Oracle Key Vault - Hardware Security Modul für TDE und mehr
- by Heinz-Wilhelm Fabry (DBA Community)
Anfang August hat Oracle ein neues Produkt namens Oracle Key Vault (OKV) zum
Einsatz freigegeben. Es handelt sich dabei um ein Hardware Security Modul (HSM)
- also um ein Stück Hardware zum Speichern von Schlüsseln, Passwörtern
und Dateien, die Schlüssel und Passwörter enthalten.
Oracle Datenbank Installationen nutzen die zuletzt genannte Form des Speicherns
von Passwörtern und Schlüsseln in Dateien für
Oracle Advanced Security Transparent Data Encryption (TDE) und
external password stores. Die Dateien werden in den Versionen
10 und 11 der Datenbank als Wallets bezeichnet, in der Version 12 als Keystores.
Allerdings gibt es auch schon seit der Datenbankversion 11.2 beim Einsatz von
TDE die Möglichkeit, statt der Wallets / Keystores HSMs einzusetzen. Da
Oracle selbst kein eigenes HSM Produkt anbieten konnte, haben Unternehmenskunden
dann auf Produkte anderer Anbieter zurückgegriffen. Das kann sich mit OKV
nun ändern.
Abhängig vom Bedrohungsszenario kann die Entscheidung gegen den
Einsatz von Wallets / Keystores und für den Einsatz eines HSMs
durchaus sinnvoll sein, denn
ein HSM bietet mehr Sicherheit: Eine Betriebssystemdatei kann
leichter gestohlen (kopiert) werden, als ein HSM, das in der Regel als speziell
gesicherte Steckkarte in einem Rechner eingebaut ist oder als eigenes Gerät
geschützt in einem Rechenzentrum steht.
ein HSM kann anders als ein Wallet / Keystore systemübergreifend verwendet
werden. Das erlaubt eine gemeinsame Nutzung von Schlüsseln - was wiederum
zum Beispiel den Einsatz von TDE auf RAC Installationen perfekt
unterstützt.
ein HSM kann von mehreren Anwendungen genutzt werden. Das erleichtert das
Konsolidieren und Verwalten von Passwörtern und Schlüsseln.
Im
aktuellen Tipp wird als Einführung in das neue Produkt dargestellt, wie OKV
für TDE genutzt werden kann.
