Gerenciar Chaves Usando uma Área de Armazenamento de Chaves Externa

Esse processo de configuração é crucial para usar armazenamentos de chaves externos para gerenciar e proteger chaves de criptografia para seus bancos de dados em sistemas Exadata. Garanta a instalação adequada, a configuração de senha e a configuração de comunicação para uma operação perfeita.

Instalação do Servidor da Área de Armazenamento de Chaves Externa: Você é responsável por instalar e configurar o servidor da área de armazenamento de chaves externa usando a documentação fornecida pelo fornecedor.

Formato de Senha da Área de Armazenamento de Chaves Externa: O formato da senha da área de armazenamento de chaves externa varia dependendo do provedor.

Configuração da Rede: Certifique-se de que uma conexão seja estabelecida entre a VM Convidada e o servidor de armazenamento de chaves externo:

• Configurar a rede necessária.
• Abertura dos portos necessários.
• Ativando o protocolo especificado pelo fornecedor de armazenamento de chaves externo.

Instalação da Biblioteca PKCS#11: Instale o software relacionado ao PKCS#11 e configure a biblioteca PKCS#11 nas VMs de acordo com a documentação do fornecedor de keystore externo.

Limitações:

• Somente uma biblioteca PKCS#11 de fornecedor pode estar presente em uma VM Convidada por vez.
• As interfaces de armazenamento de chaves externas não podem ser usadas para associar chaves a Bancos de Dados Oracle no Oracle Exadata Database Service on Dedicated Infrastructure.
• Embora a interface da área de armazenamento de chaves externa permita exibir as chaves associadas aos bancos de dados, ela pode não suportar a execução de operações de gerenciamento de chaves diretamente da interface.

Validação de Comunicação: Verifique se a biblioteca PKCS#11 pode se comunicar com sucesso com o keystore externo. Observe que a automação da nuvem não executa pré-verificações para validar essa conexão. Se a chave estiver inacessível, o banco de dados retornará um erro com os detalhes relevantes.

Agora você pode criptografar Bancos de Dados Oracle no Oracle Exadata Database Service on Dedicated Infrastructure armazenando a chave de criptografia mestra (MEK) em um armazenamento de chaves externo.

Versões do Banco de Dados Aplicável: 23ai e 19c

Ao provisionar um banco de dados, você tem a opção de escolher entre diferentes soluções de gerenciamento de chaves: Oracle Software Keystore, Oracle Key Vault (OKV) ou uma Área de Armazenamento de Chaves Externa.

• A solução de gerenciamento de chaves selecionada se aplica a todo o Banco de Dados Contêiner (CDB) e a todos os Bancos de Dados Plugáveis (PDBs) contidos nele. Se um CDB estiver configurado para usar um keystore externo, todos os PDBs associados também usarão o keystore externo. Não é possível selecionar diferentes soluções de gerenciamento de chaves no nível do PDB.
• Embora a solução de gerenciamento de chaves deva ser consistente entre o CDB e seus PDBs, diferentes PDBs dentro do mesmo CDB podem usar chaves de criptografia distintas, fornecendo flexibilidade no uso de chaves entre os PDBs.

Essa funcionalidade garante que chaves de criptografia confidenciais sejam armazenadas com segurança em uma área de armazenamento de chaves externa, oferecendo uma camada adicional de segurança para seus bancos de dados.

Para obter mais informações, consulte https://support.oracle.com/support/?kmExternalId=FAQ2403.

Quando um banco de dados é protegido por um armazenamento de chaves externo, a adição de uma nova máquina virtual (VM) ao cluster é restrita.

Se um ou mais bancos de dados em um cluster de VMs forem configurados com uma área de armazenamento de chaves externa, a seguinte mensagem será exibida:

While you should be able to add the virtual machine to the existing VM cluster, the database instance will not be extended to the newly created VM. This is because one or more databases on this VM cluster are configured with an external keystore. You must configure the external keystore on the newly created VM, then run the dbaascli command to extend the database instances to the new VM.