Oracle Zero Data Loss Recovery Appliance 23.1ソフトウェアは、バックアップのエンドツーエンドの暗号化を提供 (2024/05/01)

Oracle Zero Data Loss Recovery Appliance 23.1ソフトウェアは、バックアップのエンドツーエンドの暗号化を提供 (2024/05/01)

https://blogs.oracle.com/infrastructure/post/zdlra-endtoend-encryption

投稿者: Bryan Grenn | Master Principal Database Specialist


Zero Data Loss Applianceソフトウェア・リリース23.1の最も優れた機能の1つは、領域効率の高い暗号化バックアップです。この機能に関するほとんどのお知らせ、プレゼンテーションおよびブログ投稿では、TDEで暗号化されるデータベースの利点について説明します。


ノート: この機能は、Linux RDBMSバージョン19.18以上の環境でのみ使用できます。


TDEを利用してOracle Databaseを暗号化することはMAAのベスト・プラクティスであり、このため、追加のライセンスなしでTDEがクラウド製品に含まれています。しかし、TDEを利用していない、またはExadata Cloud@Customerを使用していないが、バックアップが完全に暗号化されていることを確認したいお客様はどうでしょうか。これまでは、Oracle Databaseのバックアップ暗号化に最適なソリューションは、バックアップが確実に暗号化されるように、保護されたデータベースにTDEを実装することでした。ただし、TDEを使用するには、拡張セキュリティ・オプションが必要であり、バックアップ・アプライアンスがOracle Databaseバックアップを圧縮する機能を排除します。


23.1 ソフトウェア・リリースでは、特にTDEを現在使用していない場合に、領域効率の高い新しい暗号化バックアップ機能によってこれらの問題が解決されます。


次の図は、ZDLRAに送信されるデータのエンドツーエンドのフローを示しています。

領域効率に優れた暗号化非TDEバックアップ


ソフトウェアリリース23.1には、このマジックを実現するクライアント(libra.so)用の新しいライブラリが含まれています。データファイル圧縮とRMAN暗号化の両方を使用すると、バックアップをZDLRAに送信する際にACO (拡張圧縮オプション)またはASO (拡張セキュリティ・オプション)のいずれも必要ありません。


この機能を実装するには、バックアップ・スクリプトに次の2つの変更を加える必要があります。



1) RA_FORMAT = true


これは、チャネル構成で設定する新しいパラメータです。これにより、すべての新しいデータファイルバックアップ(増分または完全)を新しい圧縮形式でフォーマットするようにライブラリに指示します。これにより、データファイル・バックアップ内の各ブロックの内容が圧縮され、ブロック・ヘッダー・メタデータはそのままZDLRAによって読み取られます。


これまで、圧縮オプションはRMANの圧縮をオンにすることのみであり、RMANの圧縮はデータファイル・バックアップを含むバックアップセットを圧縮することでした。データファイルがTDE暗号化されている場合、RMAN圧縮は結果のバックアップを圧縮および暗号化したままにしておき、ZDLRAによって読み取れなくなります。データファイルがTDE暗号化されていない場合、RMAN圧縮によってバックアップセットがZDLRAに送信され、そこで圧縮解除されてから、ZDLRA圧縮に格納されます。



2)データベースの暗号化の設定


チャネル構成でRA_FORMAT=trueを設定すると、ブロック・コンテンツを圧縮するようにライブラリに指示するだけで、TDEデータファイルに対してのみブロック・コンテンツが暗号化されます。ソース・データファイルがTDE暗号化されていない場合は、バックアップ暗号化を有効にして、ライブラリがデータファイル・バックアップ内のブロックの内容も暗号化するようにする必要があります。RMANで暗号化を設定し、この機能を使用すると、注意する項目が多数あります。


