치 또는 다른 OCI 클라우드 지역으로 내보낼 수 있습니다. HSM 키와 달리 소프트웨어 보호 키는 비용이 들지 않습니다.
- 키 구성 알고리즘: AES
- 키 구성 길이: 256비트
주:
기존 저장소에 암호화 키를 추가할 수도 있습니다. - 네트워킹 서비스를 사용하여 Autonomous Database 리소스가 상주하는 서브넷 및 VCN(가상 클라우드 네트워크)에 대한 서비스 게이트웨이, 경로 규칙 및 송신 보안 규칙을 생성합니다.
- IAM 서비스를 사용하여 Autonomous Database 리소스를 식별하는 동적 그룹 생성 및 생성한 마스터 암호화 키에 대한 동적 그룹 액세스 권한을 부여하는 정책 문을 사용합니다.
참고:
이러한 지침을 설명하는 "체험해보기" 대안은 Oracle Autonomous Database Dedicated for Security Administrators의 Lab 17: Customer Controlled Database Encryption Keys를 참조하십시오.위 단계를 사용하여 고객 관리 키를 구성한 후 ACD(자율운영 컨테이너 데이터베이스)를 프로비전하는 동안 또는 ACD 또는 Autonomous Database의 [세부정보] 페이지에서 기존 암호화 키를 교체하여 구성할 수 있습니다. 이 ACD에 프로비전된 자율운영 데이터베이스는 이러한 암호화 키를 자동으로 상속합니다. 자세한 내용은 자율운영 컨테이너 데이터베이스 생성 또는 자율운영 컨테이너 데이터베이스의 암호화 키 교체를 참조하십시오.
주:
영역 간 저장소 복제 기능이 도입되기 전에 생성된 가상 저장소는 영역 간에 복제할 수 없습니다. 다른 영역에서 복제해야 하는 저장소가 있고 해당 저장소에 대해 복제가 지원되지 않는 경우 새 저장소와 새 키를 생성합니다. 그러나 모든 프라이빗 저장소는 영역 간 복제를 지원합니다. 자세한 내용은 가상 저장소 영역 간 복제를 참조하십시오.저장소 서비스에서 BYOK(Bring Your Own Keys) 사용
적용 대상: Oracle Public Cloud 전용
OCI Vault 서비스를 사용하여 고객 관리 키를 생성할 때 Vault 서비스가 내부적으로 키 자료를 생성하도록 하는 대신 자체 키 자료(자체 키 또는 BYOK 가져오기)를 임포트할 수도 있습니다.
- Oracle Cloud Infrastructure 설명서의 새 저장소를 생성하려면에 나와 있는 지침에 따라 저장소 서비스에서 저장소를 생성합니다. 이러한 지침에 따라 Oracle은 Compartment Hierarchy Best Practice에 설명된 대로 고객 관리 키를 포함하는 저장소를 포함하도록 특별히 생성된 컴파트먼트에 저장소를 생성할 것을 권장합니다.
저장소를 생성한 후 Oracle Cloud Infrastructure 설명서의 새 마스터 암호화 키를 생성하려면에 나와 있는 지침에 따라 저장소에 마스터 암호화 키를 하나 이상 생성할 수 있습니다. 고객 암호화 키를 기존 저장소로 가져올 수도 있습니다. 다음 지침을 따르는 경우 다음 항목을 선택합니다.
- 컴파트먼트에 생성: Oracle은 저장소와 동일한 컴파트먼트에 마스터 암호화 키를 생성할 것을 권장합니다. 즉, 고객 관리 키를 포함하는 저장소를 포함하도록 특별히 생성된 컴파트먼트를 생성할 것을 권장합니다.
- 보호 모드: 드롭다운 목록에서 적합한 값을 선택합니다.
- HSM - HSM(하드웨어 보안 모듈)에서 저장 및 처리되는 마스터 암호화 키를 만듭니다.
- 소프트웨어 - 저장소 서비스의 소프트웨어 파일 시스템에 저장된 마스터 암호화 키를 만듭니다. 소프트웨어로 보호되는 키는 HSM 기반 루트 키를 사용하여 유휴 시 보호됩니다. 소프트웨어 키를 다른 키 관리 장치 또는 다른 OCI 클라우드 지역으로 내보낼 수 있습니다. HSM 키와 달리 소프트웨어 보호 키는 비용이 들지 않습니다.
- 키 구성 알고리즘: AES
- 키 구성 길이: 256비트
- 외부 키 임포트: 고객 암호화 키(BYOK)를 사용하려면 외부 키 임포트를 선택하고 다음 세부정보를 제공합니다.
- 래핑 키 정보. 이 섹션은 읽기 전용이지만 공용 래핑 키 세부 정보를 볼 수 있습니다.
- 래핑 알고리즘. 드롭다운 목록에서 래핑 알고리즘을 선택합니다.
