Oracle Key Vault를 Oracle Exadata Database Service와 함께 배포(Oracle Database@Azure)

Oracle Database@Azure는 운영 중인 클라우드에 관계없이 암호화 키, Oracle 전자 지갑, JKS(Java Keystores), JCEKS(Java Cryptography Extension Keystores) 및 인증서 파일을 관리하기 위한 새로운 옵션을 고객에게 제공합니다. 여기에는 SSH 전용 키가 포함됩니다.

Oracle Key Vault는 고도로 통합된 Oracle 데이터베이스 배포를 위한 키 관리(예: Oracle Database@Azure의 Oracle Exadata Database Service)를 제공하기 위해 특별히 제작된 내결함성, 지속적인 가용성 및 확장성이 뛰어난 키 관리 시스템입니다.

Oracle과 Azure는 Oracle Database@Azure를 지원하는 기본 인프라 보안을 담당하지만, 고객은 자사 애플리케이션에 필요한 보안 제어 및 보안 및 규정 준수 의무를 충족하기 위한 모든 구성 메커니즘을 구현해야 합니다. Oracle Key Vault와 Oracle Exadata Database Service(Oracle Database@Azure)를 함께 사용하면 다음과 같은 이점을 누릴 수 있습니다.

• 결함 허용
• 고가용성
• 확장성
• 보안
• 표준 준수

Oracle Key Vault를 사용하여 관리할 수 있는 보안 객체에는 암호화 키, Oracle 전자 지갑, JKS(Java Keystores), JCEKS(Java Cryptography Extension Keystores) 및 인증서 파일이 포함됩니다. 인증서 파일에는 원격 서버(온프레미스 또는 클라우드)에 대한 퍼블릭 키 인증에 사용되는 SSH 프라이빗 키 또는 정기적 일정이 잡힌 유지보수 스크립트의 무인 실행을 위한 데이터베이스 계정 비밀번호가 포함될 수 있습니다. Oracle Key Vault는 Oracle Cloud Stack(데이터베이스, 미들웨어, 시스템) 및 고급 보안 투명 데이터 암호화(TDE)에 최적화되어 있습니다. 또한 KMIP 기반 클라이언트와의 호환성을 위해 업계 표준 OASIS KMIP(Key Management Interoperability Protocol)를 준수합니다. Oracle Key Vault는 엔드포인트와 함께 작동하며, 엔드포인트는 데이터베이스 서버, 애플리케이션 서버 및 기타 정보 시스템과 같은 컴퓨터 시스템입니다. 엔드포인트는 Oracle Key Vault와 통신할 수 있도록 등록하고 등록해야 합니다. 등록된 끝점은 키를 업로드하고, 다른 끝점과 공유하고, 다운로드하여 데이터에 액세스할 수 있습니다. 키는 암호화된 데이터에 액세스하는 데 사용되며 자격 증명은 다른 시스템에 대해 인증하는 데 사용됩니다. 하나 이상의 Oracle 데이터베이스를 호스트하는 데이터베이스 서버의 경우 각 Oracle 데이터베이스는 하나 이상의 끝점이 됩니다. Oracle Key Vault는 RAC 또는 Active Data Guard, 플러거블 데이터베이스, OCI GoldenGate 및 전 세계적으로 분산된(샤딩된) 데이터베이스를 사용하여 배포된 암호화된 데이터베이스로 일상적인 작업을 간소화합니다. Oracle Key Vault는 Oracle Database의 핵심 기능인 Oracle Data Pump 및 이동 가능한 테이블스페이스를 사용하여 암호화된 데이터를 쉽게 이동할 수 있도록 합니다.

시작하기 전에

이 참조 아키텍처를 활용하려면 다음이 필요합니다.

Oracle Database@Azure

• Azure 구독 및 디렉토리에 액세스
• OCI 테넌시에 액세스
• Azure와 OCI 클라우드 간 활성 Oracle Database@Azure 멀티클라우드 링크
• 프로비저닝 전에 적절한 Oracle Exadata Database Service 한도 및 OCI 서비스 한도를 확인하십시오.
  1. OCI 메뉴에서 거버넌스 및 관리를 누릅니다.
  2. 테넌시 관리에서 제한, 할당량 및 사용량을 누릅니다.
  3. 서비스 드롭다운에서 데이터베이스를 선택합니다.
• 네트워크 위상 계획:
  • 해당하는 OCI VCN(가상 클라우드 네트워크)과 페어링할 수 있는 Azure 가상 네트워크(VNet)가 하나 이상 필요합니다.
  • Azure VNet 및 OCI VCN에 대한 CIDR 블록은 겹치지 않아야 합니다.

