Gerenciando Chaves de Criptografia em Dispositivos Externos
Saiba como armazenar e gerenciar chaves de criptografia de banco de dados.
Há duas opções para armazenar e gerenciar chaves de criptografia de banco de dados dos seus bancos de dados no Oracle Exadata Database Service on Cloud@Customer:
- Em um arquivo de wallet de log-in automático armazenado em um Oracle Advanced Cluster File System (Oracle ACFS) acessível pelo sistema operacional da VM do cliente.
- Oracle Key Vault.
- Chaves Gerenciadas pelo Cliente no Oracle Exadata Database Service on Cloud@Customer
As chaves gerenciadas pelo cliente do Oracle Exadata Database Service on Cloud@Customer são um recurso que permite migrar a Chave de Criptografia Principal de TDE do Oracle Database para um Oracle Database do arquivo de wallet protegido por senha armazenado no equipamento Oracle Exadata Database Service on Cloud@Customer para um servidor OKV que você controla. - Sobre o Oracle Key Vault
O Oracle Key Vault é um appliance de software com segurança reforçada e pilha completa, criado para centralizar o gerenciamento de chaves e objetos de segurança dentro da empresa. - Visão Geral do Armazenamento de Chaves
Integre o Oracle Key Vault (OKV) local com serviços de nuvem de banco de dados gerenciados pelo cliente para proteger seus dados críticos no local. - Política Obrigatória do IAM para Gerenciar o OKV no Oracle Exadata Database Service on Cloud@Customer
Verifique a política de gerenciamento de acesso de identidade (IAM) para gerenciar o OKV nos Sistemas Oracle Exadata Database Service on Cloud@Customer. - Aplicando Tags a Recursos
Você pode aplicar tags aos seus recursos para ajudar a organizá-los de acordo com suas necessidades comerciais. - Movendo Recursos para Outro Compartimento
Você pode mover recursos do Vault, do Segredo e do Armazenamento de Chaves do OKV de um compartimento para outro. - Configurando o Oracle Exadata Database Service on Cloud@Customer para Trabalhar com o Oracle Key Vault
- Gerenciando seu Armazenamento de Chaves
- Administrar Chaves TDE (Transparent Data Encryption)
Use este procedimento para alterar a configuração de gerenciamento de chaves. - Como Clonar Manualmente um Banco de Dados Plugável (PDB) de um CDB (Remote Container Database) Quando os Dados são Criptografados com a Chave de Criptografia Principal (MEK) no Oracle Key Vault (OKV)
- Como Fazer Upgrade do Home do OKV (Oracle Key Vault) em ExaDB-C@C
Tópico principal: Guias de Instruções
Chaves Gerenciadas pelo Cliente no Oracle Exadata Database Service on Cloud@Customer
As chaves gerenciadas pelo cliente para o Oracle Exadata Database Service on Cloud@Customer são um recurso que permite migrar a Chave de Criptografia Principal de TDE do Oracle Database para um Oracle Database do arquivo wallet protegido por senha armazenado no equipamento Oracle Exadata Database Service on Cloud@Customer para um servidor OKV que você controla.
O Oracle Key Vault (OKV) fornece gerenciamento de chaves e segredos tolerante a falhas, altamente disponível e escalável para seus bancos de dados criptografados ExaDB-C@C. Use chaves gerenciadas pelo cliente quando precisar de controle de segurança, conformidade regulatória e criptografia homogênea de dados, enquanto gerencia, armazena e monitora de modo centralizado o ciclo de vida das chaves usadas para proteger seus dados.
É possível:
- Alternar chaves gerenciadas pela Oracle para chaves gerenciadas pelo cliente em bancos de dados que não estão ativados com o Oracle Data Guard.
- Alternar suas chaves para manter a conformidade de segurança.
- A rotação da chave do PDB também é suportada. As operações de rotação de chave do CDB e do PDB só serão permitidas se o banco de dados for gerenciado pelo cliente.