- 외부 키 데이터 소스. 래핑된 RSA 키 자료가 포함된 파일을 업로드합니다.
주:
키 자료를 새 외부 키 버전으로 가져오거나 기존 마스터 암호화 키의 이름을 눌러 새 키 버전으로 교체할 수 있습니다.자세한 내용은 키 자료를 외부 키 버전으로 임포트를 참조하십시오.
- 네트워킹 서비스를 사용하여 Autonomous Database 리소스가 상주하는 서브넷 및 VCN(가상 클라우드 네트워크)에 대한 서비스 게이트웨이, 경로 규칙 및 송신 보안 규칙을 생성합니다.
- IAM 서비스를 사용하여 Autonomous Database 리소스를 식별하는 동적 그룹 생성 및 생성한 마스터 암호화 키에 대한 동적 그룹 액세스 권한을 부여하는 정책 문을 사용합니다.
After configuring the customer-managed BYOK using the above steps, you can use it by rotating the existing encryption key from the Details page of Autonomous Container Database or Autonomous Database. 자세한 내용은 자율운영 컨테이너 데이터베이스의 암호화 키 교체를 참조하십시오.
OCI 외부 키 관리 서비스(OCI EKMS)의 외부 키 사용
적용 대상: Oracle Public Cloud 전용
OCI EKMS의 외부 키를 사용하려면 여러 가지 준비 구성 작업을 수행하여 저장소를 생성한 다음 해당 저장소 및 해당 키를 Autonomous Database에서 사용할 수 있도록 해야 합니다.
- OCI EKMS에서 키 참조를 보관하는 저장소를 생성하고 관리할 수 있습니다. OCI EKMS의 키를 Oracle Public Cloud에 배포된 Autonomous Database on Dedicated Exadata Infrastructure와 함께 사용할 수 있습니다. 자세한 내용은 OCI EKMS에서 저장소 생성을 참고하세요. 다음 지침을 따르는 경우 다음 항목을 선택합니다.
- 컴파트먼트에 생성: OCI EKMS 저장소에 대한 컴파트먼트를 선택합니다.
- IDCS 계정 이름 URL: KMS 서비스에 액세스하는 데 사용하는 인증 URL을 입력합니다. 콘솔이 사인인 화면으로 재지정됩니다.
- 키 관리 공급업체: 키 관리 서비스를 배포하는 타사 공급업체를 선택합니다. 현재 OCI KMS는 Thales만 외부 키 관리 공급업체로 지원합니다.
- 클라이언트 애플리케이션 ID: Oracle ID 도메인에 기밀 클라이언트 애플리케이션을 등록할 때 생성된 OCI KMS 클라이언트 ID를 입력합니다.
- 클라이언트 애플리케이션 암호: Oracle ID 도메인에 등록된 기밀 클라이언트 애플리케이션의 암호 ID를 입력합니다.
- 컴파트먼트의 프라이빗 끝점: 외부 키 관리의 프라이빗 끝점 GUID를 선택합니다.
- 외부 저장소 URL: 외부 키 관리에서 저장소를 생성할 때 생성된 저장소 URL을 입력합니다.
- 네트워킹 서비스를 사용하여 Autonomous Database 리소스가 상주하는 서브넷 및 VCN(가상 클라우드 네트워크)에 대한 서비스 게이트웨이, 경로 규칙 및 송신 보안 규칙을 생성합니다.
- IAM 서비스를 사용하여 Autonomous Database 리소스를 식별하는 동적 그룹 생성 및 생성한 마스터 암호화 키에 대한 동적 그룹 액세스 권한을 부여하는 정책 문을 사용합니다.
서비스 게이트웨이, 라우트 규칙 및 송신 보안 규칙 생성
Oracle Cloud Infrastructure(OCI) Service Gateway는 인터넷을 순회하지 않고도 단일 게이트웨이를 통해 VCN(가상 클라우드 네트워크) 또는 온프레미스 네트워크 내에서 동시에 여러 Oracle Cloud 서비스에 대한 안전한 전용 액세스를 제공합니다.
Oracle Cloud Infrastructure 설명서의 작업 1: 서비스 게이트웨이 생성에 나와 있는 지침에 따라 Autonomous Database 리소스가 상주하는 VCN(가상 클라우드 네트워크)에 서비스 게이트웨이를 생성합니다.
- 서브넷의 서브넷 세부 정보 페이지로 이동합니다.
- 서브넷 정보 탭에서 서브넷의 경로 테이블 이름을 눌러 경로 테이블 세부정보 페이지를 표시합니다.
- 기존 경로 규칙의 테이블에서 다음 특성을 가진 규칙이 이미 있는지 확인합니다.
- 대상: Oracle Services Network의 모든 IAD 서비스
- 대상 유형: 서비스 게이트웨이
- 대상: VCN에서 방금 생성한 서비스 게이트웨이의 이름입니다.
