Implantar o Oracle Key Vault com o Oracle Exadata Database Service (Oracle Database@Azure)

O Oracle Database@Azure fornece aos clientes uma nova opção para gerenciar chaves de criptografia, wallets Oracle, JKS (Java Keystores), JCEKS (Java Cryptography Extension Keystores) e arquivos de credencial, que incluem chaves privadas SSH, independentemente da nuvem em que estão operando.

O Oracle Key Vault é um sistema de gerenciamento de chaves tolerante a falhas, continuamente disponível e altamente escalável criado especificamente para fornecer gerenciamento de chaves para implementações de banco de dados Oracle altamente consolidadas, por exemplo, o Oracle Exadata Database Service no Oracle Database@Azure.

Embora a Oracle e o Azure sejam responsáveis por proteger a infraestrutura subjacente que suporta o Oracle Database@Azure, os clientes são responsáveis por implementar os controles de segurança necessários em seus aplicativos e quaisquer mecanismos de configuração para atender às suas obrigações de segurança e conformidade. A utilização do Oracle Key Vault com o Oracle Exadata Database Service (Oracle Database@Azure) oferece aos clientes os seguintes benefícios:

• Tolerância a falhas
• Alta disponibilidade
• Escalabilidade
• Segurança
• Conformidade com os padrões

Os objetos de segurança que você pode gerenciar com o Oracle Key Vault incluem chaves de criptografia, wallets Oracle, armazenamentos de chaves Java (JKS), armazenamentos de chaves de extensão de criptografia Java (JCEKS) e arquivos de credencial. Os arquivos de credenciais podem incluir chaves privadas SSH, usadas para autenticação de chave pública em servidores remotos (on-premises ou em qualquer nuvem), ou senhas de conta de banco de dados para execução autônoma de scripts de manutenção programados regularmente. O Oracle Key Vault é otimizado para o Oracle Cloud Stack (banco de dados, middleware, sistemas) e criptografia de dados transparente de segurança avançada (TDE). Além disso, está em conformidade com o padrão do setor OASIS Key Management Interoperability Protocol (KMIP) para compatibilidade com clientes baseados em KMIP. O Oracle Key Vault funciona com pontos finais, um ponto final é um sistema de computador, como um servidor de banco de dados, um servidor de aplicativos e outros sistemas de informação. Os pontos finais devem ser registrados e inscritos para que possam se comunicar com o Oracle Key Vault. Os pontos finais inscritos podem fazer upload de suas chaves, compartilhá-las com outros pontos finais e fazer download deles para acessar seus dados. As chaves são usadas para acessar dados criptografados e as credenciais são usadas para autenticação em outros sistemas. Para servidores de banco de dados que hospedam um ou mais bancos de dados Oracle, cada banco de dados Oracle será pelo menos um ponto final. O Oracle Key Vault simplifica as operações diárias com bancos de dados criptografados implantados como RAC ou com Active Data Guard, bancos de dados plugáveis, OCI GoldenGate, bem como bancos de dados distribuídos globalmente (compartilhados). O Oracle Key Vault facilita a movimentação de dados criptografados usando o Oracle Data Pump e tablespaces transportáveis, um recurso-chave do Oracle Database.

Antes de Começar

Para aproveitar essa arquitetura de referência, são necessários os seguintes itens:

Oracle Database@Azure

• Acesso a uma assinatura e diretório do Azure
• Acesso a uma tenancy do OCI
• Link multicloud ativo do Oracle Database@Azure entre as nuvens do Azure e da OCI
• Antes de provisionar, garanta limites adequados do Oracle Exadata Database Service e limites de serviço do OCI
  1. No menu do OCI, clique em Governança e Administração.
  2. Em Gerenciamento de Tenancy, clique em Limites, Cotas e Uso.
  3. No menu suspenso Serviço, selecione Banco de Dados.
• Planeje sua topologia de rede:
  • Requer pelo menos uma Rede Virtual (VNet) do Azure que possa ser pareada com uma rede virtual na nuvem (VCN) do OCI correspondente
  • Os blocos CIDR para qualquer VNet do Azure e VCNs do OCI não devem se sobrepor

