Guía de descripción general y planificación
Contents
1. 6 1 N meros de pedido de servidores del dispositivo de gesti n de claves 6 2 N meros de pedido del kit de accesorios del conmutador cccccecesseseeseeeeeeeees 6 3 N meros de pedido de cables Ethernet ccccceesessssseeccecececessessaeeeceeeeeeeeneaneaes 6 4 N meros de referencia de cables de alimentaci n coconononcconncccnnnnononacnnnnccnnncnnananoss 6 5 N meros de referencia de cables de alimentaci n de racks que no pertenecen a Oracle ta eines alates esse en he 6 6 N meros de referencia de cables de alimentaci n de Oracle Rack NGR 6 7 N meros de referencia de cables de alimentaci n de Oracle Rack II Redwood Prologo En esta guia se proporciona una descripci n general e informacion de planificaci n y se identifican los requisitos para implementar Oracle Key Manager OKM Accesibilidad a la documentaci n Para obtener informaci n sobre el compromiso de Oracle con la accesibilidad visite el sitio web del Programa de Accesibilidad de Oracle en http www oracle com pls topic lookup ctx acc amp id docacc Acceso a My Oracle Support Los clientes de Oracle que hayan contratado servicios de soporte electr nico pueden acceder a ellos mediante My Oracle Support Para obtener informaci n visite http www oracle com pls topic lookup ctx acc amp id info o si tiene alguna discapacidad auditiva visite http www ora2. Compatibilidades de firmware muestra los requisitos m nimos de firmware para cada unidad de cinta Se admiten los siguientes productos de gesti n de bibliotecas e ACSLS 7 1 y 7 1 1 con PUTO701 07 2 y 7 3 e HSC 6 1 y 6 2 e VSM 6 1 o 6 2 incluye VTCS y VTSS e Modelos de VTL 1 0 o 2 0 Actualizaci n de firmware Los niveles de firmware mostrados est n sujetos a cambios Para acceder al firmware m s reciente Vaya a My Oracle Support en http support oracle com e inicie sesi n Haga clic en el separador Patches amp Updates Parches y actualizaciones Haga clic en Product or Family Advanced Producto o familia avanzada En el campo Start Typing Comience a escribir escriba la informaci n del producto por ejemplo Oracle Key Manager y haga clic en Search Buscar para ver el ltimo firmware de cada versi n PWN Pr Tabla 5 9 Compatibilidades de firmware Unidades de SL8500 SL3000 Lxxx SL500 SL150 cinta 9310 9311 T10000A FC L 3 11c L FRS_2 00 L 3 17 03 L 4 4 08 N D N D D 1 37 113 D 1 37 113 D 1 37 113 D 137113 T10000A FICON L 3 11c L FRS_2 00 L 3 17 03 L 4 4 08 N D N D D 1 37 114 D 1 37 114 D 1 37 114 D 137114 T10000B FC L 3 98b L FRS_2 00 L 3 17 03 N D N D N D Capitulo 5 Requisitos de unidad de cinta 37 Requisitos de firmware Unidades de SL8500 SL3000 Lxxx SL500 SL150 ci
3. 33 Comportamiento de cifrado de unidades LTO Comportamiento de la unidad Leer LTO 3 Funcionalidad Correcto no cifrado LTO 5 agregar escritura a datos no cifrados ir hasta EOD y escribir Correcto no cifrado LTO 5 agregar escritura a datos no cifrados leer hasta EOD y escribir Correcto no cifrado LTO 5 agregar escritura a datos cifrados ir hasta EOD y escribir Correcto no cifrado LTO 5 agregar escritura a datos cifrados leer hasta EOD y escribir Error LTO 4 agregar escritura a datos no cifrados ir hasta EOD y escribir Correcto no cifrado LTO 4 agregar escritura a datos no cifrados leer hasta EOD y escribir Correcto no cifrado LTO 4 agregar escritura a datos cifrados ir hasta EOD y escribir Correcto no cifrado LTO 4 agregar escritura a datos cifrados leer hasta EOD y escribir Error Comportamiento de la unidad Leer datos no cifrados de LTO 5 Tabla 5 6 Comportamiento de cifrado para unidad LTO 5 inscrita para cifrado Funcionalidad Correcto no cifrado Leer datos cifrados de LTO 5 Correcto cifrado si esta disponible la clave correcta Escribir en LTO 5 desde BOT Correcto cifrado si esta disponible la clave correcta LTO 5 agregar escritura a datos cifrados Correcto cifrado si esta disponible la clave correcta Leer datos no cifrados de LTO 4 Correcto no cifrado Leer datos cifrados de LTO 4 Correc
4. Las unidades de cinta intentan realizar un failover hasta tres veces antes de darse por vencidas y devolver un error a la aplicaci n host de la unidad de cinta Nota A veces es posible que una unidad elija un dispositivo de gesti n de claves que no responde durante un intento de failover si el resto de los dispositivos de gesti n de claves no responden Sin embargo dado que es posible que la informaci n acerca del cluster sea obsoleta el dispositivo de gesti n de claves puede estar en l nea y responder Cap tulo 2 Descripci n general de OKM 17 Agentes 2 6 Agentes Los agentes son puntos finales de cifrado que usan claves criptogr ficas para cifrar y descifrar datos Los agentes son dispositivos por ejemplo unidades de cinta que se autentican con OKM y obtienen material de claves mediante una sesi n segura TLS Los agentes se comunican con los dispositivos de gesti n de claves a trav s de la API de agente La API de agente es un conjunto de interfaces de software incorporadas en el software o hardware del agente De forma predeterminada los dispositivos de gesti n de claves locales si estan disponibles proporcionan servicios a los agentes e Los agentes de unidad de cinta no deben estar en redes p blicas e Los agentes deben permanecer conectados a la red en caso de que se necesite una clave de cifrado Conecte agentes de unidad de cinta a los dispositivos de gesti n de claves en una red de
