你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
将 Azure Key Vault 与 Oracle Exadata Database@Azure 集成,以集中 Azure 安全边界内的透明数据加密(TDE)主加密密钥管理。 此集成支持跨 Azure 资源的企业安全要求、法规合规性和标准化的关键管理做法,同时维护 Oracle Exadata 的性能功能。
Azure Key Vault 集成通过合并的安全控制提供集中式密钥管理、Azure 原生治理、统一监视和简化合规性。 根据安全要求和合规性需求(例如 FIPS 140-3 第三级验证),在 Azure Key Vault 标准层、高级层(HSM 支持)或托管 HSM 层之间进行选择。
重要
有关完整的技术实现过程,请参阅 将 Oracle Exadata Database@Azure与 Azure Key Vault 集成。 本文提供战略规划指南和体系结构决策框架,以补充技术文档。
规划 Azure Key Vault 集成体系结构
根据安全要求、合规性规定和操作性考虑定义 Azure Key Vault 集成体系结构。 这些体系结构决策会影响安全态势、操作复杂性和长期维护。
选择符合安全性和符合性要求的 Azure Key Vault 服务层级。 根据法规合规性要求和安全要求,在标准(基于软件的密钥)、高级(HSM 支持的密钥)或托管 HSM(专用 HSM 群集)之间进行选择。 高级版和管理型 HSM 都为符合性要求严格的组织提供 FIPS 140-3 级别 3 的验证。 标准层提供 FIPS 140-2 级别 1 验证,适合具有中等安全需求的开发和测试环境。 有关详细层比较和选择指南,请参阅 关于 Azure Key Vault。
根据网络安全体系结构确定连接模型。 通过 Azure 专用链接评估公共终结点连接与专用终结点连接。 公共终结点连接通过 Azure 防火墙限制提供更快的实现,并支持大多数安全要求。 专用终结点连接通过 Azure 的专用网络进行路由,确保所有流量不暴露于互联网,从而满足零信任网络的要求,并提供增强的安全隔离。 查看 Oracle Database@Azure的网络规划 ,了解专用终结点实现的高级网络先决条件。
建立关键管理策略和作过程。 定义与安全策略(通常是按年或事件驱动轮换)一致的密钥轮换计划。 规划备份加密密钥管理,考虑到数据库备份使用当前主密钥进行加密。 建立灾难恢复过程,确保备用 Oracle Exadata 环境可以在故障转移方案中访问加密密钥。 记录关键生命周期管理过程,包括创建、轮换、保留和解除授权过程。
在 Oracle Exadata Database@Azure所在的区域中部署 Azure Key Vault。 托管可最大程度地减少TDE操作的网络延迟,并确保最佳的数据库启动和事务处理性能。 跨区域密钥访问引入了延迟,这些延迟可能会影响启动序列和故障转移作期间的数据库可用性。 区域部署还支持数据驻留要求和符合地理数据主权授权。
实施注意事项
在部署 Azure Key Vault 集成之前,请查看关键实现因素。 这些注意事项可确保成功集成并防止常见的部署挑战。
先决条件和权限
成功的 Azure Key Vault 集成需要先部署 Oracle Exadata Database@Azure,还需要适当的 Azure 和 Microsoft Entra ID 权限,并进行网络连接规划。 规划 Azure 所有者或参与者角色访问权限、Microsoft Entra ID 用户管理员权限,以及通过 NAT 网关、Azure 防火墙或网络虚拟设备进行 Azure Arc 注册的出站连接。 有关完整的先决条件清单和详细要求,请参阅 将 Oracle Exadata Database@Azure与 Azure Key Vault 集成 - 先决条件。
专用端点连接注意事项
通过 Azure 专用链接建立专用终端节点连接可消除 TDE 密钥操作的 Internet 暴露,并满足零信任网络的要求。 此配置需要在 Azure 区域中启用高级网络功能、在 Azure 和 OCI 端拆分 DNS 配置,以及需要专用 Arc 连接时为 Azure Arc 设置专用链接范围。 专用链接对于托管 HSM 部署是必需的,建议用于具有严格安全要求的所有生产环境。