Oracle Key Vault

• 해당하는 ISO 파일에서 온프레미스 방식으로 구축된 Oracle Key Vault 이미지에 액세스
• Oracle Key Vault 설치 요구 사항
• NTP 설정이 필요합니다.

구조

이 아키텍처는 Oracle Key Vault를 Microsoft Azure 가상 머신(VM)에 Oracle Exadata Database Service 암호화 키에 대한 안전한 장기 외부 키 관리 스토리지로 Oracle Database@Azure에 배포하는 방법을 보여줍니다.

이 아키텍처 다이어그램은 Azure의 권장 Oracle Key Vault 다중 마스터 클러스터를 묘사하여 Oracle Exadata Database Service(Oracle Database@Azure)의 Oracle Database에 대한 지속적인 가용성과 확장성, 내결함성 키 관리를 제공합니다.

다음 다이어그램은 이 참조 아키텍처를 보여 줍니다.

그림 key-vault-database-azure-diagram.png에 대한 설명

key-vault-database-azure-diagram-oracle.zip

Oracle Key Vault for Oracle Database@Azure는 네트워크 연결을 설정할 수 있는 한 온프레미스, Azure 또는 기타 모든 클라우드에 배포할 수 있습니다. 확장된 Oracle Key Vault 클러스터(온프레미스에서 클라우드로 또는 클라우드 공급자 간)도 가능하므로 배포 유연성과 암호화 키의 로컬 가용성을 극대화할 수 있습니다. Oracle Key Vault는 비용이 많이 드는 추가 타사 키 관리 어플라이언스 없이도 즉시 사용 가능한 "사용자 고유의 키 유지" 기능을 제공합니다.

아키텍처의 구성 요소는 다음과 같습니다.

• Azure 지역

  Oracle Cloud Infrastructure 지역은 가용성 도메인이라고 하는 하나 이상의 데이터 센터를 포함하는 지역화된 지리적 영역입니다. 지역은 다른 지역과는 독립적이며, 거리는 국가 또는 대륙에 걸쳐 분리될 수 있습니다.

  Azure 영역은 가용성 영역이라고 하는 하나 이상의 물리적 Azure 데이터 센터가 상주하는 지리적 영역입니다. 지역은 다른 지역과는 독립적이며, 거리는 국가 또는 대륙에 걸쳐 분리될 수 있습니다.

  Azure 및 OCI 리전은 지역화된 지리적 영역입니다. Oracle Database@Azure의 경우, Azure 리전은 OCI 리전에 연결되며, Azure의 AZ(가용성 영역)는 OCI의 AD(가용성 도메인)에 연결됩니다. Azure 및 OCI 리전 쌍은 거리 및 대기 시간을 최소화하기 위해 선택됩니다.

• Azure 가용성 영역

  가용성 구역은 가용성과 내결함성을 보장하도록 설계된 지역 내에서 물리적으로 분리된 데이터 센터입니다. 가용성 영역은 다른 가용성 영역에 대한 대기 시간이 짧은 연결을 가질 수 있을 만큼 가깝습니다.

• Microsoft Azure 가상 네트워크

  Microsoft Azure Virtual Network(VNet)는 Azure에서 전용 네트워크를 위한 기본 구성 요소입니다. VNet를 사용하면 Azure VM(가상 머신)과 같은 다양한 유형의 Azure 리소스가 서로, 인터넷 및 온프레미스 네트워크와 안전하게 통신할 수 있습니다.

• Exadata Database Service on Dedicated Infrastructure

  Oracle Exadata Database Service는 퍼블릭 클라우드에서 특별히 제작되고 최적화된 Oracle Exadata 인프라를 기반으로 검증된 Oracle Database 기능을 제공합니다. OLTP, 인메모리 분석, 컨버지드 Oracle Database 워크로드를 위한 내장된 클라우드 자동화, 탄력적인 리소스 확장, 보안 및 빠른 성능은 관리를 간소화하고 비용을 절감하는 데 도움이 됩니다.

  Exadata Cloud Infrastructure X9M는 퍼블릭 클라우드에 더 많은 CPU 코어, 향상된 스토리지 및 더 빠른 네트워크 패브릭을 제공합니다. Exadata X9M 스토리지 서버에는 Exadata RDMA 메모리(XRMEM)가 포함되어 추가 스토리지 계층을 생성하여 전반적인 시스템 성능을 향상시킵니다. Exadata X9M는 XRMEM을 네트워크 및 I/O 스택을 우회하는 혁신적인 RDMA 알고리즘과 결합하여 값비싼 CPU 인터럽트 및 컨텍스트 스위치를 제거합니다.