5. Unidades de SL8500 SL3000 Lxxx SL500 SL150 cinta 9310 9311 D BBNH FC IBM LTO 6 L 8 01 L 4 0 N D N D L 1483 N D D CT94 FC D CT94 FC D BBNH FC N D para FC Leyenda e L nivel de firmware de la biblioteca e D nivel de firmware de la unidad e FC canal de fibra e FCoE canal de fibra sobre Ethernet e SPS firmware especial requiere aprobaci n e N D no disponible No admitida 5 7 Requisitos del panel de operador virtual En la Tabla 5 10 Versi n m nima del VOP se muestra la versi n m nima del panel de operador virtual VOP de Oracle para cada tipo de unidad Nota Si utiliza un panel de operador virtual de varias unidades MD VOP se requiere la versi n 1 1 como m nimo Tabla 5 10 Versi n m nima del VOP Unidad de cinta Versi n m nima del VOP T10000A B C D 1 0 18 T9840D 1 0 12 HP LTO 4 1 0 12 HP LTO 5 1 0 16 HP LTO 6 1 0 18 IBM LTO 4 1 0 14 IBM LTO 5 1 0 16 IBM LTO 6 1 0 18 Capitulo 5 Requisitos de unidad de cinta 39 40 6 Realizacion de pedidos e Servidor del dispositivo de gesti n de claves Kit de accesorios del conmutador e Cables Ethernet e Cables de alimentaci n 6 1 Servidor del dispositivo de gesti n de claves Tabla 6 1 N meros de pedido de servidores del dispositivo de gesti n de claves Numero de pedido Descripci n 7105795 Servidor Netra SPARC T4 1 personalizado para OKM 375 3424 06 Tarjeta Sun C
6. 19 20 3 Configuraciones de OKM A continuaci n se muestran ejemplos de configuraciones de OKM e Sitio nico Dos sitios e Dos sitios con recuperaci n ante desastres e Dos sitios con base de datos Oracle e Varios sitios con una biblioteca particionada 3 1 Sitio nico En la Figura 3 1 Configuraci n de sitio nico se muestra un sitio nico con dos dispositivos de gesti n de claves en un cluster La red de servicio incluye varias unidades de cinta agentes Figura 3 1 Configuraci n de sitio nico Biblioteca de cintas Oracle Key Unidades de cinta Manager Cluster de OKM Conmutador Red de gesti n de claves de Ethernet 3 2 Dos sitios En la Figura 3 2 Configuraci n de dos sitios cada sitio contiene un dispositivo de gesti n de claves Los dispositivos de gesti n de claves son gestionados a traves de una red de rea amplia y ambos dispositivos de gesti n de claves pertenecen al mismo cluster de OKM En esta configuraci n Oracle recomienda utilizar sitios separados geogr ficamente Capitulo 3 Configuraciones de OKM 21 Dos sitios con recuperaci n ante desastres Figura 3 2 Configuraci n de dos sitios Sitio 1 Biblioteca de cintas Unidades de cinta oun Conmutador de Ethernet Unidades de cinta Conmutador de Ethernet 3 3 Dos sitios con recuperacion ante desastres Red de gestion de Oracle Key Manager Re
7. Descripci n general de OKM 13 2 1 Est ndares de cifrado admitidos ooooocconccccnnononoccconcnononnnonononnnonccnnncnnanoncnnncncnn 13 2 2 Dispositivo de gesti n de claves KMA ooccccccnnononocnnonacnnnnnnnnononcnoncnnnncnnananoss 14 2 2 1 Servidor del dispositivo de gesti n de claves para OKM 3 0 14 2 2 2 Servidores del dispositivo de gesti n de claves para OKM 2 x 14 2 2 3 Especificaciones de Tack ra sep 14 2 2 4 Tarjeta SCAGO0O na seen iii de 15 23 GULde DEM A Meee PA at aa isa 15 2 4 ELLdE OKM ses iii lese ie kiss 15 25 Cluster de OKM cn ar ar NON 16 2 5 1 Utilizaci n de dispositivos de gesti n de claves por parte de las unidades de cinta en un cluster ucccenerssssssnssnnnnnenesssennnnnnnennnnnnennnnnsnne sonne 16 A seele ee 16 2 5 1 2 Equilibrio de Carga cccccceeeeeeeeeeeeeeeeeeeeeeeeeeeteseeeeeseseneeenenenes 17 251 3 PAUOVEL sen een fe Dead 17 LOANS mn A A ad 18 2 7 Unidades de datos claves pol ticas de claves y grupos de claves 18 2 8 Roles DOMUSUAO Hi ia 19 2 9 Integraci n de IBM ICSE cssscssseseseeceeeeseeeseseseeeeeseseeeseseseseseseseseseseens 19 3 Configuraciones de OKM e een 21 3A SILO NICO di A dat 21 3 2 DOS SIOS n ann ein nn HERREN Irish 21 3 3 Dos sitios con recuperaci n ante desastres coocooonoccconccccononononcnnnnn
8. los soportes estructurales y los canales de cables y entre los planos de montaje delantero y posterior de al menos 456 mm 18 in 2 2 4 Tarjeta SCA6000 La tarjeta Sun Cryptographic Accelerator SCA6000 opcional se utiliza para las funciones administrativas y de procesamiento criptogr fico requeridas para el cumplimiento con FIPS Se trata de un m dulo de seguridad de hardware FIPS 140 2 nivel 3 2 3 GUI de OKM Puede usar la GUI de OKM para configurar y gestionar OKM Se ejecuta en una estaci n de trabajo proporcionada por el cliente y se comunica con los dispositivos de gesti n de claves a trav s de una red IP No se necesitan privilegios de administrador Windows o de usuario root Solaris para instalar y ejecutar la GUI Plataformas admitidas Solaris 10 10 09 actualizaci n 8 x86 Solaris 10 9 10 actualizaci n 9 SPARC Solaris 10 9 10 actualizaci n 9 x86 Microsoft Windows 7 Business Microsoft Windows 7 Enterprise Microsoft Windows Vista Business Microsoft Windows XP Professional versi n 2002 Microsoft Windows XP Professional Microsoft Windows Server 2008 version 6 0 Microsoft Windows Server 2003 R2 Standard Edition Microsoft Windows Server 2003 2 4 CLI de OKM Dos utilidades de interfaz de linea de comandos CLI que admiten un subconjunto de las mismas funciones que la GUI de OKM Permiten la automatizaci n de diversas tareas Capitulo 2 Descripci n general de OKM 15 Cluster de OKM c