Requisitos
- Para habilitar o gerenciamento de chaves em criptografia gerenciadas pelo cliente, você deve criar uma política na tenancy que permita que um grupo dinâmico específico o faça. Para obter mais informações, consulte Configurando o Oracle Exadata Database Service on Cloud@Customer para Trabalhar com o Oracle Key Vault.
- Os bancos de dados plugáveis devem ser configurados no Modo Unidos. Para obter mais informações sobre o Modo Unidos, consulte Gerenciando Áreas de Armazenamento de Chaves e Chaves de Criptografia Principais de TDE no Modo Unido.
O modo isolado não é suportado. Para obter mais informações sobre o Modo Isolado, consulte Gerenciando Áreas de Armazenamento de Chaves e Chaves de Criptografia Principais de TDE no Modo Isolado
- Se um Exadata Database Service tiver sido configurado para o Oracle Key Vault usando os procedimentos publicados em Migração de TDE baseada em Arquivo para o OKV para o Exadata Database Service on Cloud at Customer Gen2 (ID do Documento 2823650.1), abra uma Solicitação de Serviço do My Oracle Support (MOS) para que as operações na nuvem da Oracle atualizem a configuração do plano de controle para refletir as informações do Oracle Key Vault para o serviço específico do Exadata Database
Tópico principal: Gerenciando Chaves de Criptografia em Dispositivos Externos
Sobre o Oracle Key Vault
O Oracle Key Vault é um appliance de software com segurança reforçada e pilha completa, criado para centralizar o gerenciamento de chaves e objetos de segurança dentro da empresa.
O Oracle Key Vault é um sistema gerenciado e provisionado pelo cliente que não faz parte dos serviços gerenciados do Oracle Cloud Infrastructure.
Tópicos Relacionados
Tópico principal: Gerenciando Chaves de Criptografia em Dispositivos Externos
Visão Geral do Armazenamento de Chaves
Integre o Oracle Key Vault (OKV) local com serviços de nuvem de banco de dados gerenciados pelo cliente para proteger seus dados críticos no local.
A integração do Oracle Key Vault permite assumir o controle total das suas chaves de criptografia e armazená-las com segurança em um dispositivo de gerenciamento de chaves externo e centralizado.
O OKV é otimizado para wallets da Oracle, armazenamentos de chaves Java e chaves principais TDE (Criptografia Transparente de Dados) do Oracle Advanced Security. O Oracle Key Vault suporta o padrão OASIS KMIP. O appliance de software com segurança reforçada e pilha completa usa a tecnologia Oracle Linux e Oracle Database para obter segurança, disponibilidade e escalabilidade, podendo ser implantado em um hardware compatível escolhido por você.
O OKV também fornece uma interface REST para que os clientes façam a inscrição automática de pontos finais e configurem wallets e chaves. Para que os Autonomous Databases no Exadata Cloud@Customer estabeleçam conexão com a interface REST do OKV, crie um armazenamento de chaves em sua tenancy para armazenar o endereço IP e as credenciais de administrador do OKV. O Exadata Cloud@Customer armazena temporariamente a senha do administrador de usuário REST do OKV necessária para estabelecer conexão com o appliance OKV em um arquivo de wallet protegido por senha para que o software em execução na VM do cliente possa estabelecer conexão com o servidor OKV. Após a migração das chaves de TDE para o OKV, o software de automação da nuvem removerá a senha do arquivo da wallet. Certifique-se de criar um segredo com o Serviço de Vault da Oracle, que armazenará a senha exigida para que os bancos de dados autônomos estabeleçam conexão com o OKV para gerenciamento de chaves.
Para obter mais informações, consulte "Oracle Key Vault".
Tópicos Relacionados
Tópico principal: Gerenciando Chaves de Criptografia em Dispositivos Externos
Política Obrigatória do IAM para Gerenciar o OKV no Oracle Exadata Database Service on Cloud@Customer
Verifique a política de gerenciamento de acesso de identidade (IAM) para gerenciar o OKV nos Sistemas Oracle Exadata Database Service on Cloud@Customer.
