News: Oracle Key Vault 12.2

  • Imprimer

Oracle Key Vault est une appliance pour la gestion des clefs de chiffrement et des certificats pour Oracle Database et les Middleware Oracle, mais pas seulement. La première version, la 12.1 est sortie été 2014, une nouvelle version 12.2 vient de sortir il y a quelque mois (fin 2016).

Key Vault c’est un coffre-fort de clefs, de wallets, de keystores et de certificats. Il permet de stocker de façon centralisée :

  • Les « master keys » de TDE (TDE (Part I)). Avant Key Vault, la « master key » était contenue dans une wallet (un fichier) locale à la base de données ce qui, dans le cas de RAC, Dataguard ou GoldenGate posait des problèmes de propagation de clefs. Il fallait gérer manuellement la recopie des wallets (sans se tromper de sens !).Il y avait aussi la possibilité d’utiliser un HSM réseau pour éviter la recopie manuelle et sécurisé par un hardware la clef. Avec Key Vault les clefs sont partageables entre plusieurs instances directement accessibles sur le réseau en passant par l’appliance.
  • Les wallets Oracle. Les wallets Oracle contiennent des clefs, des mots de passe, des certificats… C’est compatible avec Oracle Database et tous les produits middleware d’Oracle.
  • Les Java keystores.
  • Des fichiers Credential comme par exemple les clefs SSH ou des fichiers de mot de passe
  • Les fichiers de certificat répondant à la norme X.509

Illustration extraite de: Key Vault Data Sheet

Au niveau management, cela apporte une centralisation bien pratique, puisque c’est centralisé, ce n’est pas la peine de faire la distribution sur les serveurs, mais aussi cela facilite la gestion du cycle de vie des clefs/certificats : facilité de création (pas de distribution physique), de backup, de rotation, d’expiration… La gestion est grandement facilitée. Par exemple, l’interface graphique permet d’avoir une vue rapide sur l’ensemble des dates d’expiration des certificats, et de prévoir un renouvellement centralisé, elle permet même des remontés automatiques d’alerte quand la date arrivent bientôt à expiration.

L’avantage de la centralisation des clefs, c’est la rationalisation du management des clefs, certificats et autres fichiers sensibles, mais aussi, de répondre à des exigences réglementaires. En effet de plus en plus de systèmes d’information industriels ou gouvernementaux sont soumis à des audits, il faut alors prouver qu’une politique de gestion des clefs et certificats est en place et qu’elle est bien exécutée.

Mais centralisation peut être aussi synonyme de SPOF (single point of failure). Si l’appliance Key Vault tombe, tous les systèmes dépendant d’information stockée dessus s’arrêteront dès qu’ils auront besoin d’y accéder. Alors évidement Key Vault peut être déployé en mode haute disponibilité, c’est-à-dire deux appliances, avec une primaire et une autre en standby qui prend le relais en cas de défaillance de la primaire. Il faut savoir qu’à l’intérieur de l’appliance, les données sont stockées dans une base de données Oracle et donc le mode haute disponibilité se sert du mécanisme DataGuard entre les deux appliances.

Se pose aussi la question de la sécurisation des données dans l’appliance. Il faut savoir que toutes les secrets sont stockés dans l’appliance dans une base Oracle qui utilise TDE pour chiffrer les données, et aussi Vault Database combiné avec VPD (Virtual Private Database) pour mettre en place une ségrégation forte. L’audit Oracle est aussi mis en place, consultable avec l’appliance ou alors pouvant être envoyé vers Audit Vault & firewall. La communication entre les endpoints (clients de KeyVault) et Key Vault, utilise le protocole OASIS KMIP sur une couche TLS.

Parlons maintenant de ce qui fâche… le prix. Le prix public de Key Vault, au 15 décembre 2016, est de 100.000$ par serveur (appliance) auquel il faut rajouter 22.000$ pour le support et la mise à jour. Pour une installation en haute disponibilité cela ferait donc 200.000$ si le deuxième serveur est entièrement compté. Il existe bien sûr de nombreux produits concurrents comme par exemple la gamme Safenet ProtectApp de Gemalto, mais la comparaison prix et fonctionnalité est dure à faire d’autant plus que certaines solutions emmènent du hardware propriétaire, supportent différents éditeurs tiers, différents protocoles… Ce qui est sûr, pour avoir testé à titre personnel Oracle Key Vault, l’intégration avec Oracle Database 11.2 et 12.1 (wallets, password store, certificats et master keys pour TDE) est totale.

Alors si vous êtes intéressé, et un peu technique, vous pouvez monter un banc de test dans un but de formation pour bien comprendre tout ce que le produit peut faire. L’installation est assez simple, je vous invite à lire la documentation officielle, et si vous voulez monter rapidement un banc avec VirtualBox, la procédure est disponible ici : Testbed: Key Vault 12.2 et aussi un cas pratique dans la rubrique about Tech :Générer une Master Key TDE avec Key Vault pour faire un premier pas sur Key Vault.

 

 

{jcomments on}