oracle cloud infrastructure에서 oracle key vault를 사용톚 oracle ... · oracle key vault는...

Oracle Cloud Infrastructure에서 Oracle Key Vault를

사용한 Oracle 데이터베이스 암호화 키 관리 Oracle Key Vault의 Oracle Advanced Security TDE 키 보호

ORACLE 백서 | 2018년 5월

2 | Oracle Cloud Infrastructure에서 Oracle Key Vault를 사용한 Oracle 데이터베이스 암호화 키 관리

면책 조항

본 자료에서는 오라클의 전반적인 제품 방향을 소개하고 정보를 제공할 목적으로 작성되었으며

어떠한 계약에도 포함되지 않을 수 있습니다. 따라서 이 정보는 어떤 자료, 코드 또는 기능을

제공한다는 약속을 의미하는 것이 아니므로 구매 결정에 참고해서는 안됩니다. 여기 설명되어

있는 오라클 제품에 대한 모든 특징 또는 기능의 개발, 발표 및 시기는 오라클의 단독 재량에

따라 변경될 수 있습니다.

참고: 본 백서는 앞으로 추가로 개정될 수 있습니다. 현재 최신 버전인지 확인하십시오.

개정 이력

다음은 본 백서가 최초 발간 이후 지금까지 개정된 이력을 나타낸 것입니다.

날짜 개정

2018년 5월 25일

• Oracle Cloud Infrastructure 환경에서 Oracle Key Vault 관리를

위한 운영 모범 사례 추가됨

• FAQ 단원 삭제됨

Oracle Cloud Infrastructure 최신 백서는 https://cloud.oracle.com/iaas/technical-resources에서

찾아보실 수 있습니다.

https://cloud.oracle.com/iaas/technical-resources


목차

서론 5

Oracle Key Vault 개요 6

Oracle Wallet과 Java KeyStore의 중앙 집중식 관리 6

온라인 TDE 마스터 키 관리 7

자격 증명 파일의 중앙 백업 8

Oracle Cloud Infrastructure의 Oracle Key Vault 설치 8

Oracle Key Vault 이미지 및 라이선스 가져오기 8

BYOH KVM 설치 및 Oracle Key Vault VM에 필요한 VCN 네트워킹 구성 9

베어 메탈 인스턴스의 Oracle Key Vault VM 설치 10

Oracle Cloud Infrastructure에서 Oracle Key Vault를 사용한 Oracle TDE 키 구성 11

Oracle Key Vault의 데이터베이스 엔드포인트 등록 12

Oracle Wallet 키를 Oracle Key Vault로 업로드 13

TDE 마스터 키를 Oracle Wallet에서 Oracle Key Vault로 마이그레이션 13

Oracle Key Vault 모범 사례 14

중요하지 않은 데이터베이스 워크로드를 통한 프로토타이핑 14

보안 키 백업 15

고가용성을 위한 구성 15

Oracle Key Vault의 SSH 액세스 활성화 15

Oracle Key Vault 감사 로그 사용 16

VCN Security Lists를 사용한 Oracle Key Vault 인스턴스 보호 16

Oracle Cloud Infrastructure의 Oracle Key Vault 관리 16

Oracle Key Vault의 Active Data Guard 구성 17

Oracle Key Vault의 RAC 구성 17

Oracle Key Vault의 GoldenGate 구성 17


결론 17

부록 18

베어 메탈 인스턴스에서 SR-IOV 활성화 18

VF 활성화와 보조 VNIC의 MAC 주소 구성 18

보조 VNIC의 VLAN 태그를 사용한 네트워크 인터페이스 생성 18

attach.xml 파일 19

rest.ini 파일 19

enroll_okv_endpoint 파일 19


서론

Oracle 데이터베이스는 Oracle Advanced Security에서 제공되는 TDE (Transparent Data

Encryption)를 사용해 저장 데이터를 암호화합니다. TDE는 데이터베이스부터 데이터를 사용하는

어플리케이션까지 투명하게 암호화하며, 전체 테이블스페이스 또는 특정 테이블 컬럼에 대한

암호화가 가능합니다.

TDE는 2계층 암호화 키 아키텍처를 사용하는데, 이는 테이블스페이스 또는 컬럼 암호화에

사용하는 데이터베이스 암호화 키, 그리고 데이터베이스 암호화 키를 래핑 (암호화)하는 데

사용하는 TDE 마스터 키로 구성되어 있습니다. 래핑된 데이터베이스 테이블스페이스 및 컬럼

암호화 키는 기본적으로 데이터베이스에 저장되고, TDE 마스터 키는 일반적으로 로컬 파일

시스템의 Oracle Wallet에, 혹은 클러스터 액세스의 경우 ASM (Automatic Storage Management)

디스크 그룹에 저장됩니다. 그 밖에 권장하는 TDE 마스터 키 저장 옵션 중에는 Oracle Key

Vault나 하드웨어 보안 모듈 (HSM) 같은 중앙 집중식 키 관리 플랫폼도 있습니다.

TDE 마스터 키는 Oracle Wallet에 PKCS#12 형식의 파일로 저장되며 고객이 입력하는 비밀번호로

보호됩니다. 데이터베이스를 암호화 또는 복호화하는 데 데이터베이스 암호화 키가 필요한

경우에는 고객이 정확한 비밀번호를 입력하여 Wallet을 엽니다. Wallet 기반 TDE 마스터 키는

데이터베이스에서 테이블스페이스 또는 컬럼을 암호화 하거나 복호화 하는 데 사용되는

암호화키를 래핑 해제 (복호화)하는데 사용됩니다. 원격 (lights-out) 운영 요건을 따라야 하는

경우에는 비밀번호 없이 자동 로그인 옵션을 사용해 Oracle Wallet이 프로비저닝되기도 합니다.

