Freitag Aug 22, 2014

Oracle Key Vault - Hardware Security Modul für TDE und mehr

Anfang August hat Oracle ein neues Produkt namens Oracle Key Vault (OKV) zum Einsatz freigegeben. Es handelt sich dabei um ein Hardware Security Modul (HSM) - also um ein Stück Hardware zum Speichern von Schlüsseln, Passwörtern und Dateien, die Schlüssel und Passwörter enthalten.

Oracle Datenbank Installationen nutzen die zuletzt genannte Form des Speicherns von Passwörtern und Schlüsseln in Dateien für Oracle Advanced Security Transparent Data Encryption (TDE) und external password stores. Die Dateien werden in den Versionen 10 und 11 der Datenbank als Wallets bezeichnet, in der Version 12 als Keystores. Allerdings gibt es auch schon seit der Datenbankversion 11.2 beim Einsatz von TDE die Möglichkeit, statt der Wallets / Keystores HSMs einzusetzen. Da Oracle selbst kein eigenes HSM Produkt anbieten konnte, haben Unternehmenskunden dann auf Produkte anderer Anbieter zurückgegriffen. Das kann sich mit OKV nun ändern.

Abhängig vom Bedrohungsszenario kann die Entscheidung gegen den Einsatz von Wallets / Keystores und für den Einsatz eines HSMs durchaus sinnvoll sein, denn

  • ein HSM bietet mehr Sicherheit: Eine Betriebssystemdatei kann leichter gestohlen (kopiert) werden, als ein HSM, das in der Regel als speziell gesicherte Steckkarte in einem Rechner eingebaut ist oder als eigenes Gerät geschützt in einem Rechenzentrum steht.
  • ein HSM kann anders als ein Wallet / Keystore systemübergreifend verwendet werden. Das erlaubt eine gemeinsame Nutzung von Schlüsseln - was wiederum zum Beispiel den Einsatz von TDE auf RAC Installationen perfekt unterstützt.
  • ein HSM kann von mehreren Anwendungen genutzt werden. Das erleichtert das Konsolidieren und Verwalten von Passwörtern und Schlüsseln.
Im aktuellen Tipp wird als Einführung in das neue Produkt dargestellt, wie OKV für TDE genutzt werden kann.

Freitag Jan 11, 2013

Oracle Data Pump und Datenverschlüsselung

Im Rahmen der DBA Community ist das Arbeiten mit Oracle Data Pump bereits in einem Artikel aus dem August 2010 beschrieben worden. Inzwischen gehört der Umgang mit dem Werkzeug zur Alltagsroutine der DBAs. Aber gerade im Zusammenhang mit der Datenverschlüsselung zeigen sich immer wieder und immer noch gewisse Unsicherheiten. Dieser Tipp will versuchen, diese Unsicherheiten zu beseitigen.

Vorweg zwei Hinweise. Der erste Hinweis betrifft die Lizenzierung: Voraussetzung zum Arbeiten mit verschlüsselten Daten ist die kostenpflichtige Lizenzierung der Advanced Security Option (ASO). Diese ist zwar Bestandteil jeder Installation einer Enterprise Edition der Datenbank - muss also nicht nachträglich installiert werden. Genutzt werden darf sie aber nur, wenn die entsprechende Lizenz vorliegt. Diese Lizenz vorausgesetzt können dann einerseits über das Feature Transparent Data Encryption (TDE) Daten in der Datenbank verschlüsselt gespeichert werden (der Tipp dazu findet sich hier), andererseits erlaubt die ASO Lizenz aber auch, die Verschlüsselungsmöglichkeiten von Data Pump zu nutzen.

Der zweite Hinweis betrifft die Voraussetzungen, die vorliegen sollten, um diesem Tipp folgen zu können: Man sollte ein Grundverständnis sowohl vom Arbeiten mit Data Pump als auch von TDE haben. Vielleicht genügt ja dazu auch die abermalige Lektüre der beiden zuvor genannten Tipps.

Hier geht's zum Tipp.

About

Hier finden Sie aktuelle Tipps rund um die Oracle Datenbank.
Ulrike Schwinn, Ralf Durben
Heinz-Wilhelm Fabry und
Sebastian Solbach
ORACLE Deutschl. B.V. & Co. KG

Search

Categories
Archives
« April 2015
MoDiMiDoFrSaSo
  
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
   
       
Heute