  • データベースに暗号化キーを設定する必要があります。これには、CDBのキーと、データベースがマルチテナントの場合はすべてのPDBのキーが含まれます。これらのキーは、ウォレットまたはOKV (Oracleでサポートされているキー管理ボールト製品)などの外部キーストアに格納する必要があります。
  • 暗号化キーを設定するには、データベース・バウンスが必要です。これは、RACの実装時にインスタンスごとに実行できます。この機能を実装する際は、この点に留意してください。
  • バックアップ暗号化の設定のみを行い、RA_FORMAT=TRUEに設定し、TDE暗号化されていないデータファイルがある場合、これにより、RMANはデータファイル・バックアップセット全体が暗号化され、ZDLRAによって読取りできなくなります。RMANの暗号化をオンに設定する場合は、常にRA_FORMAT=TRUEを指定します。
  • バックアップ、アーカイブ・ログ、spfileおよびcontolfileでは、これらのバックアップ・セットが暗号化されます。TDEを使用せず、ACOライセンスを所有している場合は、RMANでアーカイブ・ログを圧縮して、ストレージの使用率を向上させる必要があります。データベースの完全リストアを実行する場合は、復号化に留意してください。spfileおよび制御ファイルのバックアップをリストアする前に、ウォレットを開いている必要があります。


ノート: リアルタイムREDOを使用する場合


リアルタイムREDOを使用する場合、非TDE表領域に格納されているオブジェクトに関連付けられたREDOは暗号化されません。ZDLRAを指すLOG_ARCHIVE_DEST_xでENCRYPTION属性をENABLEに設定すると、ZDLRAに送信する前にすべてのREDOデータが暗号化されます。REDOはZDLRAで暗号化され、暗号化されたデータベース・ホストにリストアされます。ZDLRAライブラリは、保護されたデータベースによって保持されている暗号化キーを使用して、メディア・リカバリ中にアーカイブ・ログを復号化します。


この機能の詳細は、ZDLRA管理者ガイドの「データ暗号化技術」の項を参照してください。



TDE以外のデータベースで領域効率の高いバックアップを使用する利点


  • データは、各データベース(各CDBおよびPDBを含む)の一意の暗号化キーを使用してDBクライアントで暗号化されます。鍵は保護されたデータベースによって管理され、データはそのライフサイクルを通じて暗号化されたままになります。一意の暗号化キーがあることで、キーの構成が1つのデータベースに分離されます。
  • バックアップは圧縮され、暗号化されます。これにより、次のいずれかに比べて両方の利点が得られます。
    • TDE暗号化             - TDE暗号化により、データベースとバックアップがライフサイクル全体で暗号化されます。暗号化されたデータは圧縮されず、バックアップをさらに圧縮することはできません。また、非クラウド・データベースのASOライセンスを購入する必要があります。
    • RMAN圧縮       - バックアップセットは圧縮されますが、各バックアップは一意のままになります。RMAN圧縮を使用する場合、バックアップは重複除外を利用できず、より効率的な圧縮アルゴリズムを使用するには、ACOライセンスが必要です。
  • バックアップは、圧縮されて格納、レプリケートおよびリストアされます。これにより、使用するストレージが減り、帯域幅が減り、転送時間が短縮されます。

これにより、領域が大幅に節約され、レプリケーション・トラフィックが削減され、リストア時間が短縮されます。


次のアーキテクチャでは、バックアップが圧縮され暗号化されてから、ライフサイクルを通して圧縮および暗号化され続けることがわかります。




コメント

コメントを投稿

このブログの人気の投稿

Oracle Database 19cサポート・タイムラインの重要な更新 (2024/11/20)

イメージ
Oracle Database 19cサポート・タイムラインの重要な更新 (2024/11/20) https://mikedietrichde.com/2024/11/20/important-update-to-oracle-database-19c-support-timelines/ 長い沈黙は、私が隠れているという意味ではありません。つまり、今はとても忙しいということです。そして、より少ない旅行で、私はあなたのコメントにもブログと返信するより多くの時間を持っていることを願っています。それでも、Oracle Database 19cサポート・タイムラインの非常に重要な更新について説明します。 * 更新された内容 2024年11月19日現在、Oracle Database 19cのサポート・タイムラインが調整されています。 MOSノート: 742060.1 – 現在のデータベース・リリースのリリース・スケジュールを見ると、新しい日付が表示されます。 Premier Support、2029年12月31日まで 2030年1月1日から2032年12月31日までの拡張サポート 2033年1月1日から2034年12月31日までのアップグレード・サポート これは知ることがとても大切です。 他のリリースの更新はありますか。 MOSノートの終わりにある変更ログ: 742060.1 – 現在のデータベース・リリースのリリース・スケジュールでは、Oracle Database 21cの最新の更新も確認できます。このリリースのPremier Support期間は、2027年7月31日まで延長されました。 また、Oracle Database 23aiのパッチ適用終了日は2032年12月31日に設定されています。 Lifetime Support Policy 更新は、Oracle Technology Productsの Oracle Lifetime Support Policy (6ページ)でも確認できます。 From: Oracle Lifetime Support Policy for Oracle Technology Product s – page 6 – Nov 19, 2024 特に、次の表に示す制限事項に注意してください。 Oracle Database 1...
続きを読む