  Exadata Cloud Infrastructure X9M는 컨버지드 이더넷(RoCE) 내부 네트워크 패브릭을 통한 100Gbps 활성-활성 원격 직접 메모리 액세스의 처리량을 높여 모든 컴퓨트 서버와 스토리지 서버 간에 대기 시간이 매우 짧은 이전 세대보다 빠른 상호 연결을 제공합니다.

• Oracle Database@Azure

  Oracle Database@Azure는 Oracle Cloud Infrastructure(OCI)에서 실행되는 Oracle Database 서비스(Oracle Exadata Database Service on Dedicated Infrastructure 또는 Oracle Autonomous Database Serverless)로, Microsoft Azure 데이터 센터에 배포됩니다. 이 서비스는 OCI와 기능 및 가격 패리티를 제공합니다. 사용자는 Azure Marketplace에서 서비스를 구매합니다.

  Oracle Database@Azure는 Oracle Exadata Database Service, Oracle RAC(Oracle Real Application Clusters), Oracle Data Guard 기술을 Azure 플랫폼에 통합합니다. Oracle Database@Azure 서비스는 다른 Azure 전용 서비스와 동일한 짧은 대기 시간을 제공하며 미션 크리티컬 워크로드 및 클라우드 전용 개발 요구를 충족합니다. 사용자는 Azure 콘솔 및 Azure 자동화 도구를 통해 서비스를 관리합니다. 이 서비스는 Azure Virtual Network(VNet)에 배포되며 Azure ID 및 액세스 관리 시스템과 통합됩니다. OCI 및 Oracle Database 메트릭과 감사 로그는 기본적으로 Azure에서 사용할 수 있습니다. 이 서비스를 사용하려면 사용자에게 Azure 테넌시와 OCI 테넌시가 있어야 합니다.

• 투명 데이터 암호화(TDE)

  TDE(Transparent Data Encryption)는 Oracle Database에서 유휴 상태인 데이터를 투명하게 암호화합니다. SQL을 사용하여 응용 프로그램이 데이터에 액세스하는 방식에 영향을 주지 않으면서 운영 체제에서 파일에 저장된 데이터베이스 데이터에 액세스하려는 무단 시도를 정지합니다. TDE는 Oracle Database와 완전히 통합되며, 전체 데이터베이스 백업(RMAN), Data Pump 익스포트, 전체 애플리케이션 테이블스페이스 또는 특정 중요한 열을 암호화할 수 있습니다. 테이블스페이스 저장 영역 파일, 임시 테이블스페이스, 언두 테이블스페이스 또는 리두 로그와 같은 기타 파일에 있는 경우 암호화된 데이터는 데이터베이스에서 암호화됩니다.

• 키 볼트

  Oracle Key Vault는 암호화 키, Oracle Wallets, Java KeyStores, SSH 키 쌍 및 기타 암호를 OASIS KMIP 표준을 지원하고 Oracle Cloud Infrastructure, Microsoft Azure, Amazon Web Services 및 전용 하드웨어 또는 가상 머신의 온프레미스에 배포하는 확장 가능한 내결함성 클러스터에 안전하게 저장합니다.

권장사항

다음 권장 사항을 시작점으로 사용합니다. 요구 사항은 여기에 설명된 아키텍처와 다를 수 있습니다.

• Oracle Key Vault ISO

  올바른 Oracle Key Vault 솔루션을 구축하려면 최신 Oracle Key Vault 설치 매체를 사용해야 합니다. Oracle Software Delivery Cloud 링크에 대한 자세한 내용은 자세히 살펴보기

• Oracle Key Vault 이미지 구축

  ISO에서 Oracle Key Vault 이미지를 빌드하려면 1TB 이상의 스토리지가 있고 32GB 이상의 RAM이 있는 로컬 시스템에서 해당 작업을 수행합니다. 가상 하드 디스크를 Fixed 크기로 VHD 형식으로 만듭니다.

• 다중 노드 클러스터

  Oracle Key Vault를 다중 노드 클러스터로 배포하여 Oracle Key Vault 노드의 읽기-쓰기 쌍으로 최대 가용성 및 안정성을 달성하십시오.