Política é um documento do IAM que especifica quem tem qual tipo de acesso aos seus recursos. Esse documento é usado de diferentes formas: para indicar uma instrução individual escrita no idioma da política; para indicar um conjunto de instruções em um documento único, denominado "política" (que tem um OCID (Oracle Cloud ID) designado a ele) e para indicar o corpo geral das políticas que a sua organização usa para controlar o acesso aos recursos.
Compartimento é uma coleção de recursos relacionados que só podem ser acessados por determinados grupos que receberam permissão de um administrador da sua organização.
Para usar o Oracle Cloud Infrastructure, você deve receber o tipo necessário de acesso em uma política criada por um administrador, quer você esteja usando a Console ou a API REST com um SDK (Software Development Kit), uma interface de linha de comando (CLI) ou outra ferramenta. Se você tentar executar uma ação e receber uma mensagem informando que não tem permissão ou não está autorizado, confirme com o administrador o tipo de acesso concedido e em qual compartimento você deve trabalhar.
Para administradores: A política em "Permitir que administradores de banco de dados gerenciem sistemas de BD" permite que o grupo especificado faça tudo com bancos de dados e recursos de banco de dados relacionados.
Se você não conhecer as políticas, consulte "Conceitos Básicos de Políticas" e "Políticas Comuns". Se quiser saber mais sobre a criação de políticas para bancos de dados, consulte "Detalhes do Serviço de Banco de Dados".
Aplicando Tags a Recursos
Você pode aplicar tags aos seus recursos para ajudar a organizá-los de acordo com suas necessidades comerciais.
Você pode aplicar tags no momento da criação de um recurso ou pode atualizar o recurso posteriormente com as tags desejadas. Para obter informações gerais sobre como aplicar tags, consulte "Tags de Recursos".
Tópicos Relacionados
Tópico principal: Gerenciando Chaves de Criptografia em Dispositivos Externos
Movendo Recursos para Outro Compartimento
Você pode mover os recursos do Vault, do Segredo e do Armazenamento de Chaves do OKV de um compartimento para outro.
Depois de mover um recurso do OCI para um novo compartimento, as políticas inerentes são aplicadas imediatamente e afetam o acesso ao recurso. A movimentação de um recurso do Vault do OKV não afeta o acesso a quaisquer Chaves do Vault do OKV ou Segredos do Vault do OKV que o Vault do OKV contém. Você pode mover Chaves de Vault do OKV ou Segredos de Vault do OKV de um compartimento para outro, independentemente de mover o Vault do OKV ao qual ele está associado. Para obter mais informações, consulte Gerenciando Compartimentos.
Tópicos Relacionados
Tópico principal: Gerenciando Chaves de Criptografia em Dispositivos Externos
Configurando o Oracle Exadata Database Service on Cloud@Customer para Trabalhar com o Oracle Key Vault
- Certifique-se de que o OKV esteja configurado e de que a rede esteja acessível na rede do cliente Exadata. Abra as portas 443, 5695 e 5696 para saída na rede do cliente para o software cliente OKV e a instância do banco de dados Oracle para acessar o servidor OKV.
- Verifique se a interface REST está ativada na interface do usuário do OKV.
- Crie o usuário "Administrador REST do OKV".
Você pode usar qualquer nome de usuário qualificado de sua escolha, por exemplo, "okv_rest_user". Para ADB-C@C e ExaDB-C@C, use os mesmos usuários REST ou diferentes. Esses bancos de dados podem ser gerenciados por chave nos mesmos clusters ou em clusters OKV locais diferentes. ExaDB-C@C precisa do usuário REST com o privilégio
create endpoint
. O ADB-C@C precisa do usuário REST com privilégioscreate endpoint
ecreate endpoint group
. - Reúna as credenciais de administrador do OKV e o endereço IP, que é obrigatório para estabelecer conexão com o OKV.