Oracle GoldenGate 23aiでMicrosoft Fabricでのオープン・ミラーリングがサポートされるようになりました (2024/11/19)

イメージ
Oracle GoldenGate 23aiでMicrosoft Fabricでのオープン・ミラーリングがサポートされるようになりました (2024/11/19) https://blogs.oracle.com/dataintegration/post/how-to-replicate-to-mirrored-database-in-microsoft-fabric-using-goldengate 投稿者: Shrinidhi Kulkarni | Principal Product Manager Oracle GoldenGate 23aiでは、オープン・ミラーリングを介したMicrosoft Fabricへの統合のパブリック・プレビューがサポートされるようになりました。この強力な組み合わせにより、リアルタイムのデータ統合が可能になり、ハイブリッド環境とマルチクラウド環境のデータをMicrosoft Fabricのミラー化されたデータベースに継続的に同期できるため、データは常にAIと分析に対応できます。 Microsoft Fabric統合のOpen Mirroring は、GoldenGate for Distributed Applications and Analytics 23ai (GG for DAA) (23.6)製品を介して提供されます。 既存の Azure統合の詳細については、 ドキュメント を参照してください。 オープン・ミラーリングは、オープン・デルタ・レイク表形式に基づいて、データISVがMicrosoft Fabricのミラーリングを拡張できるように設計されています。この機能により、Oracle GoldenGate 23aiは、オープン・ミラー化パブリックAPIおよびアプローチに基づいて、Microsoft Fabricのミラー化データベースに変更データを直接書き込むことができます。Microsoft FabricでのOpen Mirroringの詳細については、「 Microsoft FabricでのOpen Mirroringの概要 」を参照してください。 このブログ投稿では、この統合の実装の側面について深く掘り下げ、GoldenGate統合の構成方法を示します。 構成ステップ: リファレンス・アーキテクチャの理解 前提条件 ...
続きを読む

Oracle APEX 24.1の一般提供の発表 (2024/06/17)

イメージ
Oracle APEX 24.1の一般提供の発表 (2024/06/17) https://blogs.oracle.com/apex/post/announcing-oracle-apex-241 投稿者: Ashish Mohindroo | Vice President, Product Management APEX Low Code Application Platform Oracle APEX 24.1は、 ダウンロード が一般的に可能になり、世界中のOCI APEX Application DevelopmentおよびAutonomous Database Cloud Serviceリージョンにロールアウトされています。この最新リリースで、GenAIを使用して最初のローコード・アプリケーションを構築する方法を学習します。リリースのお知らせのリプレイはこちらからご覧いただけます。 このリリースでは、優れたエンタープライズ・グレードのアプリケーションを簡単に構築できるイノベーションの3つの主要な柱(AI支援アプリケーション開発、Oracleの次世代データ・プラットフォームのパワー活用、高度なWebおよびモバイル・アプリケーションを構築するための強力なエンタープライズ・グレードのコンポーネント)が提供されています。 AI支援アプリ開発 このリリースでは、AIをローコード開発に直接取り込み、すべての開発者が高度なクラウドおよびモバイル・アプリケーションを簡単に構築できるようにしています。開発者は、AIをアシスタントとして使用して、時間と労力を削減してアプリを構築できるようになりました。APEX AIアシスタントを使用すると、開発者は複数のウィンドウを使用して表名と列名を検索する必要がなくなります。 APEX 24.1 では、クラウドおよびモバイル・アプリの自然言語ベースの開発を可能にするネイティブAI搭載APEX AIアシスタントを導入しました。APEX AIアシスタントを使用すると、すべての開発者は自然言語を使用してSQLを生成できるため、アプリケーションをより簡単に構築したり、ワンクリックで構文修正を実行したり、表名を覚える必要がなくなります。開発者は、自然言語プロンプトを使用して目的の機能とコンポーネントを指定し、直感的な会話型インタフェースを使用し...
続きを読む