Table des Matières
Publicité
Protection des données
de contrôle des intrusions en mémoire. De plus, elles renforcent les performances globales,
car il est possible d'affecter plus de ressources de calcul à la gestion des charges de travail
locataires.
Le processeur SPARC prend en charge un accélérateur cryptographique matériel pour plus de
16 algorithmes standard. Collectivement, ces algorithmes répondent à l'essentiel des besoins
modernes en matière de cryptographie, notamment le chiffrement à clé publique, le chiffrement
à clé symétrique, la génération de nombres aléatoires, et le calcul et la vérification des
signatures numériques et des résumés de message. De plus, au niveau du système d'exploitation,
l'accélération cryptographique matérielle est activée par défaut pour la plupart des services de
base, notamment le shell sécurisé, IPSec/IKE et les jeux de données ZFS chiffrés.
Oracle Database et Oracle Fusion Middleware identifient automatiquement le système
d'exploitation d'Oracle Solaris et le processeur SPARC utilisés par le système SuperCluster.
La base de données et l'intergiciel peuvent ainsi utiliser automatiquement les fonctions
d'accélération cryptographique matérielle de la plate-forme pour exécuter des opérations de
chiffrement de type TLS, WS-Security et tablespace. Cela leur permet également d'exécuter la
fonction de mémoire sécurisée de silicium pour assurer la protection de la mémoire. L'intégrité
des données d'application est ainsi garantie sans configuration de l'utilisateur final. Pour
protéger la confidentialité et l'intégrité des communications IP interzones, spécifiques à un
locataire, qui transitent par le réseau IB, utilisez les protocoles IPSec (IP Security) et IKE
(Internet Key Exchange).
Toute discussion relative à la cryptographie serait incomplète sans aborder la question du
mode de gestion des clés de chiffrement. La génération et la gestion des clés de chiffrement,
notamment pour de vastes éventails de services, ont toujours constitué un défi majeur pour
les organisations, et les difficultés vont grandissantes avec les environnements multilocataires
basés sur le cloud. Sur le système SuperCluster, le chiffrement des jeux de données ZFS et le
cryptage transparent des données (TDE) d'Oracle Database peuvent faire appel à un magasin de
clés Oracle Solaris PKCS#11 pour protéger de manière sécurisée la clé principale. L'utilisation
du magasin de clés Oracle Solaris PKCS#11 implique automatiquement l'accélérateur
cryptographique matériel SPARC pour les opérations sur les clés principales. Cela permet au
système SuperCluster d'améliorer de manière significative les performances des opérations
de chiffrement et de déchiffrement associées au traitement des jeux de données ZFS et du
tablespace d'Oracle Database, aux sauvegardes des bases de données chiffrées (à l'aide d'Oracle
Recovery Manager [Oracle RMAN]), aux exportations des bases de données chiffrées (à l'aide
de la fonctionnalité Data Pump d'Oracle Database) et aux fichiers de journalisation (à l'aide
d'Oracle Active Data Guard).
Les locataires qui adoptent une approche de partage de portefeuille peuvent recourir à l'appareil
de stockage ZFS pour créer un répertoire pouvant être partagé sur tous les noeuds d'un cluster.
L'utilisation d'un magasin de clés partagé et centralisé facilite la gestion, la mise à jour et la
rotation des clés par les locataires dans les architectures de bases de données en cluster, telles
qu'Oracle RAC (Real Application Clusters), car les clés sont synchronisées sur tous les noeuds
du cluster.
20
Guide de sécurité des serveurs Oracle SuperCluster série M7 • Février 2016
Publicité
Table des Matières