Oracle Key Vault

• Acesso a uma imagem do Oracle Key Vault, criada no local com base no arquivo ISO correspondente
• Requisitos de instalação do Oracle Key Vault
• É necessário configurar o NTP

Arquitetura

Essa arquitetura mostra como implantar o Oracle Key Vault em uma máquina virtual (VM) do Microsoft Azure como um armazenamento de gerenciamento de chaves externo seguro de longo prazo para chaves de criptografia do Oracle Exadata Database Service no Oracle Database@Azure.

O diagrama de arquitetura ilustra o cluster multimestre recomendado do Oracle Key Vault no Azure para fornecer gerenciamento de chaves continuamente disponível, extremamente escalável e tolerante a falhas para o Oracle Database no Oracle Exadata Database Service (Oracle Database@Azure).

O diagrama a seguir ilustra essa arquitetura de referência.

Descrição da ilustração key-vault-database-azure-diagram.png

key-vault-database-azure-diagram-oracle.zip

O Oracle Key Vault para o Oracle Database@Azure pode ser implantado on-premises, no Azure ou em qualquer outra nuvem, desde que a conectividade de rede possa ser estabelecida. Clusters estendidos do Oracle Key Vault (on-premises para a nuvem ou entre provedores de nuvem) também são possíveis, oferecendo flexibilidade máxima de implementação e disponibilidade local de suas chaves de criptografia. O Oracle Key Vault fornece a funcionalidade "manter sua própria chave" pronta para uso, sem a necessidade de um appliance de gerenciamento de chaves de terceiros adicional e caro.

A arquitetura tem os seguintes componentes:

• Região do Azure

  Região do Oracle Cloud Infrastructure é uma área geográfica localizada que contém um ou mais data centers, denominada domínios de disponibilidade. As regiões são independentes de outras regiões, e grandes distâncias podem separá-las (entre países ou até mesmo continentes).

  Uma região do Azure é uma área geográfica na qual um ou mais data centers físicos do Azure, chamados de zonas de disponibilidade, residem. As regiões são independentes de outras regiões, e grandes distâncias podem separá-las (entre países ou até mesmo continentes).

  As regiões do Azure e da OCI são áreas geográficas localizadas. Para o Oracle Database@Azure, uma região do Azure é conectada a uma região do OCI, com zonas de disponibilidade (AZs) no Azure conectadas a domínios de disponibilidade (ADs) no OCI. Os pares de regiões do Azure e do OCI são selecionados para minimizar a distância e a latência.

• Zona de disponibilidade do Azure

  Uma zona de disponibilidade é um data center fisicamente separado dentro de uma região projetado para ser disponível e tolerante a falhas. As zonas de disponibilidade estão próximas o suficiente para ter conexões de baixa latência com outras zonas de disponibilidade.

• Rede Virtual do Microsoft Azure

  A Rede Virtual do Microsoft Azure (VNet) é o bloco de construção fundamental para sua rede privada no Azure. O VNet permite que muitos tipos de recursos do Azure, como máquinas virtuais (VM) do Azure, se comuniquem com segurança entre si, com a internet e com redes locais.

• Exadata Database Service on Dedicated Infrastructure

  O Oracle Exadata Database Service oferece recursos comprovados do Oracle Database em uma infraestrutura do Oracle Exadata otimizada e criada especificamente na nuvem pública. A automação da nuvem integrada, o dimensionamento elástico de recursos, a segurança e o desempenho rápido para OLTP, a análise na memória e as cargas de trabalho convergentes do Oracle Database ajudam a simplificar o gerenciamento e reduzir custos.