9. marcas comerciales de sus respectivos propietarios Intel e Intel Xeon son marcas comerciales o marcas comerciales registradas de Intel Corporation Todas las marcas comerciales de SPARC se utilizan con licencia y son marcas comerciales o marcas comerciales registradas de SPARC International Inc AMD Opteron el logotipo de AMD y el logotipo de AMD Opteron son marcas comerciales o marcas comerciales registradas de Advanced Micro Devices UNIX es una marca comercial registrada de The Open Group Este software o hardware y la documentaci n pueden proporcionar acceso a o informaci n sobre contenidos productos o servicios de terceros Oracle Corporation o sus filiales no son responsables y por ende desconocen cualquier tipo de garant a sobre el contenido los productos o los servicios de terceros a menos que se indique otra cosa en un acuerdo en vigor formalizado entre Ud y Oracle Oracle Corporation y sus filiales no ser n responsables frente a cualesquiera p rdidas costos o da os en los que se incurra como consecuencia de su acceso o su uso de contenidos productos o servicios de terceros a menos que se indique otra cosa en un acuerdo en vigor formalizado entre Ud y Oracle Tabla de contenidos Prefacio nern 9 Accesibilidad a la documentaci n 20 0 0 eeeeeesesseeccecececeeeenteaeeececececeesenneaeeeeeeeeeeeens 9 1 Planificaci n de la instalaci n ooo onnnccnnncnnnconocococcnonancnoncnonaconcnonn cnn nonnnanns 11 2
10. n de claves para OKM 2 x OKM 2 x es compatible con Solaris 10 en Sun Fire X2100 M2 X2200 M2 y X4170 M2 Nota Los dispositivos de gesti n de claves de Sun Fire no se pueden actualizar a OKM 3 0 pero se pueden comunicar con los dispositivos de gesti n de claves de OKM 3 0 en el mismo cluster Los dispositivos de gesti n de claves de OKM 3 0 se pueden unir a un cluster de OKM 2 x existente mediante un dispositivo de gesti n de claves que ejecute KMS 2 2 o posterior 2 2 3 Especificaciones de rack Los dispositivos de gesti n de claves se pueden instalar en armarios o racks RETMA est ndar de cuatro pilares y 19 in No se admiten racks de dos pilares Nota La biblioteca SL8500 ofrece espacio para cuatro racks de 19 in Para obtener m s informaci n consulte la Gu a de aseguramiento de sistemas StorageTek SL8500 14 GUI de OKM Las guias deslizantes son compatibles con racks con los siguientes estandares Abertura horizontal y extremo vertical de la unidad que cumplen con los estandares ANSI EIA 310 D 1992 o IEC 60927 Distancia entre los planos de montaje frontal y posterior entre 610 mm y 915 mm 24 ina 36 in Profundidad de separaci n hasta la puerta delantera del armario de al menos 25 4 mm 1 in Profundidad de separaci n hasta la puerta posterior del armario de al menos 800 mm 31 5 in con un organizador de cables o 700 mm 27 5 in sin un organizador de cables Ancho de separaci n entre
11. Correcto cifrado si est disponible la clave correcta Escribir en LTO 6 desde BOT Correcto cifrado si est disponible la clave correcta LTO 6 agregar escritura a datos cifrados Correcto cifrado si est disponible la clave correcta Leer datos no cifrados de LTO 5 Correcto no cifrado Cap tulo 5 Requisitos de unidad de cinta 35 Preparaci n de unidades de cinta para cifrado Comportamiento de la unidad Leer datos cifrados de LTO 5 Funcionalidad Correcto cifrado si esta disponible la clave correcta Escribir en LTO 5 desde BOT Correcto cifrado si esta disponible la clave correcta LTO 5 agregar escritura a datos cifrados Correcto cifrado si esta disponible la clave correcta Leer datos no cifrados de LTO 4 Correcto no cifrado Leer datos cifrados de LTO 4 Correcto cifrado si esta disponible la clave correcta LTO 6 agregar escritura a datos no cifrados ir hasta EOD y escribir LTO 6 agregar escritura a datos no cifrados leer hasta EOD y escribir HP correcto cifrado si esta disponible la clave correcta IBM error No se permite la combinaci n de datos cifrados y no cifrados en una sola cinta HP correcto cifrado si est disponible la clave correcta IBM error No se permite la combinaci n de datos cifrados y no cifrados en una sola cinta LTO 6 agregar escritura a datos cifrados ir hasta EOD y escribir Correcto cifrado si est
12. Estos dispositivos incluyen las unidades de cinta y los conmutadores conectados a los dispositivos de gesti n de claves e La interfaz de red de servicio de Oracle est conectada al puerto 1 del dispositivo de SDP La interfaz de red de servicio de Oracle es la conexi n entre la unidad del sitio SDP y los dispositivos de almacenamiento e DMZ se refiere a la arquitectura de red segura de SDP que protege el tr fico de red entre la unidad del sitio SDP y la red de Oracle puerto 0 Nota El personal del servicio de asistencia de Oracle deber ocuparse de los equipos en ambas particiones de la red de servicio y coordinar con los ingenieros de SDP la planificaci n y la configuraci n Para obtener m s informaci n consulte las Notas del producto de Service Delivery Platform Cap tulo 4 Redes de OKM 29 Requisitos de firewall de SDP Figura 4 3 Ejemplo de conectividad de SDP Sitio 1 Biblioteca de cintas Unidades de cinta ME Red de gestion de Oracle Key Manager Red de rea amplia Red de gestion de Sitio 2 Firewall del cliente Red de servicio de Oracle 30 D Requisitos de unidad de cinta Unidades de cinta compatibles Unidades de cinta que cumplen con FIPS Comportamiento de cifrado de la unidad de cinta serie T Comportamiento de cifrado de unidades LTO Preparaci n de unidades de cinta para cifrado Requisitos de firmware Requisitos del panel de
13. IBM escribir n datos cifrados pero utilizar n la misma clave que utilizaron para leer los datos cifrados anteriores en la cinta La unidad no solicitar una nueva clave de OKM cuando se ejecuta el comando de escritura y se ignorar la pol tica de caducidad de claves definida por OKM 5 5 Preparaci n de unidades de cinta para cifrado Puede inscribir unidades de cinta para cifrado con la ayuda del representante de soporte de Oracle y la Gu a de administraci n de OKM Antes de la inscripci n determinadas unidades requieren preparaci n Para obtener m s informaci n los representantes de soporte de Oracle pueden consultar el Manual de instalaci n y servicio de OKM solo para uso interno 36 Requisitos de firmware Preparacion de datos de unidades de cinta serie T Las unidades T10000C y T10000D que ejecutan versiones de firmware 1 57 30x T10000C o 4 06 106 T10000D y posteriores no requieren claves de activaci n de cifrado Para versiones de firmware y unidades anteriores el representante de soporte de Oracle debe solicitar una clave de licencia de cifrado para cada unidad Preparaci n de unidades de cinta LTO No existen requisitos de activaci n ni se requieren datos de unidades para unidades de cinta LTO La nica preparaci n es asegurarse de contar con informaci n para asignar las direcciones IP y los nombres de agentes para las unidades de cinta en OKM Manager 5 6 Requisitos de firmware La Tabla 5 9
