Implantar o Oracle Key Vault com o Oracle Exadata Database Service (Oracle Database@Google Cloud)
A utilização do Oracle Key Vault com o Oracle Exadata Database Service (Oracle Database@Google Cloud) oferece aos clientes os seguintes benefícios:
- Tolerância a falhas
- Alta disponibilidade
- Escalabilidade
- Segurança
- Conformidade com os padrões
O Oracle Key Vault gerencia objetos de segurança que incluem chaves de criptografia, wallets Oracle, armazenamentos de chaves Java (JKS), armazenamentos de chaves de extensão de criptografia Java (JCEKS) e arquivos de credencial. Os arquivos de credenciais podem incluir chaves privadas SSH, usadas para autenticação de chave pública em servidores remotos (on-premises ou em qualquer nuvem), ou senhas de conta de banco de dados para execução autônoma de scripts de manutenção programados regularmente. O Oracle Key Vault é otimizado para o Oracle Cloud Stack (banco de dados, middleware, sistemas) e criptografia de dados transparente de segurança avançada (TDE). Além disso, está em conformidade com o padrão do setor OASIS Key Management Interoperability Protocol (KMIP) para compatibilidade com clientes baseados em KMIP.
O Oracle Key Vault funciona com pontos finais, um ponto final é um sistema de computador, como um servidor de banco de dados, um servidor de aplicativos e outros sistemas de informação. Os pontos finais devem ser registrados e inscritos para que possam se comunicar com o Oracle Key Vault. Os pontos finais inscritos podem fazer upload de suas chaves, compartilhá-las com outros pontos finais e fazer download deles para acessar seus dados. As chaves são usadas para acessar dados criptografados e as credenciais são usadas para autenticação em outros sistemas. Para servidores de banco de dados que hospedam um ou mais bancos de dados Oracle, cada banco de dados Oracle será pelo menos um ponto final.
O Oracle Key Vault simplifica as operações diárias com bancos de dados criptografados implantados como RAC ou com o Active Data Guard, bancos de dados plugáveis, arquivos de trilha criptografados do OCI GoldenGate, bem como bancos de dados distribuídos globalmente (compartilhados), Oracle ZFS Storage Appliance e Oracle Zero Data Loss Recovery Appliance. O Oracle Key Vault facilita a movimentação de dados criptografados usando o Oracle Data Pump e tablespaces transportáveis, um recurso-chave do Oracle Database.
Embora a Oracle e o Google sejam responsáveis por proteger a infraestrutura subjacente que suporta o Oracle Key Vault, os clientes são responsáveis por implementar os controles de segurança necessários em seus aplicativos e quaisquer mecanismos de configuração para atender às suas obrigações de segurança e conformidade. O Oracle Key Vault fornece manter sua própria chave por padrão.
Antes de Começar
Para aproveitar essa arquitetura de referência, são necessários os seguintes itens:
Oracle Database@Google Cloud
- Acesso a uma assinatura e diretório do Google Cloud
- Acesso a uma tenancy do OCI
- Link multicloud ativo do Oracle Database@Google Cloud entre o Google Cloud e a OCI
- Antes de provisionar, garanta limites adequados do Oracle Exadata Database Service e limites de serviço do OCI
- No menu do OCI, clique em Governança e Administração.
- Em Gerenciamento de Tenancy, clique em Limites, Cotas e Uso.
- No menu suspenso Serviço, selecione Banco de Dados.
- Planeje sua topologia de rede:
- Requer pelo menos uma VPC (Virtual Private Cloud) do Google Cloud que possa ser pareada com uma VCN (rede virtual na nuvem) do OCI correspondente
- Os blocos CIDR para qualquer VPC (Virtual Private Cloud) do Google Cloud e VCNs do OCI não devem se sobrepor
- Acesso a uma imagem do Oracle Key Vault, criada on-premises com base no arquivo ISO correspondente
- Requisitos de instalação do Oracle Key Vault
- É necessário configurar o NTP
Arquitetura
Essa arquitetura mostra como implantar o Oracle Key Vault em uma máquina virtual (VM) do Google Cloud como um armazenamento seguro de gerenciamento de chaves externas de longo prazo para chaves de criptografia do Oracle Exadata Database Service no Oracle Database@Google Cloud.
