Montag Dez 05, 2011

Hard Partitioning!

Gute Nachrichten fuer alle Nutzer von Oracle VM Server fuer SPARC (aka LDoms) mit Oracle Software:  Seit 2. Dezember gelten LDoms als "Hard Partitioning".  Damit ist es moeglich, nur die tatsaechlich benoetigten Kerne eines Servers fuer Oracle-Software zu lizenzieren.  Auskunft ueber die Details bekommt man bei License Management Services.

Dienstag Jun 01, 2010

SCA 6000 fuer Oracle TDE

Im Februar  hatte ich beschrieben, wie man den Softtoken Store des Solaris Cryptographic Framework als "Software-HSM" fuer Oracle TDE konfiguriert.  In der Zwischenzeit wurde nicht nur die SCA 6000 als HSM fuer Oracle TDE zertifiziert und die Konfiguration dokumentiert, sondern ich konnte das auch selbst einmal testen.  Dass es funktioniert, versteht sich von selbst.  Was die Verwendung der Karte attraktiv macht, sind die zusaetzlichen Moeglichkeiten, die die Karte bietet.  So kann man den Keystore sperren, was ein erneutes "open wallet" sowie die einzelnen Funktionen der Spaltenverschluesselung verhindert.  Auch ein 4-Augen Prinzip laesst sich hier realisieren.  Damit kann in einer Umgebung mit entsprechenden Sicherheits-Anforderungen der Zugriff auf den Master-Key von der "normalen" Datenbank-Administration getrennt werden.  Und das ist, gerade in solchen Umgebungen, ein Vorteil.

Montag Feb 08, 2010

Oracle Encryption und das Solaris Cryptographic Framework

Seit Oracle 10gR2 gibt es die Moeglichkeit, einzelne Spalten einer Tabelle zu verschluesseln[1].  Als Erweiterung hiervon ist es seit Release 11gR1 moeglich, ganze Tablespaces zu verschluesseln[2].  Beide Features ermoeglichen es, sensitive Daten davor zu schuetzen, dass der Datentraeger auf irgend eine Weise ausgespaeht wird.


Der Master Key, der die Schluessel fuer die Verschluesselung von Spalten bzw. Tablespaces absichert, wird im sogenannten "Oracle Wallet" gespeichert.  Dies ist ueblicherweise eine Datei, deren Speicherort in der sqlnet.ora festgelegt werden kann.  Fuer Anwendungen mit besonders hohem Schutzbedarf ist es jedoch auch moeglich, diesen Master Key in einem externen Geraet, einem sogenannten "Hardware Security Modul" (HSM) abzulegen[3].  Der Zugriff auf diese Geraete erfolgt ueber den Standard PKCS#11.  Da nicht jeder immer gleich Zugriff auf tatsaechliche HSM-Hardware wie z.B. die Sun Crypto Accelerator Karte SCA 6000 hat, kann man statt dessen auch den Softtoken-Store des Solaris Cryptographic Framework [4,5] als HSM nutzen.  Die Oracle-seitige Konfiguration ist die gleiche, und ggf. kann man zu einem spaeteren Zeitpunkt ein "echtes" HSM dazu konfigurieren.  Die Schluessel lassen sich dann mit geschicktem export/import migrieren.


Hier nun die notwendigen Schritte:


Als erstes legt man ein normales Oracle Wallet an.  In der sqlnet.ora traegt man dazu folgendes ein:



ENCRYPTION_WALLET_LOCATION=(SOURCE=(METHOD=FILE)
(method_data=
(directory=/opt/oracle/product/11.1.0/oracle/network/admin)))


Dann erzeugt man den Masterkey mit:



alter system set encryption key identified by "walletpasswd" ;


Damit kann man nun bereits Spalten (alter table oe.customer modify (credit_limit encrypt); ) oder Tablespaces (create tablespace test datafile '+DATA' size 10M encryption default storage(encrypt); ) verschluesseln. Bis hierher wird noch das "normale" Oracle Wallet verwendet.