14. NT END USERS Oracle programs including any operating system integrated software any programs installed on the hardware and or documentation delivered to U S Government end users are commercial computer software pursuant to the applicable Federal Acquisition Regulation and agency specific supplemental regulations As such use duplication disclosure modification and adaptation of the programs including any operating system integrated software any programs installed on the hardware and or documentation shall be subject to license terms and license restrictions applicable to the programs No other rights are granted to the U S Government Este software o hardware se ha desarrollado para uso general en diversas aplicaciones de gesti n de la informaci n No se ha dise ado ni est destinado para utilizarse en aplicaciones de riesgo inherente incluidas las aplicaciones que pueden causar da os personales Si utiliza este software o hardware en aplicaciones de riesgo usted ser responsable de tomar todas las medidas apropiadas de prevenci n de fallos copia de seguridad redundancia o de cualquier otro tipo para garantizar la seguridad en el uso de este software o hardware Oracle Corporation y sus filiales declinan toda responsabilidad derivada de los da os causados por el uso de este software o hardware en aplicaciones de riesgo Oracle y Java son marcas comerciales registradas de Oracle y o sus filiales Todos los dem s nombres pueden ser
15. ORACLE Oracle Key Manager 3 Gu a de descripci n general y planificaci n Versi n 3 0 2 E52228 02 Abril de 2015 Oracle Key Manager 3 Guia de descripci n general y planificaci n E52228 02 Copyright O 2007 2015 Oracle y o sus filiales Todos los derechos reservados Este software y la documentaci n relacionada est n sujetos a un contrato de licencia que incluye restricciones de uso y revelaci n y se encuentran protegidos por la legislaci n sobre la propiedad intelectual A menos que figure expl citamente en el contrato de licencia o est permitido por la ley no se podr utilizar copiar reproducir traducir emitir modificar conceder licencias transmitir distribuir exhibir representar publicar ni mostrar ninguna parte de ninguna forma por ning n medio Queda prohibida la ingenier a inversa desensamblaje o descompilaci n de este software excepto en la medida en que sean necesarios para conseguir interoperabilidad seg n lo especificado por la legislaci n aplicable La informaci n contenida en este documento puede someterse a modificaciones sin previo aviso y no se garantiza que se encuentre exenta de errores Si detecta alg n error le agradeceremos que nos lo comunique por escrito Si este software o la documentaci n relacionada se entrega al Gobierno de EE UU o a cualquier entidad que adquiera las licencias en nombre del Gobierno de EE UU entonces aplicar la siguiente disposici n U S GOVERNME
16. RA 13 A C13 Cap tulo 6 Realizaci n de pedidos 43 44
17. ap n 2 5 m 15 250 180 2244 01 PSE6 15 15 A C13 333J 40 15 NEMA X336L Cable de alimentaci n N A Asia 40m 15 250 180 2070 01 L6 20P 15 A C13 333R 40 10 309 X332T Cable de alimentaci n internacional 4 0 10 250 180 2071 01 42 Cables de alimentaci n Tabla 6 5 N meros de referencia de cables de alimentaci n de racks que no pertenecen a Oracle Cable de Equivalente PTO Descripci n Amperiogensi n Cable alimentaci n ATO 333V 20 15 C14 X333V 20 15 C14 N Cable de alimentaci n Jmpr directo 2 0 m 15 250 180 2442 01 C14 15 A C13 333V 30 15 C14 X333V 30 15 C14 N Cable de alimentaci n Jmpr directo 3 0 m 15 250 180 2443 01 C14 15 A C13 Tabla 6 6 N meros de referencia de cables de alimentaci n de Oracle Rack NGR Cable de Equivalente PTO Descripci n AmperiosTensi n Cable alimentaci n ATO 333W 10 13 C14RA X9237 1 A N Cable de alimentaci n Jmpr 1 0 m C14RA 13 250 180 2082 01 13 A C13 333W 25 13 C14RA X9238 1 A N Cable de alimentaci n Jmpr 2 5 m C14RA 13 250 180 2085 01 13 A C13 Tabla 6 7 N meros de referencia de cables de alimentaci n de Oracle Rack II Redwood Cable de Equivalente PTO Descripci n AmperiosTensi n Cable alimentaci n ATO SR JUMP 1MC13 XSR JUMP 1MC13 N Cable de alimentaci n Jmpr SR2 1 0m 13 250 180 2379 01 C14RA 13 A C13 SR JUMP 2MC13 XSR JUMP 2MC13 N Cable de alimentaci n Jmpr SR2 2 0m 13 250 180 2380 01 C14
18. as de seguridad e Cifrado CCM AES 256 e Cifrado sim trico e Nonce e Conjunto de cifrado TLS 1 0 2048 bit RSA SHA1 HMAC Cap tulo 2 Descripci n general de OKM 13 Dispositivo de gesti n de claves KMA 2 2 Dispositivo de gestion de claves KMA El dispositivo de gesti n de claves es un servidor de seguridad reforzado que proporciona gestion de claves de ciclo de vida basada en politicas autenticaci n control de acceso y servicios de suministro de claves El dispositivo de gesti n de claves garantiza que todos los dispositivos de almacenamiento est n registrados y autenticados y que toda creaci n suministro y supresi n de claves de cifrado se lleve a cabo de conformidad con las politicas establecidas 2 2 1 Servidor del dispositivo de gesti n de claves para OKM 3 0 OKM 3 0 es compatible con Solaris 11 en el servidor Netra SPARC T4 1 La version de OKM de este servidor incluye e Procesador SPARC T4 de 4 n cleos y 2 85 GHz e 32 GB de DRAM 4 DIMM de 8 GB e Unidad de disco SAS de 2 5 in con 600 GB a 10 000 rpm e 4 puertos Gigabit Ethernet e Fuentes de alimentaci n redundantes e 5ranuras de adaptador PCIe de segunda generaci n con 8 vias cada una e Unidad de DVD deshabilitada no se usa con OKM Para conocer otras especificaciones del servidor como los requisitos ambientales y de energ a consulte http docs oracle com cd E23203_01 index html 2 2 2 Servidores del dispositivo de gesti