Oracle Cloud Infrastructure 컴퓨트 (Compute) 베어 메탈 인스턴스는 가상 머신 (VM)과 달리

Oracle Cloud Infrastructure에서 제어하여 더욱 높은 권한이 부여된 하이퍼바이저에서 관리하지

않습니다. 또한, Oracle Cloud Infrastructure 운영자는 베어 메탈 인스턴스의 메모리 또는 로컬

디스크에 저장된 데이터에 기술적으로 액세스할 수 없습니다. 이것은 고객이 베어 메탈

인스턴스에 저장된 데이터를 완전히 제어할 수 있습니다. Oracle Database는 Oracle Cloud

Infrastructure를 이용하는 고객에게 베어 메탈 인스턴스를 사용할 수 있도록 지원합니다. Oracle

Cloud Infrastructure의 Oracle 데이터베이스 옵션은 다음과 같습니다.

• 데이터베이스 인스턴스: 베어 메탈 인스턴스의 탄력적인 온디맨드 Oracle 데이터베이스 (NVMe 로컬

플래시 스토리지 포함). 제공되는 데이터베이스 인스턴스 shape은 다음과 같습니다.

o HighIO: 36 코어, 512GB RAM, 12.8TB NVMe 스토리지

o DenseIO: 36 코어, 512GB RAM, 28.8 TB NVMe 스토리지

o 2-노드 RAC

o 엑사데이터: 쿼터 랙, 하프 랙, 풀 랙

• BYOL (Bring Your Own License) 데이터베이스: 고객은 자신의 베어 메탈 인스턴스에 Oracle

데이터베이스를 설치할 수 있습니다.


데이터베이스 및 BYOL 베어 메탈 인스턴스에서는 TDE 마스터 키가 고객이 소유한 베어 메탈

인스턴스의 Oracle Wallet에서 프로비저닝되므로, 고객이 자신의 TDE 키를 완벽히 제어할 수

있습니다 (즉 Oracle Cloud Infrastructure 운영자는 베어 베탈 인스턴스의 Oracle Wallet에

액세스할 수 없습니다). 이 경우 Oracle Cloud Infrastructure 고객에게는 자신이 소유한 모든

데이터베이스 인스턴스의 Oracle Wallet에서 TDE 마스터 키를 개별적으로 관리 (변경, 재해 복구

백업, 가용성)해야 할 책임이 있습니다. 결과적으로, 데이터베이스를 대규모로 배포하는

고객들에게는 키 관리가 큰 운영 부담으로 작용할 수 있습니다.

Oracle Key Vault는 TDE 키 관리에 따른 운영 부담을 줄일 수 있는 솔루션을 제공합니다. Oracle

Key Vault는 보안을 강화한 소프트웨어 어플라이언스로서, 다수의 Oracle 데이터베이스를 비롯해

MySQL TDE, Solaris Crypto, ACFS (ASM Cluster File System) 암호화 등 기타 보안 어플리케이션의

TDE 마스터 키를 저장하고 관리하는 데 사용됩니다. TDE 마스터 키를 중앙에서 모두 관리하려면

Oracle Key Vault를 자신의 베어 메탈 인스턴스에 설치한 후 Oracle Cloud Infrastructure의 모든

Oracle 데이터베이스를 엔드포인트로 등록하면 됩니다. Oracle Cloud Infrastructure 고객이 Oracle

Key Vault를 자신의 베어 메탈 인스턴스에 설치하면 TDE 마스터 키를 계속 제어함과 동시에,

Oracle Key Vault 기능을 이용해 키 관리에 따른 운영 부담을 줄일 수 있습니다.

본 백서는 고객이 가상 클라우드 네트워크 (VCN)에서 자신이 소유한 베어 메탈 인스턴스에

Oracle Key Vault를 설치 및 구성하여 Oracle 데이터베이스 TDE 키를 관리하는 지침에 대해

설명합니다.

Oracle Key Vault 개요

Oracle Key Vault는 고객이 암호화 키, Oracle Wallets, Java KeyStores, 자격 증명 파일 등을

중앙에서 관리하여 암호화 및 기타 보안 솔루션을 빠르게 배포할 수 있는 소프트웨어

어플라이언스입니다. 이는 Oracle Advanced Security TDE (Transparent Data Encryption) 마스터

키를 관리하는 데 최적화되어 있습니다. 풀 스택으로 보안을 강화한 이 소프트웨어

어플라이언스는 Oracle Linux와 Oracle 데이터베이스 기술을 사용해 보안성과 가용성 및 확장성을

구현합니다. Oracle Key Vault는 OASIS KMIP (Key Management Interoperability Protocol) 업계

표준을 지원합니다.

Oracle Wallet과 Java KeyStore의 중앙 집중식 관리

Oracle Wallet과 Java KeyStore는 다수의 서버 및 서버 클러스터에로 수동 분산되는 경우가

많습니다. Oracle Key Vault는 이러한 파일들의 내용을 항목화하여 마스터 리포지토리에 저장하며,

서버 엔드포인트는 Oracle Key Vault와 지속적인 연결 없이 로컬 복사본을 사용하도록 합니다.

일단 Wallet과 keyStore가 저장되면 로컬 복사본을 실수로 삭제하거나 비밀번호를 잊은 경우에도

서버로 다시 복구할 수 있습니다.


Oracle Key Vault는 Oracle RAC와 같은 데이터베이스 클러스터, Oracle Active Data Guard, Oracle

GoldenGate 간에 Wallet을 공유합니다. 또한 Wallet 보안 공유를 통해 Oracle Data Pump와

Oracle Transportable Tablespaces를 사용한 암호화 데이터의 이동이 간편해집니다. 그 밖에

지원되는 Oracle Middleware 및 Oracle 데이터베이스에서 Oracle Key Vault를 Oracle Wallet과

함께 사용할 수 있습니다.

Oracle Key Vault의 Wallet 관리 시나리오

온라인 TDE 마스터 키 관리

Oracle 데이터베이스가 TDE를 사용하는 경우에는 Oracle Key Vault가 로컬 Wallet 파일을 사용는

대신, 직접 네트워크 연결을 통해 중앙에서 TDE 마스터 키를 관리합니다. 이 연결은 주기적인

암호 변경과 Wallet 파일 백업 및 잊어버린 비밀번호로부터의 복구 등 Wallet 파일 관리에 따른

운영 과제가 해소됩니다. 이 방법은 흔히 규정 준수에서도 언급되지만, 암호화 키와 암호화된

데이터를 물리적으로 분리하는 효과도 있습니다. Oracle Key Vault에 저장되는 마스터 키는

엔드포인트 액세스 제어 설정에 따라 테이블스페이스 키 또는 테이블 키를 복호화하는 데 사용할

수 있습니다.