Als naechstes migriert man nun die jetzt bereits vorhandenen Master-Keys fuer Spalten bzw. Tablespaces in den Softtoken.  Dazu muss dieser erst vorbereitet werden.  Da jeder Solaris-User einen eigenen Softtoken-Store hat (~/.sunw), muss dies als der Oracle-User erfolgen, unter dessen UID die Datenbank betrieben wird.  Dieser Benutzer setzt mit dem Kommando "pktool setpin" ein eigenes Passwort fuer den Tokenstore.  (Das Defaultpasswort ist "changeme", ein Ratschlag, den man natuerlich beherzigen sollte.)  Damit ist der Tokenstore bereit. 


Nun muss Oracle noch Zugriff auf die PKCS#11-Library bekommen:



mkdir ­p /opt/oracle/extapi/32/hsm/sun/1.0.0
mkdir ­p /opt/oracle/extapi/64/hsm/sun/1.0.0
cp /usr/lib/libpkcs11.so /opt/oracle/extapi/32/hsm/sun/1.0.0
cp /usr/lib/sparcv9/libpkcs11.so /opt/oracle/extapi/64/hsm/sun/1.0.0


Als letzte Vorbereitung wird nun die sqlnet.ora geaendert:



ENCRYPTION_WALLET_LOCATION=(SOURCE=(METHOD=HSM)
(method_data=
(directory=/opt/oracle/product/11.1.0/oracle/network/admin)))


Die Migration der beiden Master-Keys dorthin erfolgt nun mit:



alter system set encryption key identified by "scfpasswd" migrate using "walletpasswd";


Das Wallet auf und zu (und die Daten damit zugaenglich oder auch nicht) macht man mit den Kommandos



alter system set wallet open identified by "scfpasswd";
alter system set wallet close ;


Damit verwendet Oracle jetzt den Softtoken-Store des Solaris Cryptographic Framework, um seine Masterkeys zu speichern. Wer moechte, kann nun das alte, obsolete Wallet von Oracle entweder loeschen oder in ein auto-open Wallet wandeln. Letzteres geht mit dem WalletManager (owm) von Oracle. (Danke an Peter Wahl fuer diesen Hinweis).


Das ganze funktioniert natuerlich nicht nur Single-Instance, sondern auch im RAC.  Meine Empfehlung dazu: Die Vorbereitung vollstaendig auf einem Knoten machen, dann den Softtoken, also ~/.sunw, auf die anderen Knoten kopieren, dann erst diese starten.  Ansonsten laeuft man Gefahr, dass einzelne Knoten unterschiedliche Masterkeys erzeugen, und dann bleibt, soweit ich weiss, nur ein "drop database"...  Synchronisation der Keys zwischen den Knoten gibt es mit Release 11.2.0.1. [6].  Dabei wird allerdings ein Wallet auf einem gemeinsamen Filesystem vorausgesetzt.  Da dies mit dem SCF normalerweise nicht moeglich ist (da ja die Oracle-User eigene Homeverzeichnisse haben), muss der Softtoken hier weiterhin manuell kopiert werden.  Besonders angenehm macht es hier die Software der SCA 6000, die es ermoeglicht, mittels LDAP zu synchronisieren...


Nachtrag (2010-02-23): Der Speicherort des Softtoken, normalerweise ~/.sunw, kann mittels der Umgebungsvariablen SOFTTOKEN_DIR beliebig gesetzt werden, und damit auch auf ein von allen Knoten aus zugaengliches gemeinsames Verzeichnis [7].


[1] Transparent Data Encryption (TDE)
[2] Tablespace Encryption
[3] Anleitungen
[4] SCF auf BigAdmin
[5] SCF auf docs.sun.com
[6] Neu mit 11gR2
[7] manpage zu pkcs11_softtoken(5)


2010-02-10:  This blog entry is now also available in english.

Freitag Jan 22, 2010

Wenn das kein Beweis fuer die Richtigkeit der Strategie ist...