19. ci n China 2 5 m 10 250 180 1982 02 GB2099 10 A C13 333A 25 10 DK X383L N Cable de alimentaci n Dinamarca 2 5 m 10 250 180 1995 02 DEMKO107 10 A C13 333A 25 10 EURO X312L N Cable de alimentaci n Europa 2 5 m 10 250 180 1993 02 CEE7 VII 10 A C13 333A 25 10 IL X333A 25 10 IL N Cable de alimentaci n Israel 2 5 m SI 32 10 250 180 2130 02 10 A C13 333A 25 10 IN X333A 25 10 IN N Cable de alimentaci n India 2 5 m 10 250 180 2449 01 151293 10 A C13 333A 25 10 IT X384L N Cable de alimentaci n Italia 2 5 m 10 250 180 1996 02 CEI23 10 A C13 333A 25 10 KR X312G N Cable de alimentaci n Corea 2 5 m 10 250 180 1662 03 KSC8305 10 A C13 333A 25 10 TW X332A N Cable de alimentaci n Taiwan 2 5 m 10 125 180 2121 02 CNS10917 10 A C13 333A 25 10 UK X317L N Cable de alimentaci n Reino Unido 2 5 10 250 180 1997 02 m BS1363A 10 A C13 333A 25 10 ZA X333A 25 10 ZA N Cable de alimentaci n Sud frica 2 5 m 10 250 180 2298 01 SANS164 10 A C13 333A 25 15 JP X333A 25 15 JP N Cable de alimentaci n Jap n 2 5 m 15 125 180 2243 01 PSE5 15 15A C13 333A 25 15 NEMA X311L Cable de alimentaci n N A Asia 2 5m 15 125 180 1097 02 5 15P 15 A C13 333A 25 15 TW X333A 25 15 TW N Cable de alimentaci n Taiwan 2 5 m 15 125 180 2333 01 CNS10917 15 A C13 333F 20 10 NEMA X320A N Cable de alimentaci n N A Asia 2 0m 10 250 180 2164 01 6 15P 10 A C13 333F 25 15 JP X333F 25 15 JP N Cable de alimentaci n J
20. cle com pls topic lookup ctx acc amp id trs Pr logo 9 10 1 Planificaci n de la instalaci n Utilice la siguiente lista de comprobaci n para planificar la instalaci n de OKM Revisi n de la descripci n general y las configuraciones de OKM e Capitulo 2 Descripci n general de OKM e Cap tulo 3 Configuraciones de OKM Revisi n de los requisitos del servidor e Revise las especificaciones del dispositivo de gesti n de claves Secci n 2 2 1 Servidor del dispositivo de gesti n de claves para OKM 3 0 e Revise las especificaciones de rack del dispositivo de gesti n de claves Secci n 2 2 3 Especificaciones de rack e Aseg rese de que el sitio cumpla con los requisitos de temperatura humedad enfriamiento y alimentaci n para el servidor o Para conocer las especificaciones del servidor Netra SPARC T4 1 consulte http docs oracle com cd E23203_01 index html Verifique las ubicaciones y capacidades nominales de los disyuntores Para la opci n de energia redundante asegurese de que haya un interruptor de energia APC adicional Revisi n de los requisitos de red e Capitulo 4 Redes de OKM Revisi n de los requisitos de unidad de cinta e Cap tulo 5 Requisitos de unidad de cinta Planificaci n de roles de usuario e Secci n 2 8 Roles de usuario Cap tulo 1 Planificaci n de la instalaci n 11 Preparacion para la entrega e Aseg rese de que haya pe
21. cnnoncnannancnnncnnos 22 3 4 Dos sitios con base de datos Oracle 0 eeeeseesceececececeesenseaeeeceeeceseensneaeeeeeers 23 3 5 Varios sitios con una biblioteca particionada cocccccnnnnonoccconcnonnnncnnonaccnnncnnnno 23 A Redes de DRM une eek 25 4 1 Descripci n general de redes oooooonnoncconncccnnnonnoncnnnnnncnnnnnnononcnnncnnoncnnononcnnncnn n 25 Oracle Key Manager 3 AL Red de gesti n sus beta I been ld 26 4 1 2 ROG UG Servicio A O enina ir nsaan 26 41 3 Procesador de sera ui ea 26 4 2 Conmutadores gestionados eseesesseeececececessessenececececeseesenneaeeeeeeeeeesensaaeaes 26 4 2 1 Modelos de conmutadores gestionados admitidos rer 222 22200 26 4 2 2 Agregaci n de puertos de servicio del dispositivo de gesti n de CN ita 27 4 2 3 Creaci n de reflejos de puertos ooooconccccnnocononccnnonccnononnonancnnnccnoninnanonoss 27 4 2 4 Ejemplo de configuraci n de conmutadores gestionados 27 4 3 Configuraci n del enrutamiento de Ted ccccncnnnnonccnncnccnnnnononcnnnoncnnoncnnanoncnnnannnn 28 4 4 Requisitos de firewall de SDP oooooooocccncccccccccononocnnonccnnncnnononononccnnncnnononcnnnccnnn 28 5 Requisitos de unidad de Cinta ooocooocccccnoocccccononcccnononancnononononocnnnncccnronnnnos 31 5 1 Unidades de cinta compatibles oooocccncnnnnnnnnncncnononononcnononononononononononononos 31 5 2 Unidades de cinta q
22. critura a datos cifrados leer hasta EOD y escribir Error Tabla 5 4 Comportamiento de cifrado para unidad LTO 4 inscrita para cifrado Comportamiento de la unidad Leer datos no cifrados de LTO 4 Funcionalidad Correcto no cifrado Leer datos cifrados de LTO 4 Escribir en LTO 4 desde BOT Correcto cifrado si esta disponible la clave correcta Correcto cifrado si esta disponible la clave correcta LTO 4 agregar escritura a datos cifrados Correcto cifrado si esta disponible la clave correcta Escribir en cinta LTO 3 HP correcto no cifrado IBM error Leer cinta LTO 3 Correcto no cifrado LTO 4 agregar escritura a datos no cifrados ir hasta EOD y escribir HP correcto cifrado si esta disponible la clave correcta IBM error No se permite la combinaci n de datos cifrados y no cifrados en una sola cinta LTO 4 agregar escritura a datos no cifrados leer hasta EOD y escribir HP correcto cifrado si est disponible la clave correcta IBM error No se permite la combinaci n de datos cifrados y no cifrados en una sola cinta LTO 4 agregar escritura a datos cifrados ir hasta EOD y escribir Correcto cifrado si est disponible la clave correcta LTO 4 agregar escritura a datos cifrados leer hasta EOD y escribir HP correcto cifrado si est disponible la clave correcta IBM correcto cifrado si est disponible la clave correcta pero con clave de l