로컬 Wallet 복사본을 사용하지 않고 키를 공유하는 이러한 방법은 TDE가 Oracle RAC와 같은

데이터베이스 클러스터, Oracle Active Data Guard, Oracle GoldenGate에서 실행될 때 유용합니다.

기존에 Oracle 데이터베이스에서 암호화된 데이터에 사용했던 마스터 키는 초기 설정 과정에서

Oracle Wallet에서 Oracle Key Vault로 손쉽게 마이그레이션할 수 있습니다. TDE와 Oracle Key

Vault 사이의 직접 네트워크 연결은 데이터베이스 패치 없이 Oracle Database 11gR2와 Oracle

Database 12c에서 지원됩니다.


Oracle Key Vault의 온라인 TDE 마스터 키 시나리오

자격 증명 파일의 중앙 백업

SSH 키와 Kerberos 키탭 파일, 그리고 유사한 자격 증명 파일이 저장된 자격 증명 파일 역시

적합한 보호 메커니즘 없이 널리 배포됩니다. Oracle Key Vault는 이러한 자격 증명 파일을

백업하여 장기간 보관하거나 복구합니다. 백업 파일을 필요할 때 손쉽게 복구하거나, 백업 파일에

대한 액세스를 감사하거나, 신뢰할 수 있는 엔드포인트 사이에 백업 파일을 공유합니다.

그 밖에도 MySQL TDE, Solaris Crypto, ACFS (ASM Cluster File System) 파일 암호화 솔루션을 위해

키 관리를 중앙화합니다.

Oracle Cloud Infrastructure의 Oracle Key Vault 설치

Oracle Key Vault는 온프레미스 네트워크의 물리적 호스트에 소프트웨어 어플라이언스로

설치되도록 설계되었습니다. 현재 버전의 Oracle Key Vault는 이러한 배포 기능 때문에 있는

그대로 베어 메탈 인스턴스에 설치하지 못하고 고객의 베어 메탈 인스턴스에 VM으로 설치됩니다.

고객은 Oracle Key Vault VM을 설치하기 전에 하이퍼바이저를 베어 메탈 인스턴스에 설치합니다.

이 BYOH (Bring-Your-Own-Hypervisor) 모델에서는 고객이 관리자로서 하이퍼바이저를 관리하기

때문에 베어 메탈 인스턴스와 이 인스턴스에서 실행되는 Oracle Key Vault VM을 완벽히 제어할

수 있습니다.

이 단원에서는 Oracle Key Vault 이미지와 라이선스를 가져오는 방법, 하이퍼바이저를 설치하는

방법, 그리고 Oracle Key Vault VM을 베어 메탈 인스턴스에 설치하는 방법에 대해 설명합니다. 이

지침에서는 KVM 하이퍼바이저를 사용합니다.

Oracle Key Vault 이미지 및 라이선스 가져오기

다운로드 지침에 따라 설치에 필요한 Oracle Key Vault ISO 이미지를 다운로드합니다. 설치와

필요한 관리 작업에 대한 자세한 내용은 설명서를 참조하십시오.

http://www.oracle.com/technetwork/database/options/key-management/downloads/index.html

https://docs.oracle.com/cd/E65319_01/index.htm


Oracle Key Vault는 Oracle 데이터베이스 보안 제품 포트폴리오에서 라이선스가 별도로 제공되는

제품입니다. 모든 프로덕션/비-프로덕션 (테스트 및 개발) 환경에 필요한 라이선스를 구매하십시오.

BYOH KVM 설치 및 Oracle Key Vault VM에 필요한 VCN 네트워킹 구성

BYOH에서는 VCN의 보조 VNIC가 필수 기능입니다. 보조 VNIC에서는 VNIC를 추가로 베어 메탈

인스턴스에 연결하여 VCN 라우팅이 가능한 IP 주소를 VNIC에 할당한 다음 VNIC를 BYOH 베어

메탈 인스턴스에서 실행되는 VM에 연결할 수 있습니다. 보조 VNIC에 대한 자세한 내용은

네트워킹 (Networking) 서비스 설명서를 참조하십시오.

이 단원에서는 BYOH KVM 설치를 위한 고급 단계를 요약하여 설명합니다. 자세한 내용은

Installing and Configuring KVM on Bare Metal Instances with Multi-VNIC 백서를 참조하십시오.

고급 단계는 다음과 같습니다.

1. Oracle Linux 7.x image로 베어 메탈 인스턴스를 시작합니다.

2. SSH 키를 사용해 연결성을 테스트할 베어 메탈 인스턴스에 로그인합니다. 연결이 되지

않을 경우 VCN Security Lists와 인스턴스 방화벽 규칙을 확인하십시오. VNC 클라이언트를

사용해 인스턴스에 연결하려면 VNC 서버를 베어 메탈 인스턴스에 설치하는 것이

좋습니다. Oracle Linux에서 VNC 서버를 구성하는 방법에 대한 자세한 내용은

https://docs.oracle.com/cd/E52668_01/E54669/html/ol7-vnc-config.html에서 확인할 수

있습니다.

3. Oracle Cloud Infrastructure 콘솔에서 최소 256GB 크기의 블록 스토리지를 생성하여 베어

메탈 인스턴스에 연결합니다. 파일 시스템을 연결된 볼륨에 마운트한 후 Oracle Key Vault

ISO를 마운트된 파일 시스템에 복사합니다. 저장할 파일 수에 따라 다르지만 1TB 크기의

블록 볼륨을 사용하는 것이 좋습니다.

4. 콘솔이나 API를 사용해 보조 VNIC를 연결한 다음 IP 주소와 MAC 주소, 그리고 보조

인터페이스의 VLAN 태그를 기록합니다. 이는 나중에 Oracle Key Vault VM에 할당되는

보조 IP 주소이기 때문에 Oracle Cloud Infrastructure 데이터베이스 (Database) 인스턴스를

포함해 다른 VCN 호스트에서 전송 가능한 네트워크가 될 수 있습니다.