O diagrama de arquitetura ilustra o cluster multimestre recomendado do Oracle Key Vault no Google Cloud para fornecer gerenciamento de chaves continuamente disponível, extremamente escalável e tolerante a falhas para o Oracle Database no Oracle Exadata Database Service (Oracle Database@Google Cloud).
Dois nós do Oracle Key Vault na mesma zona formam um par de leitura/gravação, fornecendo disponibilidade contínua de leitura. Isso ocorre porque quando um dos dois nós não é operacional, o nó restante é definido para estar no modo restrito somente leitura. Quando um nó de leitura/gravação for novamente capaz de se comunicar com seu par de leitura/gravação, o nó será revertido para o modo de leitura/gravação no modo restrito somente para leitura. Quatro nós (conforme mostrado no diagrama de arquitetura) fornecem disponibilidade contínua de leitura/gravação.
O Oracle Key Vault pode ser implantado on-premises, na OCI, no Google Cloud, no Microsoft Azure e no Amazon Web Services, desde que a conectividade de rede possa ser estabelecida. Clusters estendidos do Oracle Key Vault (on-premises para a nuvem ou entre provedores de nuvem) também são possíveis, oferecendo flexibilidade máxima de implementação e disponibilidade local de suas chaves de criptografia. O Oracle Key Vault fornece a funcionalidade "manter sua própria chave" pronta para uso, sem a necessidade de um appliance de gerenciamento de chaves de terceiros adicional e caro.
O diagrama a seguir ilustra essa arquitetura de referência.
banco de dados key-vault-google.zip
A arquitetura tem os seguintes componentes:
- Região do Google Cloud
As regiões do Google e da OCI são áreas geográficas localizadas. Para o Oracle Database@Google Cloud, uma região do Google Cloud é conectada a uma região da OCI. Uma zona no Google Cloud está conectada a um domínio de disponibilidade no OCI. Os pares de região do Google Cloud e OCI são selecionados para minimizar a distância e a latência.
- Zona do Google Cloud
Uma zona é um data center fisicamente separado em uma região projetada para estar disponível e tolerante a falhas. As zonas estão próximas o suficiente para ter conexões de baixa latência com outras zonas.
- Google Cloud Virtual Private Cloud
A Nuvem Privada Virtual (VPC) do Google Cloud é o elemento básico da sua rede privada no Google Cloud. O VPC permite que muitos tipos de recursos do Google Cloud, como máquinas virtuais (VMs) do Google, se comuniquem com segurança entre si, com a Internet e com redes locais.
- Exadata Database Service on Dedicated Infrastructure
O Oracle Exadata Database Service oferece recursos comprovados do Oracle Database em uma infraestrutura otimizada e específica do Oracle Exadata na nuvem pública. Automação de nuvem integrada, dimensionamento elástico de recursos, segurança e desempenho rápido para OLTP, análise na memória e cargas de trabalho convergentes do Oracle Database ajudam a simplificar o gerenciamento e reduzir custos.
O Exadata Cloud Infrastructure X9M traz mais núcleos de CPU, maior armazenamento e uma malha de rede mais rápida para a nuvem pública. Os servidores de armazenamento X9M do Exadata incluem Memória RDMA (XRMEM) do Exadata, criando uma camada adicional de armazenamento, aumentando o desempenho geral do sistema. O Exadata X9M combina o XRMEM com algoritmos RDMA inovadores que ignoram a rede e a pilha de E/S, eliminando interrupções caras da CPU e alternâncias de contexto.
O Exadata Cloud Infrastructure X9M aumenta o throughput de sua malha de rede interna Remote Direct Access de 100 Gbps ativa-ativa por Ethernet Convergente (RoCE), fornecendo uma interconexão mais rápida do que as gerações anteriores com latência extremamente baixa entre todos os servidores de computação e armazenamento.
- Oracle Database@Google Cloud
O Oracle Database@Google Cloud é o serviço Oracle Database (Oracle Exadata Database Service on Dedicated Infrastructure ou Oracle Autonomous Database Serverless) executado no OCI (Oracle Cloud Infrastructure), implantado nos data centers do Google Cloud. O serviço oferece recursos e paridade de preços com a OCI. Os usuários compram o serviço no Google Cloud Marketplace.