23. d de area Red de gestion de IV client Sitio 2 Para reducir el riesgo de que un desastre destruya todo el cluster el cluster debe abarcar varios sitios separados geograficamente En la Figura 3 3 Configuraci n de recuperaci n ante desastres hay dos redes de area amplia una para la gesti n de claves y una para el servicio La GUI de OKM se comunica con ambos dispositivos de gesti n de claves del cluster y la red de servicio de rea amplia permite que cualquiera de los dispositivos de gesti n de claves se comunique con los agentes Para obtener m s informaci n acerca de la recuperaci n ante desastres consulte la Gu a de referencia para la recuperaci n ante desastres Figura 3 3 Configuraci n de recuperaci n ante desastres Sitio 1 Biblioteca de cintas Unidades de cinta Red de ge Oracle Key s Manager Biblioteca de cintas Red de servicio Red de rea amplia sti n de client 22 Dos sitios con base de datos Oracle 3 4 Dos sitios con base de datos Oracle En la Figura 3 4 Ejemplo de base de datos cuatro dispositivos de gestion de claves en un cluster admiten dos bibliotecas de cinta automatizadas y una base de datos Oracle con la soluci n de cifrado de datos transparente TDE de Advanced Security Para obtener mas informaci n consulte la Guia de administraci n de OKM Figura 3 4 Ejemplo de base de datos Sitio 1 TDE
24. de base Biblioteca de datos Unidad de cintas ASO de Oracle ea prose KMA 1 KMA 2 rT Cluster de OKM KMA 3 j Conmutador de Ethernet KMA 4 FT Conmutador Red de gesti n de claves de cliente de Ethernet Oracle Key Manager Red de rea amplia Red de gesti n de n Sitio 2 3 5 Varios sitios con una biblioteca particionada Al usar unidades de cinta con capacidad de cifrado las particiones pueden agregar una capa de seguridad de datos Las particiones pueden e Limitar el acceso a las unidades de cinta y los cartuchos de cinta e Separar distintos grupos de claves de cifrado e Aislar clientes como centros de servicio Estar destinadas a tareas espec ficas e Otorgar a varios departamentos organizaciones y empresas acceso a recursos de la biblioteca con un tama o adecuado En la Figura 3 5 Configuraci n de varios sitios se muestran dos sitios remotos y un sitio local principal dentro de un cluster de OKM El sitio principal contiene una biblioteca particionada con grupos de claves espec ficos que proporcionan funciones de copia de seguridad para todos los dispositivos de gesti n de claves 1 6 y los medios dentro del cluster Para obtener m s informaci n acerca de las particiones consulte la documentaci n de la biblioteca Cap tulo 3 Configuraciones de OKM 23 Varios sitios con una biblioteca particionada Figura 3 5 Configuraci n de vari
25. disponible la clave correcta LTO 6 agregar escritura a datos cifrados leer hasta EOD y escribir HP correcto cifrado si est disponible la clave correcta IBM correcto cifrado si est disponible la clave correcta pero con clave de lectura anterior LTO 5 agregar escritura a datos no cifrados ir hasta EOD y escribir LTO 5 agregar escritura a datos no cifrados leer hasta EOD y escribir HP correcto cifrado si est disponible la clave correcta IBM error No se permite la combinaci n de datos cifrados y no cifrados en una sola cinta HP correcto cifrado si est disponible la clave correcta IBM error No se permite la combinaci n de datos cifrados y no cifrados en una sola cinta LTO 5 agregar escritura a datos cifrados ir hasta EOD y escribir Correcto cifrado si est disponible la clave correcta LTO 5 agregar escritura a datos cifrados leer hasta EOD y escribir HP correcto cifrado si est disponible la clave correcta IBM correcto cifrado si est disponible la clave correcta pero con clave de lectura anterior Aunque este escenario permite agregar datos cifrados detr s de datos no cifrados esto tiene un beneficio operativo ya que permite que las cintas etiquetadas previamente con datos no cifrados se utilicen en unidades HP LTO en el entorno de cifrado sin que sea necesario volver a etiquetarlas 2 Ls oe A z 21 En este escenario las unidades
26. e claves asignado como grupo de claves predeterminado para todos los agentes 18 Roles de usuario 2 8 Roles de usuario OKM tiene un conjunto predefinido de roles de usuario Responsable de la seguridad Lleva a cabo la gesti n y configuraci n de OKM Operador Lleva a cabo la configuracion de los agentes y las operaciones diarias Responsable del cumplimiento Define grupos de claves y controla el acceso de los agentes a los grupos de claves Operador de copias de seguridad Lleva a cabo operaciones de copia de seguridad Auditor Supervisa las pistas de auditoria del sistema Miembro del qu rum Visualiza y aprueba las operaciones de qu rum pendientes Para obtener mas informacion acerca de los roles de usuario incluida una lista de las operaciones llevadas a cabo por cada rol consulte la Guia de administracion Nota Puede usar una hoja de trabajo para facilitar la planificaci n de roles de usuario como la que se incluye en el Manual de servicio e instalaci n de OKM solo para uso interno Consulte con el representante de soporte de Oracle 2 9 Integraci n de IBM ICSF IBM Integrated Cryptography Service Facility ICSF es una soluci n de cifrado con un almacen de claves externo que reside en un mainframe de IBM y al cual se puede acceder mediante un protocolo TLS XML Para obtener m s informaci n consulte la Gu a de integraci n de OKM ICSF Cap tulo 2 Descripci n general de OKM