5. 다음과 같이 KVM 하이퍼바이저를 베어 메탈 인스턴스에 설치합니다.

sudo yum install qemu-kvm qemu-img virt-manager libvirt libvirt-python

libvirt-client virt-install virt-viewer bridge-utils

6. SR-IOV를 활성화한 후 베어 메탈 인스턴스를 다시 시작합니다. 자세한 내용은 부록을

참조하십시오.

7. 베어 메탈 인스턴스가 시작되면 OS에서 SR-IOV 가상 함수 (VF)를 활성화합니다. VF를

선택한 다음, 앞에서 생성한 보조 VNIC의 MAC 주소로 구성합니다. 자세한 내용은 부록을

참조하십시오.

https://docs.us-phoenix-1.oraclecloud.com/Content/Network/Tasks/managingVNICs.htm

https://cloud.oracle.com/opc/paas/whitepapers/installing_kvm_multi_vnics.pdf

https://docs.oracle.com/cd/E52668_01/E54669/html/ol7-vnc-config.html


8. 보조 VNIC의 VLAN 태그를 사용해 네트워크 인터페이스를 생성합니다. 인터페이스는 이전

단계에서 구성한 VF와 브릿지로 연결됩니다. 자세한 내용은 부록을 참조하십시오.

9. 베어 메탈 인스턴스에서 pifconfig를 실행하여 생성된 네트워크 장치를 표시합니다.

베어 메탈 인스턴스의 Oracle Key Vault VM 설치

1. qemu-img를 사용하여 500G 크기의 가상 디스크를 생성합니다. 이 가상 디스크는 Oracle

Key Vault VM에서 사용됩니다.

qemu-img create -f raw <path_to_disk_image> 500G

2. virt-install을 사용해 Oracle Key Vault VM을 설치합니다.

sudo virt-install --arch=x86_64 --name=<OKV_VM_name> --ram 16000 --cpu

Haswell-noTSX --vcpus=4 --hvm --video qxl --nonetwork --os-type linux --

noautoconsole --boot hd,cdrom –disk <path_to_OKV_ISO>,device=cdrom,bus=ide

–disk <path_to_OKV_VM_disk_image>,format=raw,bus=scsi --graphics

vnc,port=<VNC_port>,listen=0.0.0.0,password=<VNC_password>

또한 위의 명령을 실행하면 Oracle Key Vault VM 콘솔에 대한 VNC 연결을 생성하여 부트

로그가 표시됩니다.

3. 로컬 호스트에서 SSH 터널을 생성한 후 VNC 클라이언트를 사용해 Oracle Key Vault VM

콘솔에 연결합니다. 이 방법은 특히 설치 도중 오류가 발생할 때 유용합니다.

ssh –i <bare_metal_SSH_key> -L <VNC_port>:localhost:<VNC_port>

opc@<bare_metal_host_IP>

<bare_metal_SSH_key>는 베어 메탈 인스턴스에 연결하는 데 필요한 SSH 키입니다.

<VNC_port>는 2단계 virt-install에서 지정한 포트 번호입니다.

<bare_metal_host_IP>는 베어 메탈 인스턴스의 IP 주소입니다.

Mac에서는 기본 VNC 클라이언트 (화면 공유)를 사용해 2단계에서 구성한

vnc://opc@localhost:<VNC_port>와 <VNC_password>로 Oracle Key Vault VM에 연결할

수 있습니다.

4. virsh를 사용해 (지난 단원에서 생성한) VNIC 네트워크 인터페이스를 연결합니다. 이때

attach.xml 파일에서 VNIC MAC 주소와 네트워크 장치 이름을 정확히 입력해야 합니다

(파일에 대한 자세한 내용은 부록 참조). VNIC 네트워크 인터페이스를 연결한 후 Oracle

Key Vault VM을 종료했다가 다시 시작합니다.

sudo virsh attach-device <VM_name> ./attach.xml –config

sudo virsh destroy <VM_name>

sudo virsh start <VM_name>


VM이 설치를 시작하면 VM에 연결된 VNIC 네트워크 장치를 감지해야 합니다. VM 설치는

약 30분이 소요됩니다. Oracle Key Vault 설치에 대한 자세한 내용은

https://docs.oracle.com/cd/E50341_01/doc.1210/e41361/okv_install.htm#OKVAG10641에서

확인할 수 있습니다.

설치 도중 다음과 같은 정보를 입력하라는 메시지가 표시됩니다.

• Oracle Key Vault 설치 비밀번호: 이 비밀번호는 Oracle Key Vault 콘솔에 처음

로그인할 때 사용됩니다.

• Oracle Key Vault 네트워크 구성: 여기에는 Oracle Key Vault VM IP 주소와 게이트웨이

IP 주소, 그리고 넷마스크가 포함됩니다. Oracle Key Vault VM의 IP 주소

(OKV_VM_IP)로 연결된 보조 VNIC의 IP 주소를 입력합니다. 게이트웨이 IP 주소로는

10.0.0.1을, 그리고 넷마스크로는 255.255.255.0을 입력합니다.

5. 설치가 완료되면 호스트 베어 메탈 인스턴스에서 웹 브라우저를 열고 https://OKV_VM_IP를

입력합니다. 여기서 OKV_VM_IP는 Oracle Key Vault VM의 IP 주소입니다.

브라우저에서 Oracle Key Vault 콘솔이 열립니다.

6. 설치 비밀번호를 사용해 로그인합니다.

7. 메시지가 표시되면 키 관리자, 시스템 관리자 및 감사 관리자의 사용자 이름과 암호를

설정합니다. 마찬가지로, 메시지가 표시되면 복구 비밀번호 (보안 백업 파일에서 키를

복구하는 데 사용), 루트 비밀번호 (VM에 대한 루트 권한) 및 지원 비밀번호 (VM에 대한

SSH 액세스)를 설정합니다. Oracle Key Vault 콘솔에서 생성하는 사용자에 대한 자세한

내용은

https://docs.oracle.com/cd/E50341_01/doc.1210/e41361/okv_install.htm#OKVAG10740에서


8. Oracle Key Vault에서 REST 서비스가 활성화되어 있는지 확인합니다. Oracle Key Vault

콘솔의 System에서 Restful Services 확인란을 선택한 후 구성 설정을 저장합니다. 모든

엔드포인트의 등록과 프로비저닝이 끝난 후 REST 서비스를 비활성화할 수도 있습니다.