O Oracle Database@Google Cloud integra as tecnologias Oracle Exadata Database Service, Oracle Real Application Clusters (Oracle RAC) e Oracle Data Guard à plataforma Google Cloud. O Oracle Database@Google Cloud oferece a mesma baixa latência que outros serviços nativos do Google e atende a cargas de trabalho de missão crítica e necessidades de desenvolvimento nativo da nuvem. Os usuários gerenciam o serviço na console do Google e com as ferramentas de automação do Google. O serviço é implantado no Google Virtual Private Cloud (VPC) e integrado ao sistema de gerenciamento de identidade e acesso do Google. As métricas e os logs de auditoria do OCI e do Oracle Database estão disponíveis nativamente no Google. O serviço requer que os usuários tenham uma tenancy do Google e uma tenancy do OCI.
- Vault de Chaves
O Oracle Key Vault armazena com segurança chaves de criptografia, Oracle Wallets, Java KeyStores, pares de chaves SSH e outros segredos em um cluster escalável e tolerante a falhas que suporta o padrão KMIP do OASIS e é implementado no Oracle Cloud Infrastructure, Google Cloud, Microsoft Azure e Amazon Web Services, bem como on-premises em hardware dedicado ou máquinas virtuais.
Recomendações
- ISO do Oracle Key Vault
Para criar a solução certa do Oracle Key Vault, certifique-se de usar o meio de instalação mais recente do Oracle Key Vault. Consulte Explorar Mais para obter o link Oracle Software Delivery Cloud.
- Criação de Imagens do Oracle Key Vault
Para criar a imagem do Oracle Key Vault com base na ISO, faça isso em um sistema local com pelo menos 1 TB de armazenamento com pelo menos 32 GB de RAM. Crie o disco rígido virtual como tamanho Fixo e no formato VHD.
- Cluster Multi-Mestre
Implante o Oracle Key Vault como um cluster com vários nós para obter disponibilidade e confiabilidade máximas com pares de leitura/gravação de nós do Oracle Key Vault.
O cluster multimestre do Oracle Key Vault é criado com um primeiro nó e, em seguida, nós adicionais podem ser posteriormente induzidos a formar um cluster de vários nós com até 8 pares de leitura/gravação.
O nó inicial está no modo restrito somente leitura e nenhum dado crítico pode ser adicionado a ele. A Oracle recomenda implantar um segundo nó para formar um par de leitura/gravação com o primeiro nó. Depois disso, o cluster pode ser expandido com pares de leitura/gravação para que dados críticos e não críticos possam ser adicionados aos nós de leitura/gravação. Os nós somente leitura podem ajudar no balanceamento de carga ou na continuidade da operação durante as operações de manutenção.
Consulte a documentação para saber como um cluster multimestre afeta os pontos finais, tanto na maneira como um ponto final se conecta quanto com restrições.
Para implantações grandes, instale pelo menos quatro servidores do Oracle Key Vault. Os pontos finais devem ser inscritos, tornando-os exclusivos e equilibrados entre os quatro servidores para garantir alta disponibilidade. Por exemplo, se um data center tiver 1.000 pontos finais de banco de dados para registrar e você tiver quatro servidores do Oracle Key Vault para acomodá-los, inscreva 250 pontos finais em cada um dos quatro servidores.
Certifique-se de que os relógios do sistema do host do ponto final e do servidor do Oracle Key Vault estejam sincronizados. Para o servidor do Oracle Key Vault, é necessário configurar o NTP.
- Par de Leitura/Gravação
Um par de nós que opera com replicação síncrona bidirecional. O par de leitura/gravação por é criado emparelhando um novo nó com um nó somente leitura. Os dados podem ser atualizados, incluindo os dados do ponto final e da wallet, em qualquer nó usando a console de gerenciamento do Oracle Key Vault ou o software cliente do Oracle Key Vault. As atualizações são replicadas imediatamente para o outro nó no par. As atualizações são replicadas de forma assíncrona para todos os outros nós.
Um nó pode ser membro de, no máximo, um par síncrono bidirecional.
Um cluster multimestre requer que pelo menos um par de leitura/gravação esteja totalmente operacional. Pode ter no máximo 8 pares de leitura/gravação.
- Nós de Leitura/Gravação do Oracle Key Vault
Um nó de leitura/gravação é um nó no qual dados críticos podem ser adicionados ou atualizados usando o software Oracle Key Vault ou ponto final.