  O Exadata Cloud Infrastructure X9M traz mais núcleos de CPU, maior armazenamento e uma malha de rede mais rápida para a nuvem pública. Os servidores de armazenamento Exadata X9M incluem o Exadata RDMA Memory (XRMEM), criando uma camada adicional de armazenamento, aumentando o desempenho geral do sistema. O Exadata X9M combina o XRMEM com algoritmos RDMA inovadores que ignoram a rede e a pilha de E/S, eliminando interrupções caras da CPU e switches de contexto.

  O Exadata Cloud Infrastructure X9M aumenta o throughput de sua malha de rede interna de Acesso à Memória Direta Remota ativo-ativo de 100 Gbps por Ethernet Convergente (RoCE), fornecendo uma interconexão mais rápida do que as gerações anteriores com latência extremamente baixa entre todos os servidores de computação e armazenamento.

• Oracle Database@Azure

  O Oracle Database@Azure é o serviço Oracle Database (Oracle Exadata Database Service on Dedicated Infrastructure ou Oracle Autonomous Database Serverless) executado no OCI (Oracle Cloud Infrastructure), implantado nos data centers do Microsoft Azure. O serviço oferece recursos e paridade de preços com a OCI. Os usuários compram o serviço no Azure Marketplace.

  O Oracle Database@Azure integra as tecnologias Oracle Exadata Database Service, Oracle Real Application Clusters (Oracle RAC) e Oracle Data Guard à plataforma Azure. O serviço Oracle Database@Azure oferece a mesma baixa latência que outros serviços nativos do Azure e atende a cargas de trabalho de missão crítica e necessidades de desenvolvimento nativas da nuvem. Os usuários gerenciam o serviço na console do Azure e com ferramentas de automação do Azure. O serviço é implantado na Rede Virtual do Azure (VNet) e integrado ao sistema de gerenciamento de identidade e acesso do Azure. As métricas e os logs de auditoria do OCI e do Oracle Database estão disponíveis nativamente no Azure. O serviço requer que os usuários tenham uma tenancy do Azure e uma tenancy do OCI.

• Criptografia Transparente de Dados (TDE)

  A TDE (Transparent Data Encryption) criptografa de forma transparente os dados em repouso em um Oracle Database. Ele interrompe tentativas não autorizadas do sistema operacional para acessar dados do banco de dados armazenados em arquivos, sem afetar a forma como os aplicativos acessam os dados usando SQL. O TDE é totalmente integrado ao Oracle Database e pode criptografar backups de banco de dados inteiros (RMAN), exportações do Data Pump, tablespaces de aplicativos inteiros ou colunas confidenciais específicas. Os dados criptografados permanecem criptografados no banco de dados, seja em arquivos de armazenamento de tablespace, tablespaces temporários, tablespaces de undo ou outros arquivos, como redo logs.

• Vault Principal

  O Oracle Key Vault armazena com segurança chaves de criptografia, Oracle Wallets, Java KeyStores, pares de chaves SSH e outros segredos em um cluster escalável e tolerante a falhas que suporta o padrão OASIS KMIP e é implantado no Oracle Cloud Infrastructure, no Microsoft Azure e no Amazon Web Services, bem como no local em hardware dedicado ou máquinas virtuais.

Recomendações

Use as recomendações a seguir como ponto de partida. Seus requisitos podem ser diferentes da arquitetura descrita aqui.

• ISO do Oracle Key Vault

  Para criar a solução certa do Oracle Key Vault, certifique-se de usar o meio de instalação mais recente do Oracle Key Vault. Consulte Explorar Mais para obter o link Oracle Software Delivery Cloud.

• Criação de imagens do Oracle Key Vault

  Para criar a imagem do Oracle Key Vault com base no ISO, faça isso em um sistema local com pelo menos 1 TB de armazenamento com pelo menos 32 GB de RAM. Crie o disco rígido virtual como tamanho Fixo e no formato VHD.

• Cluster de vários nós

  Implante o Oracle Key Vault como um cluster de vários nós para obter disponibilidade e confiabilidade máximas com pares de leitura/gravação de nós do Oracle Key Vault.