Oracle Cloud Infrastructure에서 Oracle Key Vault를 사용한 Oracle

TDE 키 구성

이번 단원에서는 Oracle 데이터베이스를 Oracle Key Vault 엔드포인트로 등록하는 지침과 TDE

마스터 키를 Oracle Wallet에서 Oracle Key Vault로 마이그레이션하는 지침에 대해 설명합니다. 이

두 작업을 실행할 때는 Oracle Key Vault RESTful 유틸리티를 사용합니다. RESTful 유틸리티는

데이터베이스 인스턴스에서 실행되는 KMIP 클라이언트로서, 데이터베이스를 엔드포인트로 Oracle

Key Vault KMIP 서버에 등록합니다. 다수의 데이터베이스 인스턴스를 등록할 경우 Oracle Key

Vault RESTful 유틸리티를 프로그래밍 방식으로 사용해 등록 프로세스를 자동화할 수 있습니다.

https://docs.oracle.com/cd/E50341_01/doc.1210/e41361/okv_install.htm#OKVAG10641

https://docs.oracle.com/cd/E50341_01/doc.1210/e41361/okv_install.htm#OKVAG10740


Oracle Key Vault의 데이터베이스 엔드포인트 등록

1. 데이터베이스 인스턴스에서 https://HOST_BARE_METAL_IP를 사용해 Oracle Key Vault

콘솔에 로그인합니다. 이전 단원의 IP 테이블 규칙에 따라 호스트 베어 메탈 인스턴스의

포트 443이 Oracle Key Vault VM으로 전달됩니다.

2. 콘솔에서 RESTful Service Utility를 클릭하여 유틸리티를 인스턴스로 다운로드합니다.

여기서는 유틸리티 (okvrestservices.jar)가 /home/oracle/Downloads로

다운로드된다고 가정합니다. 여기서 /home/oracle은 데이터베이스 인스턴스의 홈

디렉터리를 말합니다.

3. Downloads 디렉터리에서 다음 두 파일을 생성합니다(두 파일의 대표적인 예는 부록

참조).

• rest.ini 구성 파일

• enroll_okv_endpoints 스크립트 파일

4. 데이터베이스 인스턴스의 홈 디렉터리에서 okvhome 디렉터리를 생성합니다

(/home/oracle/okvhome).

5. 다음 명령을 사용해 데이터베이스를 엔드포인트로 등록한 후 TDE 마스터 키를 저장할

Oracle Key Vault 가상 Wallet을 생성합니다.

java –jar okvrestservices.jar –-config rest.ini –-script

enroll_okv_endpoint

Oracle Key Vault 관리자 암호를 입력하라는 메시지가 표시됩니다.

CUSTOMER_DB가 Oracle 데이터베이스 엔드포인트의 이름이고, CUSTOMER_DB_WALLET이

데이테베이스 TDE 마스터 키를 저장할 Oracle Key Vault 가상 Wallet이라고 가정합니다.

명령이 성공적으로 완료되면 CUSTOMER_DB 엔드포인트가 Endpoints 탭의 Oracle Key

Vault 콘솔에 나열됩니다. 또, Keys & Wallets 탭에서 CUSTOMER_DB_WALLET이라고 하는

가상 Wallet이 표시됩니다. 이때, CUSTOMER_DB_WALLET은 비어있게 됩니다. 또한 다양한

유틸리티 (다음 단원에서 사용할 okvutil 포함)를 사용해 위 명령을 실행하면

/home/oracle/okvhome 디렉터리에 하위 디렉터리인 CUSTOMER_DB가 생성됩니다.

6. /home/oracle/okvhome/CUSTOMER_DB/bin/root.sh 파일을 루트 (또는 sudo)로

실행합니다. 그러면 Oracle Key Vault PKCS#11 드라이버가 Oracle 데이터베이스 파일

시스템에서 지정된 위치 (/opt/oracle/extapi/64/hsm/oracle/1.0.0)로 복사됩니다.

Oracle 데이터베이스는 이 드라이버의 함수를 사용해 Oracle Key Vault와 상호작용합니다.


Oracle 데이터베이스 12.1.0.2와 12.2.0.1에서는 Oracle Key Vault Wallet이 각 컨테이너

데이터베이스 (CDB)마다 생성되며, CDB에 속한 모든 멀티테넌트 Plugable 데이터베이스

(PDB)의 TDE 마스터 키가 모두 동일한 Wallet에 저장됩니다. 이는 실행 중인 PDB의

개수와는 관련이 없습니다. 하지만 향후 버전에서는 PDB마다 별도의 Oracle Key Vault

Wallet을 생성하도록 변경될 수 있습니다.

Oracle Wallet 키를 Oracle Key Vault로 업로드

다음 명령을 사용해 Oracle Wallet 내용을 Oracle Key Vault로 업로드합니다. 여기서 Oracle

Wallet은 Oracle 데이터베이스 인스턴스의 /etc/oracle/wallets/orcl에 위치합니다 (orcl은

데이터베이스 SID 이름임). 자신의 데이터베이스 SID로 변경합니다.

/home/oracle/okvhome/CUSTOMER_DB/bin/okvutil upload –t WALLET –g

CUSTOMER_DB_WALLET –l /etc/oracle/wallets/orcl

Oracle Wallet 비밀번호를 입력하라는 메시지가 표시됩니다.

명령이 성공적으로 완료되면 Oracle Key Vault 콘솔의 Keys & Wallets 탭에 여러 가지 키 및

인증서 식별자가 표시됩니다.

또한 다음 명령을 사용해 Oracle Key Vault의 CUSTOMER_DB 엔드포인트에 대한 키 및 인증서

ID를 나열할 수도 있습니다. 결과는 Oracle Key Vault 콘솔에서 CUSTOMER_DB에 나열되는 내용과

일치할 것입니다.