Os dados críticos adicionados ou atualizados podem ser dados como chaves, conteúdo da wallet e certificados.
Os nós de leitura/gravação do Oracle Key Vault sempre existem em pares. Cada nó no par de leitura/gravação pode aceitar atualizações em dados críticos e não críticos, e essas atualizações são imediatamente replicadas para o outro membro do par, o par de leitura/gravação. Um par de leitura/gravação é o membro específico de um e somente um par de leitura/gravação no cluster. Há replicação síncrona bidirecional entre pares de leitura/gravação. A replicação para todos os nós que não são um par de leitura/gravação de determinado nó é assíncrona.
Um nó pode ser membro de, no máximo, um par de leitura/gravação. Um nó pode ter apenas um par de leitura/gravação. Um nó se torna um membro de um par de leitura/gravação e, portanto, um nó de leitura/gravação durante o processo de indução. Um nó de leitura/gravação reverte para ser um nó somente leitura quando seu par de leitura/gravação é excluído, momento em que ele pode formar um novo par de leitura/gravação.
Um nó de leitura/gravação opera no modo de leitura/gravação quando ele pode replicar com sucesso para seu par de leitura/gravação e quando ambos os pares estão ativos. Um nó de leitura/gravação é colocado temporariamente no modo restrito somente leitura quando não é possível replicar para seu par de leitura/gravação ou quando seu par de leitura/gravação está desativado.
- Criar um Cluster Multimestre
Um cluster multimestre é criado convertendo um único servidor do Oracle Key Vault para se tornar o nó inicial.
Este servidor do Oracle Key Vault implanta os dados do cluster e converte o servidor no primeiro nó do cluster, que é chamado de nó inicial.
Depois que o servidor do Oracle Key Vault for convertido no nó inicial do cluster multimestre, os diferentes tipos de nós necessários poderão ser adicionados ao cluster. O cluster é expandido quando servidores adicionais do Oracle Key Vault são induzidos e adicionados como nós de leitura/gravação ou como nós simples somente para leitura.
Considerações
Considere os pontos a seguir ao implantar essa arquitetura de referência.
- Desempenho
Para otimizar o desempenho e o balanceamento de carga, adicione mais pares de leitura/gravação.
Vários nós somente leitura podem ser adicionados a um cluster, mas para desempenho ideal e balanceamento de carga, você deve ter mais pares de leitura/gravação para evitar que o cluster seja sobrecarregado.
O cluster multimestre do Oracle Key Vault exige que pelo menos um par de leitura/gravação esteja totalmente operacional. Pode ter no máximo oito pares de leitura/gravação.
- Disponibilidade
O cluster com vários nós fornece alta disponibilidade, recuperação de desastres, distribuição de carga e distribuição geográfica para um ambiente do Oracle Key Vault. Ele fornece um mecanismo para criar pares de leitura/gravação de nós do Oracle Key Vault para máxima disponibilidade e confiabilidade.
Depois de inicializar o cluster, você pode expandi-lo adicionando mais 15 nós, como pares de leitura/gravação ou nós somente leitura. Um cluster multimestre pode conter no mínimo dois nós e no máximo 16 nós.
Você pode adicionar nós somente para leitura do Oracle Key Vault ao cluster para fornecer ainda mais disponibilidade aos pontos finais que precisam de wallets Oracle, chaves de criptografia, armazenamentos de chaves Java, certificados, arquivos de credencial e outros objetos.
Explorar Mais
Saiba mais sobre o gerenciamento de criptografia no Oracle Database@Google Cloud com o Oracle Key Vault.
Revise estes recursos adicionais:
- Creating Oracle Key Vault Image in Google Cloud no Oracle Key Vault Administrator's Guide
- Oracle Database@Azure
- Conceitos do Oracle Key Vault
- Enrolando e Fazendo Upgrade de Pontos Finais do Oracle Key Vault no Oracle Key Vault Administrator's Guide
- Oracle Key Vault General System Administration no Oracle Key Vault Administrator's Guide
- Oracle Software Delivery Cloud
- Migração da Criptografia de Dados Transparentes Baseada em Arquivo para o Oracle Key Vault para o Oracle Exadata Database Service on Dedicated Infrastructure Usando Automação via REST
- Estrutura bem arquitetada para o Oracle Cloud Infrastructure