  O cluster multimestre do Oracle Key Vault é criado com um primeiro nó e, em seguida, nós adicionais podem ser posteriormente induzidos a formar um cluster de vários nós com até 8 pares de leitura/gravação.

  O nó inicial está no modo restrito somente leitura e nenhum dado crítico pode ser adicionado a ele. A Oracle recomenda implantar um segundo nó para formar um par de leitura/gravação com o primeiro nó. Depois disso, o cluster pode ser expandido com pares de leitura/gravação para que dados críticos e não críticos possam ser adicionados aos nós de leitura/gravação. Os nós somente leitura podem ajudar no balanceamento de carga ou na continuidade da operação durante as operações de manutenção.

  Consulte a documentação para saber como um cluster multimestre afeta os pontos finais, tanto na maneira como um ponto final se conecta quanto com restrições.

  Para implantações grandes, instale pelo menos quatro servidores do Oracle Key Vault. Os pontos finais devem ser inscritos, tornando-os exclusivos e equilibrados entre os quatro servidores para garantir alta disponibilidade. Por exemplo, se um data center tiver 1.000 pontos finais de banco de dados para registrar e você tiver quatro servidores do Oracle Key Vault para acomodá-los, inscreva 250 pontos finais em cada um dos quatro servidores.

  Certifique-se de que os relógios do sistema do host do ponto final e do servidor do Oracle Key Vault estejam sincronizados. Para o servidor do Oracle Key Vault, é necessário configurar o NTP.

Considerações

Considere os pontos a seguir ao implantar essa arquitetura de referência.

• Desempenho

  Para obter o melhor desempenho e balanceamento de carga, adicione mais pares de leitura/gravação.

  Vários nós somente leitura podem ser adicionados a um cluster, mas para desempenho ideal e balanceamento de carga, você deve ter mais pares de leitura/gravação para evitar que o cluster seja sobrecarregado.

  O cluster multimestre do Oracle Key Vault exige que pelo menos um par de leitura/gravação esteja totalmente operacional. Pode ter no máximo oito pares de leitura/gravação.

• Disponibilidade

  O cluster com vários nós fornece alta disponibilidade, recuperação de desastres, distribuição de carga e distribuição geográfica para um ambiente do Oracle Key Vault. Ele fornece um mecanismo para criar pares de leitura/gravação de nós do Oracle Key Vault para máxima disponibilidade e confiabilidade.

  Depois de inicializar o cluster, você pode expandi-lo adicionando mais 15 nós, como pares leitura-gravação ou nós somente leitura. Um cluster multimestre pode conter no mínimo dois nós e no máximo 16 nós.

  Você pode adicionar nós somente para leitura do Oracle Key Vault ao cluster para fornecer ainda mais disponibilidade aos pontos finais que precisam de wallets Oracle, chaves de criptografia, armazenamentos de chaves Java, certificados, arquivos de credencial e outros objetos.

Explorar Mais

Saiba mais sobre como gerenciar a criptografia no Oracle Database@Azure com o Oracle Key Vault.

Revise estes recursos adicionais:

• Creating Oracle Key Vault Image in Microsoft Azure no Oracle Key Vault Administrator's Guide
• Estrutura de melhores práticas do Oracle Cloud Infrastructure
• Oracle Database@Azure
• Conceitos do Oracle Key Vault
• Enrolando e Fazendo Upgrade de Pontos Finais do Oracle Key Vault no Oracle Key Vault Administrator's Guide
• Oracle Key Vault General System Administration no Oracle Key Vault Administrator's Guide
• Oracle Software Delivery Cloud
• Saiba mais sobre o Oracle Maximum Availability Architecture para Oracle Database@Azure
• Migre para o Oracle Database@Azure com o Oracle Zero Downtime Migration
• Migração de TDE baseada em Arquivo para o OKV para ExaDB-D Usando Automação via REST

Agradecimentos

• Autores: Anwar Belayachi, Peter Wahl, Suzanne Holliday
• Colaboradores: Leo Alvarado, Wei Han, John Sulyok