Para obter mais informações, consulte Requisitos de Porta de Rede, Gerenciando Usuários do Oracle Key Vault e Gerenciando Atribuições Administrativas e Privilégios do Usuário
- Etapa 1: Criar um Vault no OKV Vault Service e adicionar um segredo ao Vault para armazenar a senha do administrador REST do OKV
- Etapa 2: Criar um Grupo Dinâmico e uma Instrução de Política de Armazenamento de Chaves para Segredo de Acesso no OKV Vault
- Etapa 3: Criar um Grupo Dinâmico e uma Instrução de Política do Exadata Infrastructure para o Armazenamento de Chaves
- Etapa 4: Criar uma Instrução de Política do Database Service para Usar o Segredo no OKV Vault Service
- Etapa 5: Criar Armazenamento de Chaves
Tópicos Relacionados
Tópico principal: Gerenciando Chaves de Criptografia em Dispositivos Externos
Etapa 1: Criar um Vault no OKV Vault Service e Adicionar um Segredo ao Vault para Armazenar a Senha do Administrador REST do OKV
Sua infraestrutura do Exadata Cloud@Customer se comunica com o OKV sobre REST sempre que um Oracle Database é provisionado para registrar o Oracle Database e solicitar uma wallet no OKV. Portanto, a infraestrutura do Exadata precisa acessar as credenciais de administrador REST para se registrar no servidor OKV.
Essas credenciais são armazenadas com segurança no Oracle Vault Service no OCI como Segredo e acessadas pela infraestrutura do Exadata Cloud@Customer somente quando necessário. Quando necessário, as credenciais são armazenadas em um arquivo de wallet protegido por senha.
Para armazenar a senha do administrador do OKV no serviço OKV Vault, crie um vault seguindo as instruções descritas em Gerenciando Vaults e crie um Segredo nesse vault seguindo as instruções descritas em Gerenciando Segredos.
Tópicos Relacionados
Etapa 2: Criar um Grupo Dinâmico e uma Instrução de Política de Armazenamento de Chaves para Acessar o Segredo no Vault do OKV
Para conceder aos seus recursos de Armazenamento de Chaves permissão para acessar o segredo no Vault do OKV, você cria um grupo dinâmico de IAM que identifica esses recursos e, em seguida, cria uma política de IAM que concede a esse grupo dinâmico acesso ao segredo criado nos Vaults e Segredos do OKV.
Ao definir o grupo dinâmico, você identifica os recursos do Armazenamento de Chaves especificando o OCID do compartimento que contém o Armazenamento de Chaves.
Tópicos Relacionados
Etapa 3: Criar um Grupo Dinâmico e uma Instrução de Política do Exadata Infrastructure para o Armazenamento de Chaves
Para conceder aos seus recursos de infraestrutura do Exadata permissão para acessar o Armazenamento de Chaves, crie um grupo dinâmico de IAM que identifique esses recursos e, em seguida, crie uma política de IAM que conceda a esse grupo dinâmico acesso ao Armazenamento de Chaves criado.
Ao definir o grupo dinâmico, você identifica os recursos de infraestrutura do Exadata especificando o OCID do compartimento que contém a infraestrutura do Exadata.
Etapa 4: Criar uma instrução de política do Database Service para usar o segredo no OKV Vault Service
allow service database to read secret-family in compartment <vaults-and-secrets-compartment>
em que <vaults-and-secrets-compartment> é o nome do compartimento no qual você criou seus Vaults e Segredos do OKV.
Depois que o OKV Vault estiver configurado e a configuração de IAM estiver em vigor, você agora está pronto para implantar o 'Armazenamento de Chaves' do Oracle Key Vault no OCI e associá-lo ao Cluster de VMs do Exadata Cloud@Customer.