/home/oracle/okvhome/CUSTOMER_DB/bin/okvutil list

TDE 마스터 키를 Oracle Wallet에서 Oracle Key Vault로 마이그레이션

1. sqlplus 터미널에서 다음 명령을 사용해 데이터베이스 인스턴스의 Oracle Wallet을

닫습니다. 여기서 WALLET_PASSWD는 데이터베이스 인스턴스의 Oracle Wallet

비밀번호입니다.

administer key management set keystore close identified by “WALLET_PASSWD”;

2. $ORACLE_HOME/network/admin/sqlnet.ora 구성 파일을 (METHOD=FILE)에서

(METHOD=HSM)으로 변경합니다.

3. 다음 명령을 사용해 변경 사항이 적용되었는지 확인합니다. sqlplus / as sysdba를

사용해 데이터베이스에 로그인하여 sqlplus 터미널에서 명령을 실행합니다. FILE과 HSM

모두 CLOSED가 됩니다.

select wrl_type,status from v$encryption_wallet;


4. sqlplus 터미널에서 다음 명령을 사용해 TDE 마스터 키를 Oracle Wallet에서 Oracle Key

Vault로 마이그레이션합니다. 명령에서 "null"은 데이터베이스 엔드포인트에 대한 null

비밀번호를 나타냅니다. null이 아닌 값을 사용할 경우 데이터베이스가 TDE 마스터 키를

사용하기 위해 Oracle Key Vault에 액세스할 때마다 비밀번호 입력 메시지가 표시되어

원격 작업에 문제를 일으킬 수 있습니다.

administer key management set encryption key identified by “null” migrate

using “WALLET_PASSWD” with backup;

마이그레이션된 TDE 마스터 키 식별자가 Oracle Key Vault 콘솔의 Keys & Wallets 탭에

표시됩니다.

5. 이후부터는 sqlplus 터미널에서 다음 명령을 사용하여 Oracle Key Vault의 TDE 마스터

키를 변경할 수 있습니다.

administer key management set encryption key identified by “null”;

팁: TDE 마스터 키를 다시 Oracle Wallet으로 마이그레이션하려면

$ORACLE_HOME/network/admin/sqlnet.ora 구성 파일에서 (METHOD=HSM)을

(METHOD=FILE)로 변경한 후 sqlplus 터미널에서 다음 명령을 실행하십시오.

administer key management set encryption key identified by “null” reverse migrate

using “WALLET_PASSWD” with backup;

Oracle Key Vault 모범 사례

다음 Oracle Key Vault 모범 사례를 사용해 보안과 운영 상태를 강화하십시오.

중요하지 않은 데이터베이스 워크로드를 통한 프로토타이핑

TDE 마스터 키를 잃어버리면 Oracle 데이터베이스에서 암호화된 데이터 (암호화된

테이블스페이스와 컬럼)에 액세스하지 못하게 됩니다. 따라서 Oracle Key Vault를 포함해 키 관리

솔루션을 배포할 때는 처음부터 키 관리 솔루션을 프로토타이핑하여 중요하지 않거나 테스트

데이터베이스 워크로드에 적용할 것을 권장합니다. 이러한 계획은 키 관리 솔루션의 모든 요소를

충분히 파악할 뿐만 아니라 미션 크리티컬 프로덕션 워크로드를 처리하는 데 적합한 키 관리

아키텍처를 공식화한다는 점에서 효과적입니다.


보안 키 백업

재해 복구 (DR)를 뒷받침하려면 Oracle Key Vault에 저장된 TDE 마스터 키를 주기적으로 안전하게

백업해야 합니다. TDE 마스터 키를 잃어버리면 암호화된 데이터베이스 데이터에 액세스할 수 없기

때문입니다. 다음은 Oracle Key Vault에 저장된 TDE 마스터 키의 백업 파일을 생성하는

옵션입니다.

• 자동 블록 볼륨 백업: Oracle Key Vault VM이 저장된 블록 스토리지 볼륨의 스냅샷을 주기적으로

생성합니다. Oracle Cloud Infrastructure 콘솔에서 백업과 주기를 구성할 수 있습니다. 단, Oracle Key

Vault 어플라이언스는 기본적으로 저장된 키를 암호화하고, Oracle Cloud Infrastructure 블록 스토리지

볼륨은 Oracle Cloud Infrastructure 제어판에서 저장될 때 암호화됩니다.

• 자동 Oracle Key Vault 보안 백업: 호스트 베어 메탈 인스턴스에 대해 주기적인 자동 Oracle Key

Vault 키 백업을 수행하도록 구성합니다 (호스트 베어 메탈 인스턴스만 Oracle Key Vault VM에서

접근이 가능하기 때문입니다). 또한 호스트 베어 메탈 인스턴스에서 여유 공간을 확보하려면 Oracle

Key Vault 백업 파일을 Oracle Cloud Infrastructure 오브젝트 스토리지 (Object Storage)의 고객

버킷으로 복사하는 것이 좋습니다. DR의 경우, Oracle Key Vault가 복구 비밀번호를 사용해 백업

파일에서 복구됩니다 (Oracle Key Vault 복구 비밀번호를 분실하지 마십시오).

Oracle Key Vault 보안 백업 지침은

https://docs.oracle.com/cd/E50341_01/doc.1210/e41361/okv_ha_backup.htm#OKVAG10 746에서


고가용성을 위한 구성

고가용성 (HA)은 기본 Oracle Key Vault 서버와 보조 Oracle Key Vault 서버를 사용해 구성되며,

여기에서 온라인 키 백업이 기본 서버에서 보조 서버로 이루어집니다. Oracle은 서로 분리된

BYOH 베어 메탈 호스트 2개에 기본 Oracle Key Vault VM과 보조 Oracle Key Vault VM을

구성하도록 권장합니다.

Oracle Key Vault의 SSH 액세스 활성화

SSH 액세스는 Oracle Key Vault VM의 사용에 대한 문제 해결이나 운영 작업에 유용하기 때문에

VM에 대한 SSH 액세스를 활성화하는 것이 좋습니다. Oracle Key Vault 콘솔에서 System 설정으로

이동하여 호스트 베어 메탈 인스턴스에서 Oracle Key Vault VM에 액세스할 때 사용할 SSH

액세스를 활성화합니다. 이 단계를 마치면 ssh support@OKV_VM_IP를 사용해 호스트 베어 메탈

인스턴스에서 Oracle Key Vault VM에 로그인할 수 있습니다.

