همه چیز درباره Oracle Key Vault یا به اختصار OKV

گسترش روند استفاده از فرآیند رمزگذاری در دیتاسنترها به دلیل وجود تهدیدات امنیتی و افزایش قوانین مرتبط با اطلاعات شناسایی فردی، اطلاعات کارت‌های اعتباری، سوابق درمانی و دیگر اطلاعات حساس ضرورت یافته است. در نتیجه مدیریت کلید‌های رمزگذاری، Certificate‌ها، ‌Wallets‌ها و دیگر موارد محرمانه به جزئی جدایی‌ناپذیر از اکوسیستم دیتاسنترها تبدیل شده و بر هر دو موضوع امنیت و تداوم کسب‌و‌کار تأثیر‌ می‌گذارد. Oracle Key Vault به عنوان یک پلتفرمِ مرکزی و ایمن برای مدیریت کلید‌های رمزگذاری می‌تواند پیاده‌سازیِ فرآیند رمزگذاری در سازمان‌ها را تسهیل ‌نماید.

آشنایی با Oracle Key Vault

Oracle Key Vault یا به اختصار OKV، به کاربران این امکان را می‌دهد تا فرآیند رمزگذاری و سایر راهکار‌های امنیتی را از طریق مدیریت متمرکز کلید‌های رمزگذاری، Oracle Wallet‌ها، Java Keystoreها و فایل‌های مرتبط با اطلاعات اعتباری (Credential Files) به سرعت پیاده‌سازی نمایند. این راهکار برای مدیریتِ کلید‌های اصلی مربوط به قابلیت (Transparent Data Encryption (TDE در Oracle Advanced Security بهینه‌سازی شده است. برنامه‌ای که بر روی سخت افزار و به صورت Full-Stack وجود دارد از تکنولوژی‌های Oracle Linux وOracle Database جهت ایجاد امنیت، دسترس‌پذیری و مقیاس‌پذیری استفاده می‌نماید.

نمایشی از Oracle Key Vault

مدیریت مرکزی Oracle Wallet‌ها و Java Keystoreها

‌Oracle Wallet‌ها و Java Keystore‌ها اغلب به طور وسیع در سراسر سرور‌ها و کلاستر‌ها توزیع شده و پشتیبان‌گیری و توزیع این فایل‌ها نیز به صورت دستی انجام می‌شود. OKV محتوای این فایل‌ها را به صورت جزء جزء، دسته‌بندی نموده و در یک مخزن اصلی ذخیره می‌کند، ضمن اینکه به Endpoint‌های سرور نیز این امکان را می‌دهد تا بدون اتصال به OKV و از طریق نسخه‌های Local، به عملکرد خود ادامه دهند. پس از انجام اولین عملیات آرشیو، در صورت حذف نسخه‌های Local به صورت اشتباه یا فراموشی رمز عبور، می‌توان ‌Walletها و Keystore‌ها را بر روی سرور بازیابی نمود. با کمک این راهکار، فرآیند اشتراک‌گذاری Wallet‌ها در سراسر کلاستر‌های پایگاه‌داده نظیر Oracle RAC، Oracle Active Data Guard و Oracle GoldenGate تسهیل می‌گردد؛ همچنین اشتراک‌گذاری Wallet‌ها با بهره‌گیری از Oracle DataPump و Oracle Transportable Tablespaces موجب تسهیلِ انتقال داده‌های رمز‌گذاری شده می‌شود. این راهکار را می‌توان با Oracle Walletها از طریق تمامی نسخه‌های پشتیبانی شده‌ی Oracle Middleware و Oracle Database استفاده نمود.

مدیریت متمرکز TDE master Key

برای دیتابیس‌های Oracle که از قابلیت TDE استفاده می‌کنند، OKV فرآیند مدیریت متمرکز TDE master Keyها را از طریق یک اتصال مستقیم به شبکه انجام می‌دهد و این روش را به عنوان یک راهکار ثانویه و پشتیبان برای روش استفاده از فایل‌های Wallet به صورت Local، تعریف می‌نماید. کلید‌های ذخیره‌شده در OKV نیز طبق تنظیمات کنترل دسترسی که بر روی Endpoint وجود دارد در سراسر پایگاه‌های داده به اشتراک گذاشته می‌شوند. این شیوه‌ی اشتراک‌گذاری کلید‌ها بدون تهیه نسخه‌های کپی از Local Wallet‌ زمانی مفید خواهد بود که TDE بر روی کلاستر‌های پایگاه‌داده از قبیل Oracle RAC، Oracle Active Data Guard، و Oracle GoldenGate اجرا ‌شود. کلید‌های اصلی مورد استفاده برای داده‌های رمز‌گذاری شده‌ی موجود در Oracle Database را می‌توان به راحتی و به عنوان بخشی از تنظیمات اولیه از Oracle Wallet به OKV منتقل نمود. اتصال مستقیم بین TDE و OKV درOracle Database 11gR2  و Oracle Database 12c پشتیبانی می‌شود.