27. ectura anterior Las unidades HP escribir n cintas en modo no cifrado El formato LTO 3 no admite el cifrado y esto puede considerarse un incumplimiento de la seguridad ya que es posible hacer que las unidades HP LTO 4 y 5 escriban datos no cifrados simplemente insertando un cartucho LTO 3 2 z ee Aunque este escenario permite agregar datos cifrados detras de datos no cifrados esto tiene un beneficio operativo ya que permite que las cintas etiquetadas previamente con datos no cifrados se utilicen en unidades HP LTO en el entorno de cifrado sin que sea necesario volver a etiquetarlas 3 Ls oe z ey z ys En este escenario las unidades IBM escribir n datos cifrados pero utilizar n la misma clave que utilizaron para leer los datos cifrados anteriores en la cinta La unidad no solicitar una nueva clave de OKM cuando se ejecuta el comando de escritura y se ignorar la pol tica de caducidad de claves definida por OKM Tabla 5 5 Comportamiento de cifrado para unidad LTO 5 no inscrita para cifrado Comportamiento de la unidad Leer datos no cifrados de LTO 5 Funcionalidad Correcto no cifrado Leer datos cifrados de LTO 5 Escribir en LTO 5 desde BOT Error Correcto no cifrado Leer datos no cifrados de LTO 4 Correcto no cifrado Leer datos cifrados de LTO 4 Error Escribir en LTO 4 desde BOT Correcto no cifrado Cap tulo 5 Requisitos de unidad de cinta
28. itar direcciones de red duplicadas y el uso de redes 172 18 18 x una convenci n com n e El uso de una configuraci n de puerta de enlace predeterminada puede afectar el rendimiento del failover Consulte a un ingeniero de redes para planificar la capacidad de failover 4 4 Requisitos de firewall de SDP Service Delivery Platform SDP consta de un dispositivo inteligente y una red dedicada Supervisa las bibliotecas de cinta de Oracle y las unidades serie T SDP realiza un diagn stico remoto al recopilar eventos de dispositivos y alertar al soporte de Oracle si existe un problema Debe existir un firewall entre los dispositivos conectados a un dispositivo de gesti n de claves y SDP El firewall realiza dos particiones de la red de servicio la red de servicio 28 Requisitos de firewall de SDP controlada por Oracle y la red de servicio controlada por el cliente El firewall del cliente permite que SDP acceda nicamente a los dispositivos que puede supervisar Importante Configure el firewall de modo que SDP pueda supervisar las unidades de cinta en la parte de la red de servicio controlada por el cliente En la Figura 4 3 Ejemplo de conectividad de SDP e El firewall del cliente est conectado al puerto 2 del dispositivo de SDP La interfaz de red del cliente es la conexi n entre SDP y los dispositivos de almacenamiento de Oracle conectados a la LAN del centro de operaciones que esta conectada a la red
29. n 23 Configuraci n de varios sitios eeeessesececcceceseesesnecececececeesessaaeeeceeeeeseenenneaeeeeeers 24 Conexiones de red de OKM 0 eee ceceesseencccececeseenscccnsccecesecnsonscssceeensecsenscesseseeeees 25 Configuraci n de conmutadores gestionados cooooococonccccncooononnnncnnnnnnnnnononcnnncnncnnnnnnos 28 Ejemplo de conectividad de SDP oooonoconoccconccccononononnnnnonocnnnnnnonononnncnccnonnnnononcnnncnn n 30 Lista de tablas 5 1 Unidades de cinta que cumplen con FIPS 140 2 oocccccnnononocunonccnnnnnnononcnnnncnnninnananoss 5 2 Comportamiento de cifrado de la unidad de cinta serie T oo eee eeeseeeceeeeeeeeeeneees 5 3 Comportamiento de cifrado para unidad LTO 4 no inscrita para cifrado 5 4 Comportamiento de cifrado para unidad LTO 4 inscrita para cifrado 5 5 Comportamiento de cifrado para unidad LTO 5 no inscrita para cifrado 5 6 Comportamiento de cifrado para unidad LTO 5 inscrita para cifrado 5 7 Comportamiento de cifrado para unidad LTO 6 no inscrita para cifrado 5 8 Comportamiento de cifrado para unidad LTO 6 inscrita para cifrado 5 9 Compatibilidades de firmware s seccccceceseeseseecececeeeceesenncaeeecececessensaneeeeeeeeeees 5 10 Versi n minima del VOP cc i cecccceeecceesccceeeseescceeesccceecsescecsesseusecseescsceesseesseeees
30. nta 9310 9311 D 1 38 x09 D 1 38 x07 D 1 38 x07 T10000B FICON L 3 98b L FRS_2 00 L 3 17 03 N D N D N D D 1 38 x09 D 1 38 x09 D 1 38 x09 T10000C FC L FRS_7 0 0 L FRS_3 0 0 N D N D N D N D D 1 53 316 D 1 53 316 T10000C FICON L FRS_7 0 0 L FRS_3 0 0 N D N D N D N D D 1 53 316 D 1 53 316 T10000D FC L FRS_8 0 5 sin L FRS_3 62 sin N D N D N D N D compatibilidad con compatibilidad con la unidad 3590 la unidad 3590 D 4 06 107 FC D 4 06 107 FC FCoE FCoE T10000D FICON L FRS_8 0 5 sin L FRS_3 62 sin N D N D N D N D compatibilidad con compatibilidad con la unidad 3590 la unidad 3590 D 4 07 xxx D 4 07 xxx T10000D FCoE L_FRS_8 3 0 L_FRS_4 xx N D N D N D N D D 4 06 106 D_4 06 106 T9840D FC L 3 98 L FRS_2 00 L 3 17 03 L 4 4 08 N D N D D 1 42 x07 D 1 42 x07 D 142x07 D 142x07 T9840D L 3 98 L FRS_2 00 L 3 17 03 L 4 4 08 N D N D FICON y ESCON D 142x07 D 142x07 D 142x07 D 142x07 HP LTO 4 L 3 98B L 2 05 N D N D L 1300 N D D H645 FC D H645 FC D H645 FC N D para SCSI N D para SCSI D B63S SCSI HP LTO 5 D I5BS FC D I5BS FC N D N D D I5BS FC L 1 80 N D para SAS N D para SAS D X5AS SAS D Y5BS FC HP LTO 6 D J2AS FC D J2AS FC N D N D D J2AS FC L 1 80 N D para SAS N D para SAS N D para SAS D Z55S SAS D 22CS FC D 329S SAS IBM LTO 4 L FRS_4 70 L FRS_2 30 N D N D L 1373 N D D BBH4 FC D BBH4 FC D BBH4 FC N D para SCSI N D para SCSI D BBH4 SCSI IBM LTO 5 D BBNH FC D BBNH FC N D N D L 1373 N D 38 Requisitos del panel de operador virtual