SSH 액세스 활성화에 대한 자세한 내용은

http://docs.oracle.com/cd/E50341_01/doc.1210/e41361/okv_appliance.htm#OKVAG10885에서


https://docs.oracle.com/cd/E50341_01/doc.1210/e41361/okv_ha_backup.htm#OKVAG10 746

http://docs.oracle.com/cd/E50341_01/doc.1210/e41361/okv_appliance.htm#OKVAG10885


Oracle Key Vault 감사 로그 사용

Oracle Key Vault는 저장된 TDE 마스터 키와 관련된 모든 작업을 감사 추적 파일에 기록합니다.

감사 추적 파일의 각 행에는 누가 (Oracle Key Vault 사용자) 어떤 오브젝트 (TDE 마스터 키)에서

무슨 활동 (작업)을 했는지, 그리고 작업 결과가 무엇인지 표시됩니다. Oracle Key Vault 감사 추적

파일은 Oracle Key Vault 감사 관리자에 의해 감사를 목적으로 CSV 파일 형태로 내보낼 수

있습니다.

Oracle Key Vault 감사 추적 파일을 내보내는 자세한 방법은

https://docs.oracle.com/cd/E65319_01/OKVAG/okv_appliance.htm#OKVAG10870에서 확인하실 수

있습니다.

VCN Security Lists를 사용한 Oracle Key Vault 인스턴스 보호

호스트 베어 메탈 인스턴스에서 VCN Security Lists를 사용해 VCN에서 승인된 데이터베이스

인스턴스로 제한하여 Oracle Key Vault VM에 대한 네트워크 연결을 허용할 수 있습니다. Security

Lists는 Oracle Key Vault 엔드포인트로 구성된 데이터베이스 인스턴스와 일치하는 IP 주소일

경우에만 호스트 베어 메탈 인스턴스의 포트 5696 (Oracle Key Vault KMIP 서버 포트)을 통해 TCP

연결을 허용합니다. Oracle Key Vault 웹 콘솔에 원격 액세스가 필요하다면 포트 443을 통한

액세스도 허용해야 합니다.

Oracle Cloud Infrastructure의 Oracle Key Vault 관리

Oracle Key Vault 인스턴스는 인스턴스를 사용해 Oracle Cloud Infrastructure 데이터베이스의 TDE

마스터 키를 저장하는 고객이 전적으로 관리합니다. 따라서 고객은 VCN의 베어 메탈 인스턴스에

Oracle Key Vault 인스턴스를 설치 및 구성해야 할 뿐만 아니라 데이터베이스 인스턴스를 Oracle

Key Vault 엔드포인트로 추가하는 등 필요한 관리 작업도 담당해야 합니다. 그 밖에도, 저장된

Oracle Key Vault 키의 자동 백업 설정과 DR을 위한 키 복구 역시 고객이 관리해야 할

부분입니다. Oracle Cloud Infrastructure는 Oracle Key Vault VM 관리에 전혀 개입하지 않습니다.

Oracle Cloud Infrastructure에서 고객이 관리하는 Oracle 데이터베이스는 Oracle Key Vault가 마치

온프레미스 환경인 것처럼 Oracle Cloud Infrastructure에서 실행됩니다. Oracle Cloud Infrastructure

데이터베이스 (Database) 인스턴스의 경우 RMAN, Data Guard 같은 일부 기능이 자동화되어 TDE

키가 데이터베이스 인스턴스의 Oracle Wallet에 존재한다고 가정합니다. 따라서 Oracle Key

Vault를 Oracle Cloud Infrastructure 데이터베이스 (Database) 인스턴스와 함께 사용해야 하는

경우에는 Oracle Cloud Infrastructure 팀과 협력하십시오.

https://docs.oracle.com/cd/E65319_01/OKVAG/okv_appliance.htm#OKVAG10870


Oracle Key Vault의 Active Data Guard 구성

Oracle Key Vault는 Active Data Guard 구성 시 Primary 데이터베이스와 Standby 데이터베이스

사이에 키를 수동으로 복사해야 하는 단계가 없습니다. 이것은 Primary 데이터베이스와 Standby

데이터베이스가 서로 공유하는 Oracle Key Vault Wallet을 등록하여 수행됩니다.

자세한 내용은

https://docs.oracle.com/cd/E50341_01/doc.1210/e41361/okv_scenarios.htm#OKVAG10849에서


Oracle Key Vault의 RAC 구성

Oracle Key Vault 가상 Wallet을 정의한 후 이 Wallet을 모든 RAC 노드가 서로 공유하는 기본

Wallet으로 구성합니다.

자세한 내용은


확인하실 수 있습니다.

Oracle Key Vault의 GoldenGate 구성

원본 Oracle 데이터베이스가 Oracle Key Vault 엔드포인트로 구성되어 있으면 GoldenGate

비밀번호가 원본 데이터베이스의 TDE 마스터 키와 동일한 Oracle Key Vault 가상 Wallet에

저장됩니다. 대상 데이터베이스는 또 하나의 Oracle Key Vault 엔드포인트로 구성됩니다.

자세한 내용은


확인하실 수 있습니다.

결론

본 백서에서는 Oracle Cloud Infrastructure에서 Oracle 데이터베이스 TDE 마스터 키를 관리할 수

있는 Oracle Key Vault 솔루션에 대해 설명했습니다. Oracle Key Vault 어플라이언스는 고객의 베어

메탈 인스턴스에서 실행됩니다. 이를 통해 고객은 모든 키를 완전히 제어할 뿐만 아니라 Oracle

Key Vault 기능을 사용하여 Oracle Cloud Infrastructure에서 여러 Oracle 데이터베이스의 TDE

마스터 키를 관리하는 데 따른 운영 부담을 줄일 수 있습니다. 또한 운영 요건에 따라 Oracle

Wallet과 Oracle Key Vault를 함께 사용해 Oracle Cloud Infrastructure에서 Oracle 데이터베이스

암호화 키를 관리하는 것도 가능합니다.

https://docs.oracle.com/cd/E50341_01/doc.1210/e41361/okv_scenarios.htm#OKVAG10849




부록

베어 메탈 인스턴스에서 SR-IOV 활성화

1. /etc/default/grub 파일에서, GRUB_CMDLINE_LINUX 라인에 intel_iommu=on을

추가합니다.