پشتیبان‌گیری متمرکز از فایل‌ اطلاعات اعتباری (Credential Files)

فایل‌های Credential که شامل SSH Key، Kerberos keytabs و کلید‌های مشابه دیگر می‌باشد، به طور گسترده توزیع شده‌ و مکانیسم‌های حفاظتی مناسبی نیز ندارند. پشتیبان‌گیری از فایل‌های Credential توسط OKV با هدف نگهداری طولانی مدت و بازیابی این فایل‌ها صورت می‌گیرد. OKV در صورت نیاز می‌تواند به راحتی این فایل‌ها را بازیابی نموده و علاوه بر ممیزی روند دسترسی، آن‌ها را در Endpoint‌های مورد اطمینان سرور به اشتراک بگذارد.

مدیریت و اجرای Oracle Key Vault

تمامی فرآیند‌های اجرای OKV، آماده‌سازی Endpoint‌های سرور، مدیریتِ ایمن گروهی و تهیه گزارش در مورد دسترسی به کلید‌ها از طریق یک کنسول مدیریتی مبتنی بر مرورگر تسهیل می‌گردد. برای تفکیک وظایف می‌توان نقش‌ مدیر را به سه بخشِ مدیریت کلیدها، سیستم و ممیزی تقسیم نمود. همچنین کاربران بیشتری نیز که مسئولیت‌های عملیاتی در قبال Endpoint‌های سرور‌ را دارند می‌توانند جهت تسهیل روند مدیریت، به کلید‌ها و ‌Wallet‌های خود دسترسی داشته باشند.

بررسی Oracle Key Vault Software Appliance

Oracle Key Vault به عنوان یک ISO Image و یک برنامه‌ی نرم‌افزاری با پیکر‌بندی از پیش تعیین شده و امنیت بالا عرضه می‌گردد. نصب و پیکربندی این برنامه آسان بوده و قابل پیاده‌سازی بر روی سخت‌افزار‌‌های تایید شده‌ی 64 و 32 بیتی می‌باشد. OKV به منظور افزایش دسترس‌پذیری از حالت Primary و Standby پشتیبانی می‌نماید. با کمک این راهکار نیز آماده‌سازی و ثبت Endpointهای ‌سرور‌ به صورت یکپارچه امکانپذیر می‌شود.

ویژگی‌های Oracle Key Vault یا به اختصار OKV

• قابلیت ساخت کلید‌ها به صورت متمرکز در یک پلتفرم مدرن، ایمن و قدرتمند جهت مدیریت کلیدها
• تأمین امنیت، قابلیت اشتراک‌گذاری و مدیریت کلیدها و اطلاعات محرمانه‌ برای سازمان‌ها
• مدیریت مراحلِ چرخه عمر در کلیدها شامل ایجاد، چرخش و انقضای آن
• قابلیت ثبت و آماده‌سازی Endpoint‌ها به صورت یکپارچه
• قابلیت ممیزی تمامی دسترسی‌ها به کلیدها و تغییرات ایجاد شده در چرخه عمر آن‌ها
• ارائه گزارشات و هشدارها
• تفکیک وظایف مدیر
• پشتیبانی از حالت Primary و Standby برای افزایش دسترس‌پذیری و قابلیت Disaster Recovery
• برنامه‌ریزی برای پشتیبان‌گیری خودکار در یک موقعیت مکانی Remote
• پشتیبانی از قابلیت سازگاری با نسخه‌‌ها‌ی قدیمی بدون نیاز به Patch نمودن پایگاه داده
• قابلیت پیاده‌سازی بر روی ماشین‌های تایید شده‌ی 64 و 32 بیتی
• پشتیبانی از استاندارد OASIS KMIP

محصولات مرتبط

‌ OKV یک راهکار مهم وکلیدی برای کنترل اجرایی در مجموعه‌های بزرگ‌ امنیتی که از Oracle به عنوان پایگاه داده خود استفاده می‌نمایند محسوب می‌گردد و محصولات مرتبط با آن به شرح زیر می‌باشد:

• Oracle Advanced Security
• Oracle Database Vault
• Oracle Label Security
• Oracle Data Masking و Sub-setting
• Oracle Audit Vault و Database Firewall