Gerenciando seu Armazenamento de Chaves
- Exibir Detalhes do Armazenamento de Chaves
Siga essas etapas para exibir os detalhes do Armazenamento de Chaves que incluem os detalhes da conexão do Oracle Key Vault (OKV) e a lista de bancos de dados associados. - Editar Detalhes do Armazenamento de Chaves
Você só poderá editar um Armazenamento de Chaves se ele não estiver associado a nenhum CDB. - Mover um Armazenamento de Chaves para Outro Compartimento
Siga estas etapas para mover um Armazenamento de Chaves em um sistema Oracle Exadata Database Service on Cloud@Customer de um compartimento para outro. - Excluir um Armazenamento de Chaves
Você só poderá excluir um Armazenamento de Chaves se ele não estiver associado a nenhum CDB. - Exibir Detalhes do Banco de Dados Contêiner Associado ao Armazenamento de Chaves
Siga essas etapas para exibir detalhes do banco de dados contêiner associado a um Armazenamento de Chaves. - Usando a API para Gerenciar o Armazenamento de Chaves
Saiba como usar a API para gerenciar o armazenamento de chaves.
Tópico principal: Gerenciando Chaves de Criptografia em Dispositivos Externos
Exibir Detalhes do Armazenamento de Chaves
Siga estas etapas para exibir os detalhes do Armazenamento de Chaves que incluem os detalhes da conexão do Oracle Key Vault (OKV) e a lista de bancos de dados associados.
Tópico principal: Gerenciando seu Armazenamento de Chaves
Editar Detalhes do Armazenamento de Chaves
Você só poderá editar um Armazenamento de Chaves se ele não estiver associado a nenhum CDB.
- Abra o menu de navegação. Em Oracle Database, clique em Exadata Database Service on Cloud@Customer.
- Escolha seu Compartimento.
- Clique em Armazenamentos de Chaves.
- Clique no nome do Armazenamento de Chaves ou no ícone Ações ( três pontos) e clique em Exibir Detalhes.
- Na página Detalhes do Armazenamento de Chaves, clique em Editar.
- Na página Editar Armazenamento de Chaves, faça alterações conforme necessário e clique em Salvar Alterações.
Tópico principal: Gerenciando seu Armazenamento de Chaves
Mover um Armazenamento de Chaves para Outro Compartimento
Siga estas etapas para mover um Armazenamento de Chaves em um sistema Oracle Exadata Database Service on Cloud@Customer de um compartimento para outro.
Tópico principal: Gerenciando seu Armazenamento de Chaves
Excluir um Armazenamento de Chaves
Você só poderá excluir um Armazenamento de Chaves se ele não estiver associado a nenhum CDB.
Tópico principal: Gerenciando seu Armazenamento de Chaves
Exibir Detalhes do Banco de Dados Contêiner Associado ao Armazenamento de Chaves
Siga estas etapas para exibir detalhes do banco de dados contêiner associado a um Armazenamento de Chaves.
- Abra o menu de navegação. Em Oracle Database, clique em Exadata Database Service on Cloud@Customer.
- Escolha seu Compartimento.
- Clique em Armazenamentos de Chaves.
- Na página Armazenamentos de Chaves resultante, clique no nome do Armazenamento de Chaves ou no ícone Ações ( três pontos) e clique em Exibir Detalhes.
- Clique em Bancos de Dados Associados.
- Clique no nome do banco de dados associado ou no ícone Ações ( três pontos) e clique em Exibir Detalhes.
Tópico principal: Gerenciando seu Armazenamento de Chaves
Usando a API para Gerenciar o Armazenamento de Chaves
Saiba como usar a API para gerenciar o armazenamento de chaves.
Para obter informações sobre como usar a API e assinar solicitações, consulte "APIs REST" e "Credenciais de Segurança". Para obter informações sobre SDKs, consulte "Kits de Desenvolvimento de Software e Interface de Linha de Comando".
A tabela a seguir lista os pontos finais da API REST para gerenciar o armazenamento de chaves.
