この記事はBryan Grennによる”Oracle’s Zero Data Loss Recovery Appliance 23.1 software provides end-to-end encryption of backups“の日本語翻訳版記事です。
2024年7月2日
Zero Data Loss Recovery Appliance(RA)23.1ソフトウェア・リリースの最も優れた機能の一つとして、スペース効率の良い暗号化バックアップがあげられます。 RA23.1ソフトウェア・リリースの機能に関する発表、プレゼンテーション、ブログ記事も多く公開されていますが、それらのほとんどはこのTDE暗号化されたデータベースの利点について述べられています。
注意:この機能はLinux RDBMSバージョン19.18以上の環境でのみ利用可能です。
TDEを利用してOracle Databaseを暗号化することはMAAのベスト・プラクティスであるため、Oracle Cloud Infrastructureでは追加ライセンスなしでTDE暗号化をお使いいただけます。しかし、TDEを利用していない、もしくはExadata Cloud@Customerを利用していないがバックアップを完全に暗号化したい場合はどうすればよいでしょうか。これまで、Oracle Databaseのバックアップ暗号化の最善のソリューションは、保護されたデータベースにTDEを実装し、バックアップを確実に暗号化することでした。しかし、TDEを使用するにはAdvanced Securityオプションが必要であるうえ、暗号化することでバックアップ・アプライアンスはOracle Databaseバックアップを圧縮できなくなってしまいます。
RA23.1ソフトウェア・リリースでは、新しいスペース効率の良い暗号化バックアップ機能によりこれらの問題を解決します。この機能は特に現在TDEを使用していない場合に有用です。
下の画像はZDLRAに送信されるデータのエンド・ツー・エンドの流れを示しています。
スペース効率に優れた暗号化 非TDEバックアップ
RA23.1ソフトウェア・リリースには、このマジックを実現するクライアント用の新しいライブラリ(libra.so)が含まれています。 データファイルの圧縮とRMAN暗号化の両方を使用すると、バックアップをZDLRAに送信する際にACO(Advanced Compression Option)またはASO(Advanced Security Option)が不要になります。
この機能を実装するには、バックアップ・スクリプトに以下の2つの変更を加える必要があります。
1) RA_FORMAT = true
これはチャネル設定で設定する新しいパラメータです。 これは、すべての新しいデータファイル・バックアップ(増分またはフル)を新しい圧縮フォーマットでフォーマットするようライブラリに指示します。これにより、データファイル・バックアップの各ブロックの内容が圧縮され、ZDLRAが読み込むブロックヘッダー・メタデータはそのまま残ります。
以前は、圧縮オプションはRMAN圧縮をオンにすることだけで、RMAN圧縮はデータファイル・バックアップを含むバックアップセットを圧縮していました。 データファイルがTDE暗号化されている場合、RMAN圧縮は結果のバックアップを圧縮と暗号化の両方に残し、ZDLRAで読めなくしてしまいます。データファイルがTDE暗号化されていない場合、RMAN圧縮はバックアップセットをZDLRAに送信し、そこで圧縮を解除してからZDLRAに圧縮して保存します。
2) CONFIGURE ENCRYPTION FOR DATABASE ON;
チャネル設定でRA_FORMAT=trueを設定すると、ライブラリはブロック・コンテンツを圧縮するように指示するだけで、TDEデータファイルに対してのみブロック・コンテンツを暗号化します。 ソース・データファイルがTDE暗号化されていない場合は、バックアップ暗号化をオンにして、ライブラリがデータファイル・バックアップのブロックの内容も暗号化するようにする必要があります。 RMAN で暗号化をオンに設定し、この機能を使用するには、いくつかの注意事項があります。
- マルチテナント構成の場合、CDBと全てのPDBのデータベースの暗号化キーが設定されている必要があります。 これらの鍵は、ウォレットまたはOKV(Oracleがサポートする鍵管理Vault製品)のような外部キーストアに保存する必要があります。
- 暗号化キーの設定にはデータベースインスタンスを再起動またはリセットするが必要で、RACが実装されている場合はインスタンスごとに行うことができます。この機能を実装する場合は、この点に注意してください。
- バックアップの暗号化のみをオンに設定し、RA_FORMAT=trueを設定した場合、TDE暗号化されていないデータファイルがあると、RMANはデータファイルのバックアップ・セット全体を暗号化し、ZDLRAでは読めなくします。 RMAN暗号化をオンに設定する場合は、必ずRA_FORMAT=TRUEを含めてください。
- アーカイブログ、spfile、および制御ファイルをバックアップする場合、これらのバックアップセットは暗号化されます。 TDEを使用せず、ACOライセンスを所有している場合は、RMANでアーカイブログを圧縮し、ストレージの使用率を向上させる必要があります。デー タベースの完全復元を実行する場合は復号化に留意 してください。spfileおよび制御ファイルのバックアップをリストアする前に、ウォレットを開いておく必要があります。
注:リアルタイムREDO転送を利用する場合
リアルタイムREDO転送を使用する場合、TDE以外の表領域に格納されたオブジェクトに関連するREDOは暗号化されません。ZDLRAを指すLOG_ARCHIVE_DEST_xでENCRYPTION属性をENABLEに設定すると、すべてのREDOデータが暗号化されてZDLRAに送信されます。REDOはZDLRA上で暗号化されたまま保持され、暗号化されてデータベース・ホストにリストアされます。 ZDLRAライブラリはメディア・リカバリの際に、保護されたデータベースが保持する暗号化キーを使用してアーカイブログを復号化します。
この機能の詳細については、ZDLRA 管理者ガイドの「データ暗号化技術」を参照してください。
非TDEデータベースでスペース効率バックアップを使用する利点
- データはDBクライアントで、各データベース(各CDBとPDBを含む)に固有の暗号化キーで暗号化されます。 キーは保護されたデータベースによって管理され、データはライフサイクルを通じて暗号化されたままです。 一意の暗号化キーを持つことで、キーのいかなる構成も単一のデータベースに限定されます。
- バックアップは圧縮され、暗号化される。 これにより、以下のどちらかを選択するのと比較して、両方の利点が得られます。
- TDE暗号化 – TDE暗号化により、データベースとバックアップはライフサイクルを通して暗号化されます。 暗号化されたデータは圧縮されず、バックアップをさらに圧縮することはできません。また、非クラウド・データベースではASOライセンスを購入する必要があります。
- RMAN圧縮 – バックアップセットは圧縮されますが、各バックアップは一意のままです。 RMAN圧縮を利用する場合、バックアップは重複排除を利用できず、より効率的な圧縮アルゴリズムを使用するにはACOライセンスが必要です。
- バックアップは圧縮された状態で保存、複製、リストアされます。これにより、使用するストレージや帯域幅が削減され、転送時間も短縮されます。
これにより、スペースの大幅な節約、レプリケーション・トラフィックの削減、リストア時間の短縮が可能になります。
以下のアーキテクチャでは、バックアップが圧縮・暗号化された状態で開始され、ライフサイクルを通じて圧縮・暗号化された状態が維持されることがわかります。