重要
专用终结点实现需要高级网络功能和复杂的 DNS 配置。 在实施之前验证区域支持,并遵循官方程序:
标识和访问管理集成
Oracle 标识连接器支持通过已启用 Azure Arc 的服务器与托管标识身份验证在 Oracle Exadata Database@Azure 与 Azure Key Vault 之间实现安全通信。 连接器会自动将数据库虚拟机注册为 Azure Arc 资源,并为每个数据库节点创建系统分配的托管标识。 使用具有 Key Vault 加密官和 Key Vault 读取者角色的 Microsoft Entra ID 安全组实现基于组的 RBAC 方法,以简化跨多个数据库节点的权限管理并支持将来的可伸缩性。
有关完整的技术过程,包括令牌生成、连接器创建、RBAC 配置和权限验证,请参阅 将 Oracle Exadata Database@Azure与 Azure Key Vault 集成 - 步骤 2-3。
数据库配置方法
Azure Key Vault 集成遵循群集优先配置模式,其中 VM 群集启用位于单个数据库配置之前。 群集级启用安装所需的 Oracle 库无需自动切换现有数据库,即可逐步从 Oracle 电子钱包迁移到 Azure Key Vault。 此方法可防止配置失败,确保跨数据库实例提供一致的功能,并支持在转换期间两种密钥管理方法共存。
通过在预配期间选择适当的保管库和密钥,在创建时使用 Azure Key Vault 配置新数据库。 通过不需要关闭数据库的在线重新加密过程从 Oracle 电子钱包迁移现有数据库。 请注意,通过 OCI 控制台或 API 从 Azure Key Vault 迁移回 Oracle 电子钱包是不支持的,这使得此架构决策实际上具有永久性。
有关详细的实现过程,包括群集启用、保管库注册、数据库配置和验证步骤,请参阅 将 Oracle Exadata Database@Azure与 Azure Key Vault 集成 - 步骤 4-7。
运营管理策略
建立与组织安全策略和合规性要求相符的关键生命周期管理、监视和灾难恢复的作过程。
密钥生命周期管理
实现与安全策略(通常是年度或事件驱动)一致的密钥轮换计划,并始终通过 OCI 控制台或 API 而不是直接在 Azure Key Vault 中启动轮换。 此 Oracle 端的初始化可确保数据库了解新的密钥版本并防止 TDE操作故障。 在备份保留期间保留旧加密密钥版本,以支持从长期备份进行时间点恢复。 Azure Key Vault 支持密钥版本控制,允许禁用而不是删除旧版本,直到不再需要为止。
监视和可观测性
启用集成 Log Analytics 工作区的 Azure Key Vault 诊断日志记录,以监视来自 Azure Arc 服务器托管标识的包装/解包密钥操作。 为密钥访问异常、权限更改以及专用终结点连接状态更改配置警报。 监视确认数据库密钥访问模式成功,并可以快速检测集成运行状况问题。
灾难恢复规划
在数据防护配置之前,通过在备用群集的 Oracle 标识连接器中注册 Key Vault,确保灾难恢复站点可以在故障转移方案中访问加密密钥。 测试切换和故障转移操作,以验证灾备数据库可以使用 Azure Key Vault 密钥独立打开。 将加密密钥和数据库备份存储在单独的环境中,以最大程度地降低灾难恢复方案中的数据泄露风险。
有关详细的作过程、最佳做法和故障排除指南,请参阅 将 Oracle Exadata Database@Azure与 Azure Key Vault 集成 - 持续管理和 DR。
常见挑战和缓解策略
Azure Key Vault 集成挑战通常涉及专用终结点连接、DNS 解析、Azure Arc 注册和权限配置。 专用终结点实现需要注意跨 Azure 和 OCI 环境拆分 DNS 配置、启用高级网络功能以及为 Azure Arc 连接设置适当的专用链接范围。
授权错误通常由不完整的 RBAC 角色分配或缺少托管标识权限导致的。 DNS 解析失败显示为连接超时,需要验证具有正确 A 记录的专用 DNS 区域。 Azure Arc 注册问题通常与令牌过期、权限不足或专用链接连接问题有关。
有关全面的故障排除过程,包括诊断步骤、解决方案指南和预防措施,请参阅 将 Oracle Exadata Database@Azure与 Azure Key Vault 集成 - 故障排除。