Operação | Ponto Final da API REST |
---|---|
Criar Armazenamento de Chaves do OKV |
|
Exibir Armazenamento de Chaves do OKV |
|
Atualizar Armazenamento de Chaves do OKV |
|
Excluir Armazenamento de Chaves do OKV |
|
Alterar compartimento do Armazenamento de chaves |
|
Escolher entre criptografia gerenciada pelo cliente e gerenciada pela Oracle |
|
Obter o Armazenamento de Chaves (gerenciado pelo OKV ou pela Oracle) e o nome da wallet do OKV |
|
Alterar tipo de armazenamento de chaves |
|
Alternar chave gerenciada pelo OKV e pela Oracle |
|
Tópicos Relacionados
Tópico principal: Gerenciando seu Armazenamento de Chaves
Administrar Chaves de TDE (Transparent Data Encryption)
Use este procedimento para alterar a configuração do gerenciamento de chaves.
Depois de provisionar um banco de dados em um sistema ExaDB-C@C, você pode alterar o gerenciamento de chaves e executar operações, como rotacionar as chaves TDE.
- Você pode alterar o gerenciamento de chaves do Oracle Wallet para outras opções disponíveis.
- Quando você alterar o gerenciamento de chaves para OKV, o banco de dados experimentará uma operação de cancelamento de shutdown seguida por uma reinicialização. Planeje executar a migração em uma janela de manutenção planejada.
- Você só deve rotacionar chaves de TDE por meio de interfaces do OCI (Console, API).
- Não é possível rotacionar uma chave de criptografia:
- quando uma restauração de banco de dados está em andamento em um determinado Oracle Home.
- quando um patch de banco de dados ou um patch de home de banco de dados está em andamento.
- A migração de chaves de TDE para o Oracle Key Vault (OKV) requer 10 minutos de inatividade. Durante a migração, o estado do banco de dados será UPDATING e as conexões poderão falhar em decorrência de várias reinicializações do banco de dados para ativar o OKV. Os aplicativos podem retomar a operação após a conclusão da migração e quando o banco de dados retornar ao seu estado ACTIVE original.
- A senha do armazenamento de chaves do OKV será definida como senha da wallet de TDE.
Cuidado:
Após alterar o gerenciamento de chaves, a exclusão da chave do OKV fará com que o banco de dados fique indisponível.
Na página de detalhes desse banco de dados, a seção Criptografia exibe o nome e o OCID da chave de criptografia.
Tópicos Relacionados
Tópico principal: Gerenciando Chaves de Criptografia em Dispositivos Externos
Como Clonar Manualmente um Banco de Dados Plugável (PDB) de um CDB (Remote Container Database) Quando os Dados são Criptografados com a Chave de Criptografia Principal (MEK) no Oracle Key Vault (OKV)
A ferramenta dbaascli permite clonar PDBs quando o CDB de origem e o CDB de destino forem iguais (clone local) ou se forem diferentes (clone remoto). No entanto, você não poderá clonar um PDB remoto se os dados estiverem criptografados com uma MEK no OKV.
Para decriptografar/criptografar os dados durante um clone remoto, o banco de dados contêiner deve ter acesso à MEK. A MEK deve ser disponibilizada para o CDB de destino quando for armazenada no servidor OKV.
- O CDB de Origem e o CDB de Destino são Criptografados com MEK no Mesmo Servidor OKV
- O CDB de Origem e o CDB de Destino são Criptografados com MEK em Outro Servidor OKV
Tópicos Relacionados
Tópico principal: Gerenciando Chaves de Criptografia em Dispositivos Externos
Como Fazer Upgrade do Home do OKV (Oracle Key Vault) em ExaDB-C@C
Depois que o tipo de criptografia for migrado das Chaves Gerenciadas pela Oracle para Chaves Gerenciadas pelo Cliente (Oracle Key Vault), o home do OKV em DomUs permanecerá com a mesma versão usada para a migração.
Caso o Servidor OKV seja atualizado, a funcionalidade continuará funcionando devido à compatibilidade com versões anteriores. No entanto, talvez o cliente queira obter os novos recursos das ferramentas do cliente. Nesse caso, faça upgrade do home do OKV e da Biblioteca PKCS#11
.
Tópico principal: Gerenciando Chaves de Criptografia em Dispositivos Externos