Die Spatzen pfeifen es in unserer Internet-Welt ja seit gestern von allen Webseiten: Die EU Kommission hat den Zusammenschluss mit Oracle genehmigt.  Die Begruendung lesend, komme ich nicht umhin festzustellen, dass hier die Staerke von OpenSource deutlich sichtbar wird.  Die EU Kommission stellt letztlich fest, dass es wegen der OpenSource Lizenzen fuer MySQL und Java keine Moeglichkeit gibt, Wettbewerb durch Aquisition auszuschalten.  OpenSource wird so, gewollt oder nicht, zu einem starken Wettbewerbshueter.  Und letztlich hat sich so auch fuer Sun die lange und von vielen unverstandene und kritisierte OpenSource Strategie ausgezahlt - die Firma waere andernfalls nicht, oder zumindest nur mit hohen Abschlaegen, zu verkaufen gewesen.  Ein Gewinn fuer die Aktionaere, aber nicht zuletzt auch fuer die Mitarbeiter und Kunden.


Der Form halber muss ich darauf hinweisen, dass dies meine eigenen, persoenlichen Ansichten sind, und nicht etwa die von Sun oder Oracle.

Donnerstag Okt 15, 2009

$10 Millionen zu gewinnen

Oracle glaubt an die Performance von Sun Systemen.  Und wettet $10 Millionen, dass es keine amerikanische Firma gibt, deren Datenbankanwendung auf einem Sun System nicht doppelt so schnell sein kann wie auf dem bisher verwendeten System von IBM.  Gewinnen kann jede Fortune 1000 Company der USA.  Die Regeln gibt es unter http://www.oracle.com/features/exadatachallenge.html

Freitag Aug 28, 2009

Rekorde am Horizont

Ob nun gekauft oder nicht, die Zusammenarbeit von Sun und Oracle funktioniert schon lange praechtig.  Dabei kommt immer wieder Hoechstleistung heraus.  Manchmal auch mit ungewoehnlichem wie TPC-C!  Neugierig:  Schon mal spicken ;-)

Montag Feb 23, 2009

Oracle jetzt in LDoms supported

Lange erwartet, ist er nun da - der LDoms Support von Oracle.  Sowohl Single Instance als auch RAC sind seit gestern von Oracle fuer den Betrieb in LDoms (1.0.3 oder höher) freigegeben.  Noch sind LDoms nicht als "Hard Partition" im Sinne der Lizenzberechnung anerkannt, aber das ist nur eine Frage der Zeit.  Und schliesslich sind Solaris Container schon lange hierfür akzeptiert, so dass man als Übergangslösung auch einen Container in der LDom verwenden kann...


Die Supportstatements von Oracle findet man z.B. hier:
http://www.oracle.com/technology/products/database/clustering/certify/tech_generic_unix_new.html
oder in Metalink.

Donnerstag Jul 24, 2008

Oracle Parallel

Immer wieder werde ich gefragt, ob sich die CMT-Server denn auch fuer Datenbanken, insbesondere Oracle, eignen.  Meine Antwort darauf ist schon fast stereotyp: "Es kommt auf die Last an."  Ist die Last gut parallelisiert oder parallelisierbar, und sind die Antwortzeiten einer einzelnen Transaktion nicht das kritische Erfolgskriterium, dann sind die Server ideal.  So wie bei jeder anderen durchsatzorientierten Anwendung :-)


Wie man einige Standard-Szenarien bei Oracle ohne grossen Aufwand parallel, und damit fuer CMT Systeme ideal, ausfuehren kann, hat mein Kollege Glenn Fawcett in einer Serie von Blogeintraegen beschrieben.  Sie sind es wert, gelesen und ggf. als Bookmark gespeichert zu werden. 

About

Neuigkeiten, Tipps und Wissenswertes rund um SPARC, CMT, Performance und ihre Analyse sowie Erfahrungen mit Solaris auf dem Server und dem Laptop.

This is a bilingual blog (most of the time). Please select your prefered language:
.
The views expressed on this blog are my own and do not necessarily reflect the views of Oracle.

Search

Categories
Archives
« April 2014
MoDiMiDoFrSaSo
 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
    
       
Heute