해당 규칙이 없는 경우 경로 규칙 추가를 누르고 해당 특성을 가진 경로 규칙을 추가합니다.
- 서브넷에 대한 서브넷 세부정보 페이지로 돌아갑니다.
- 서브넷의 보안 목록 테이블에서 서브넷의 보안 목록 이름을 눌러 해당 보안 목록 세부정보 페이지를 표시합니다.
- 사이드 메뉴의 리소스에서 송신 규칙을 누릅니다.
- 기존 송신 규칙의 테이블에서 다음 특성을 가진 규칙이 이미 있는지 확인합니다.
- Stateless: 아니요
- 대상: Oracle Services Network의 모든 IAD 서비스
- IP 프로토콜: TCP
- 소스 포트 범위: 모두
- 대상 포트 범위: 443
해당 규칙이 없으면 Add Egress Rules를 누르고 이러한 특성을 가진 송신 규칙을 추가합니다.
동적 그룹 및 정책 문 생성
Autonomous Database 리소스에 고객 관리 키에 액세스할 수 있는 권한을 부여하려면 해당 리소스를 식별하는 IAM 동적 그룹을 생성한 다음, 이 동적 그룹 액세스 권한을 저장소 서비스에서 생성한 마스터 암호화 키에 부여하는 IAM 정책을 생성합니다.
- Exadata 인프라 리소스를 포함하는 컴파트먼트의 OCID를 복사합니다. 이 OCID는 구획의 구획 세부정보 페이지에서 찾을 수 있습니다.
- Oracle Cloud Infrastructure 설명서의 동적 그룹을 생성하려면의 지침에 따라 동적 그룹을 생성합니다. 다음 지침을 따르는 경우 이 형식의 일치 규칙을 입력합니다.
ALL {resource.compartment.id ='<compartment-ocid>'}
여기서
<compartment-ocid>
은 자율운영 Exadata VM 클러스터 리소스를 포함하는 컴파트먼트의 OCID입니다.
allow dynamic-group <dynamic-group-name>
to manage keys
in compartment <vaults-and-keys-compartment>
where all {
target.key.id='<key_ocid>',
request.permission!='KEY_MOVE',
request.permission!='KEY_IMPORT'
}
allow dynamic-group <dynamic-group>
to read vaults
in tenancy | compartment <vaults-and-keys-compartment>
여기서 <dynamic-group>
은 생성한 동적 그룹의 이름이고, <vaults-and-keys-compartment>
은 저장소 및 마스터 암호화 키를 생성한 컴파트먼트의 이름입니다.
Oracle Key Vault에서 고객 관리 키 사용
OKV(Oracle Key Vault)는 기업 내 키 및 보안 객체 관리를 중앙 집중화하도록 구축된 풀 스택 보안 강화 소프트웨어 어플라이언스입니다. 온프레미스 OKV 배포를 Oracle Autonomous Database와 통합하여 고유의 마스터 키를 생성하고 관리합니다.
OKV에 저장된 고객 관리 키를 사용하려면 Prepare to Use Oracle Key Vault에 설명된 대로 여러 가지 준비 구성 작업을 수행해야 합니다.
준비 구성 작업을 완료한 후 OKV에서 고객 관리자 키를 연관시키면서 ACD(자율운영 컨테이너 데이터베이스)를 프로비전할 수 있습니다. 그러면 이 ACD에 프로비전된 모든 Autonomous Database가 이러한 암호화 키를 자동으로 상속합니다. 자세한 내용은 자율운영 컨테이너 데이터베이스 생성을 참조하십시오.
주:
영역 간 자율운영 Data Guard를 사용으로 설정하려면 키 저장소에서 OKV 클러스터에 대한 접속 IP 주소를 추가했는지 확인하십시오.ACD의 세부정보 페이지에서 OKV 끝점 그룹을 업데이트할 수 있습니다. 선택적으로 ACD 이상을 프로비전하는 동안 OKV 키 저장소를 사용하여 OKV 끝점 그룹 이름을 추가할 수도 있습니다.
- OKV 끝점 그룹 이름에 해당하는 OKV 전자 지갑에 대한 액세스 권한이 있습니다.
- ACD에 해당하는 OKV 끝점은 OKV 끝점 그룹의 일부입니다.
- OKV 끝점 그룹은 끝점의 기본 전자 지갑에 대한 읽기 액세스 권한을 가집니다.
- ACD의 세부정보 페이지로 이동합니다. 지침은 자율운영 컨테이너 데이터베이스의 세부정보 보기를 참조하십시오.
- 암호화 아래의 OKV 끝점 그룹 이름 옆에 있는 편집을 누릅니다.
- 목록에서 키 저장소를 선택하고 OKV 끝점 그룹의 이름을 입력합니다. 끝점 그룹 이름은 모두 대문자여야 하며 숫자, 하이픈(-) 및 밑줄(_)을 포함하고 대문자로 시작할 수 있습니다.
- 저장을 누릅니다.