  Oracle Key Vault 다중 마스터 클러스터는 첫 번째 노드로 생성된 다음 추가 노드를 나중에 유도하여 최종적으로 최대 8개의 읽기-쓰기 쌍으로 다중 노드 클러스터를 형성할 수 있습니다.

  초기 노드가 읽기 전용 제한 모드이므로 중요 데이터를 추가할 수 없습니다. Oracle은 첫번째 노드와 읽기/쓰기 쌍을 형성하는 두번째 노드를 배치할 것을 권장합니다. 그 이후에는 중요 데이터와 중요하지 않은 데이터를 모두 읽기/쓰기 노드에 추가할 수 있도록 클러스터를 읽기/쓰기 쌍으로 확장할 수 있습니다. 읽기 전용 노드는 유지 관리 작업 중 로드 균형 조정 또는 작업 연속성에 도움이 될 수 있습니다.

  끝점 연결 방식과 제한 사항 모두에서 다중 마스터 클러스터가 끝점에 미치는 영향에 대해 알아보려면 설명서를 참조하십시오.

  대규모 배포의 경우 Oracle Key Vault 서버를 4개 이상 설치합니다. 고가용성을 보장하려면 네 대의 서버에서 엔드포인트를 고유하고 균형 있게 등록해야 합니다. 예를 들어, 데이터 센터에 등록할 데이터베이스 엔드포인트가 1,000개 있고 이를 수용할 Oracle Key Vault 서버가 4개 있는 경우 4개 서버 각각에 250개의 엔드포인트를 등록합니다.

  끝점 호스트와 Oracle Key Vault 서버의 시스템 시계가 동기화되었는지 확인합니다. Oracle Key Vault 서버의 경우 NTP를 설정해야 합니다.

고려사항

이 참조 아키텍처를 배포할 때는 다음 사항을 고려하십시오.

• 성능

  최적의 성능과 로드 밸런싱을 위해 읽기/쓰기 쌍을 더 추가합니다.

  읽기 전용 노드를 클러스터에 여러 개 추가할 수 있지만, 최적의 성능 및 로드 밸런싱을 위해서는 클러스터가 오버로드되지 않도록 읽기/쓰기 쌍이 더 있어야 합니다.

  Oracle Key Vault 다중 마스터 클러스터의 경우 하나 이상의 읽기-쓰기 쌍이 완전히 작동해야 합니다. 최대 8개의 읽기-쓰기 쌍을 가질 수 있습니다.

• 가용성

  다중 노드 클러스터는 Oracle Key Vault 환경에 고가용성, 재해 복구, 로드 분배 및 지리적 배포를 제공합니다. 가용성과 안정성을 극대화하기 위해 Oracle Key Vault 노드의 읽기-쓰기 쌍을 생성하는 메커니즘을 제공합니다.

  클러스터를 초기화한 후 읽기/쓰기 쌍 또는 읽기 전용 노드로 노드를 최대 15개 더 추가하여 확장할 수 있습니다. 다중 마스터 클러스터에는 최소 2개의 노드와 최대 16개의 노드가 포함될 수 있습니다.

  읽기 전용 Oracle Key Vault 노드를 클러스터에 추가하여 Oracle 전자 지갑, 암호화 키, Java 키 저장소, 인증서, 인증서 파일 및 기타 객체가 필요한 끝점에 대한 가용성을 더욱 높일 수 있습니다.

추가 탐색

Oracle Database@Azure에서 Oracle Key Vault를 사용한 암호화 관리에 대해 자세히 알아보세요.

다음 추가 리소스를 검토하십시오.

• Oracle Key Vault Administrator's Guide의 Creating Oracle Key Vault Image in Microsoft Azure
• Oracle Cloud Infrastructure용 모범 사례 프레임워크
• Oracle Database@Azure
• Oracle Key Vault 개념
• Oracle Key Vault Administrator's Guide의 Enrolling and Upgrading Endpoints for Oracle Key Vault
• Oracle Key Vault Administrator's Guide의 Oracle Key Vault General System Administration
• Oracle Software Delivery Cloud
• Oracle Database@Azure용 Oracle Maximum Availability Architecture에 대해 알아보기
• Oracle Zero Downtime Migration을 통해 Oracle Database@Azure로 전환하기
• REST를 통한 자동화를 사용하여 파일 기반 TDE를 OKV로 ExaDB-D 마이그레이션

확인

• 승인자: Anwar Belayachi, Peter Wahl, Suzanne Holliday
• 제공자: Leo Alvarado, Wei Han, John Sulyok