2. 새로운 grub 구성 파일을 생성합니다.

grub2-mkconfig -o /boot/efi/EFI/redhat/grub.cfg

3. 베어 메탈 서버를 재부팅합니다.

VF 활성화와 보조 VNIC의 MAC 주소 구성

1. 가상 함수 (VF)를 활성화한 후 vepa 브릿지 모드를 설정합니다. Oracle Linux에서 ens2f0은

물리적 인터페이스입니다.

echo “16” > /sys/class/net/ens2f0/device/sriov_numvfs

bridge link set dev ens2f0 hwmode vepa

2. 사용 가능한 VF를 나열합니다. 사용 가능한 VF의 VF 번호 (VF_NUM)를 기록합니다.

ip link show ens2f0

3. VNIC의 MAC 주소(VNIC_MAC)로 VF를 구성합니다.

ip link set ens2f0 vf VF_NUM mac VNIC_MAC spoofchk off

보조 VNIC의 VLAN 태그를 사용한 네트워크 인터페이스 생성

1. VF 네트워크 장치 이름(VF_DEVICE_NAME)을 가져옵니다.

VF 번호인 VF_NUM의 경우, 다음 명령 출력에서 (VF_NUM+1) 라인 번호를 선택합니다.

예를 들어 VF_NUM이 1이면 출력에서 두 번째 라인을 선택합니다. 포트, 슬롯 및 함수

번호가 라인의 첫 번째 필드처럼 16진수 형식으로 나열됩니다. 예를 들어 13:10:2는 포트

번호 19, 슬롯 번호 16, 함수 번호 2를 나타내며, VF_DEVICE_NAME은 enp19s16f2입니다.

lspci -nn | grep -i virtual

2. VF 네트워크 장치를 가져옵니다.

ip link set VF_DEVICE_NAME down

ip link set VF_DEVICE_NAME up


3. VF 네트워크 장치를 VNIC VLAN에 할당합니다.

ip link add link VF_DEVICE_NAME name VLAN_DEVICE_NAME type vlan id

VNIC_VLAN_TAG

ip link set VLAN_DEVICE_NAME up

attach.xml 파일

<interface type='direct'>

<mac address='<VNIC_MAC>'/>

<source dev='<VLAN_DEVICE_NAME>' mode='passthrough'/>

<model type='e1000'/>

</interface>

rest.ini 파일

rest.ini 파일의 내용은 다음과 같습니다.

server=OKV_VM_IP

usr=<OKV_ADMIN_USER>

log_level=ALL

<OKV_ADMIN_USER>는 Oracle Key Vault 콘솔에 로그인할 때 사용되는 사용자 이름입니다.

enroll_okv_endpoint 파일

create_wallet –wallet_name CUSTOMER_DB_WALLET

create_endpoint –ep_name CUSTOMER_DB –ep_platform LINUX64 –ep_type ORALE_DB

set_default_wallet –ep_name CUSTOMER_DB –wallet_name CUSTOMER_DB_WALLET

provision –autologin –ep_name CUSTOMER_DB –dir /home/oracle/okvhome

이 파일에서 CUSTOMER_DB는 Oracle 데이터베이스 엔드포인트의 이름이며,

CUSTOMER_DB_WALLET은 등록된 데이테베이스의 TDE 마스터 키를 저장할 Oracle Key Vault 가상

Wallet입니다. 엔드포인트로 등록된 Oracle 데이터베이스마다 고유한 이름을 스크립트에 입력해야

합니다. Oracle은 엔드포인트로 등록된 데이터베이스마다 데이터베이스 엔드포인트와 Wallet

이름에 다음과 같은 형식을 사용하도록 권장합니다.

• ORACLE_DB_$SID. 여기서 $SID는 Oracle 데이터베이스 SID입니다

• ORACLE_DB_$SID_WALLET. 여기서 $SID는 Oracle 데이터베이스 SID입니다.

오라클 본사

500 Oracle Parkway

Redwood Shores, CA 94065, USA

문의처

전화: +1.650.506.7000

팩스: +1.650.506.7200

소셜 계정

blogs.oracle.com/oracle

facebook.com/oracle

twitter.com/oracle

oracle.com

통합 클라우드 어플리케이션 및 플랫폼 서비스

Copyright © 2018, Oracle and/or its affiliates. All rights reserved. 본 문서는 정보의 목적으로만 제공되며 일체의 내용은 고지 없이

변경될 수 있습니다. 본 문서는 오류에 대해 책임지지 않으며 특정 목적에 대한 적격성 및 적합성과 관련된 묵시적 보증 및 계약

조건을 포함해서 명시적, 묵시적 기타 모든 보증 또는 계약 조건에 의해 구속 받지 않습니다. 오라클은 본 문서와 관련해 어떠한

법적 책임도 지지 않으며, 본 문서로 인해 직간접적인 어떠한 계약 구속력도 발생하지 않습니다. 본 문서는 오라클의 사전 서면 승인

없이는 어떠한 형식이나 수단 (전자적 또는 기계적) 또는 목적으로도 복제하거나 배포할 수 없습니다.

오라클 (Oracle) 및 자바 (Java)는 오라클 및 그 계열사의 등록 상표입니다. 기타 명칭은 해당 소유업체의 상표입니다.

Intel 및 Intel Xeon은 Intel Corporation의 등록 상표 또는 상표입니다. 모든 SPARC 상표는 사용 허가를 받아 사용해야 하며 SPARC

International, Inc.의 등록 상표 또는 상표입니다. AMD, Opteron, AMD 로고 및 AMD Opteron 로고는 Advanced Micro Devices의 등록

상표 또는 상표입니다. UNIX는 The Open Group의 등록 상표입니다. 0518

Oracle Cloud Infrastructure에서 Oracle Key Vault를 사용한 Oracle 데이터베이스 암호화 키 관리

2018년 5월

작성자: Nachiketh Potlapally, Saikat Saha

oracle cloud infrastructure에서 oracle key vault를 사용톚 oracle ... · oracle key vault는...

Documents