31. omo creaci n de copias de seguridad exportaci n de claves y elaboraci n de informes de auditoria 2 5 Cluster de OKM Un cluster es un conjunto completo de dispositivos de gesti n de claves en un sistema Todos estos dispositivos de gesti n de claves se reconocen entre si y replican informaci n completa El cluster permite que las unidades de cinta seleccionen dispositivos de gesti n de claves para la recuperaci n de material de claves Puede haber un m nimo de dos y un maximo de 20 dispositivos de gesti n de claves en un cluster e Las nuevas claves generadas en cualquier sitio se replican al resto de los dispositivos de gestion de claves del cluster e Todos los cambios administrativos se propagan al resto de los dispositivos de gesti n de claves del cluster e Debe tenerse en cuenta el tama o del cluster al dise ar el sistema para una m xima disponibilidad e Varios dispositivos de gesti n de claves pueden agruparse en clusters en una red de rea amplia local o privada dedicada e Cualquier dispositivo de gesti n de claves del cluster puede proporcionar servicios a cualquier agente de la red e Cualquier dispositivo de gesti n de claves puede utilizarse para funciones de administraci n Nota Los dispositivos de gesti n de claves de un cluster desconocen los dispositivos de gesti n de claves de otros clusters 2 5 1 Utilizaci n de dispositivos de gesti n de claves por parte de las unidades de cin
32. operador virtual 5 1 Unidades de cinta compatibles Las siguientes unidades de cinta admiten el cifrado StorageTek T10000A StorageTek T10000B StorageTek T10000C StorageTek T10000D StorageTek T9840D HP LTO 4 requiere tarjeta HP Dione HP LTO 5 y6 IBM LTO 4 5 y 6 todas requieren tarjeta IBM Belisarius 5 2 Unidades de cinta que cumplen con FIPS Tabla 5 1 Unidades de cinta que cumplen con FIPS 140 2 Unidad de cinta Nivel de FIPS 140 2 T10000A 1 T10000B 2 T10000C 1 T10000D 1 T9840D 1 LTO4 HP e IBM Sin planes para FIPS LTOS HP e IBM Sin planes para FIPS Cap tulo 5 Requisitos de unidad de cinta 31 Comportamiento de cifrado de la unidad de cinta serie T Unidad de cinta Nivel de FIPS 140 2 LTO6 HP e IBM Sin planes para FIPS Nota Las unidades LTO pueden ser validadas por FIPS pero no necesariamente en aplicaciones de cifrado especificas Los niveles de seguridad de FIPS 140 2 para las unidades de cinta antes mencionadas incluyen e Nivel 1 el nivel b sico con los requerimientos del nivel de producci n e Nivel 2 agrega requerimientos para pruebas de alteraci n f sica y autenticaci n basada en roles Basado en una plataforma operativa validada Esta selecci n proporciona un mayor nivel de seguridad para los dispositivos de gesti n de claves y las unidades de cinta 5 3 Comportamiento de cifrado de la unidad de cinta serie T Tabla 5 2 Compo
33. os sitios Sitio remoto Sitio remoto Bee Grupo de claves 2 Grupo de claves 3 en ae Engineering Manufacturing Unidades de cinta Biblioteca de cintas Cluster de OKM A Red de gesti n de claves de cliente Red de gestion de claves de cliente y A Oracle Key Oracle Key Manager Manager Red de rea amplia Sitio principal AROG avon e gesti n de claves de cliente Marketing y ventas AER A TA KMA 1 KMA 2 Cluster de OKM Plataforma de prestaci n de servicios Biblioteca de cintas particionada Partici n 1 i Partici n 2 Grupos de claves 1 2y3 Copias de seguridad Grupo de claves 1 Marketing y ventas 24 4 Redes de OKM Descripci n general de redes e Conmutadores gestionados Configuraci n del enrutamiento de red e Requisitos de firewall de SDP 4 1 Descripci n general de redes OKM usa redes TCP IP IPv4 e IPv6 de doble pila para las conexiones entre dispositivos de gesti n de claves agentes y estaciones de trabajo Cada dispositivo de gesti n de claves tiene conexiones de red para lo siguiente Red de gesti n Red de servicio Procesador de servicio Figura 4 1 Conexiones de red de OKM Estaci n de trabajo de administrador e 4 Administraci n GUIS OKM Intercambio Li y de claves Y r Unidad de cinta Cliente f Procesador de servicio Datos cifrados Car
34. r No se permite la combinaci n de datos cifrados y no cifrados en una sola cinta 34 Comportamiento de cifrado de unidades LTO LTO 4 agregar escritura a datos cifrados ir hasta EOD y escribir Funcionalidad Comportamiento de la unidad Correcto cifrado si esta disponible la clave correcta LTO 4 agregar escritura a datos cifrados leer hasta EOD y escribir Leer datos no cifrados de LTO 3 HP correcto cifrado si esta disponible la clave correcta IBM correcto cifrado si esta disponible la clave correcta pero con clave de lectura anterior Correcto no cifrado 1 A z ee Aunque este escenario permite agregar datos cifrados detr s de datos no cifrados esto tiene un beneficio operativo ya que permite que las cintas etiquetadas previamente con datos no cifrados se utilicen en unidades HP LTO en el entorno de cifrado sin que sea necesario volver a etiquetarlas 2 A Ls ey z A En este escenario las unidades IBM escribir n datos cifrados pero utilizar n la misma clave que utilizaron para leer los datos cifrados anteriores en la cinta La unidad no solicitar una nueva clave de OKM cuando se ejecuta el comando de escritura y se ignorar la pol tica de caducidad de claves definida por OKM Tabla 5 7 Comportamiento de cifrado para unidad LTO 6 no inscrita para cifrado Comportamiento de la unidad Leer datos no cifrados de LTO 6 Funcionalidad Correcto no cif
35. rado Leer datos cifrados de LTO 6 Error Escribir en LTO 6 desde BOT Correcto no cifrado Leer datos no cifrados de LTO 5 Correcto no cifrado Leer datos cifrados de LTO 5 Error Escribir en LTO 5 desde BOT Correcto no cifrado Leer datos no cifrados de LTO 4 Correcto no cifrado LTO 6 agregar escritura a datos no cifrados ir hasta EOD y escribir Correcto no cifrado LTO 6 agregar escritura a datos no cifrados leer hasta EOD y escribir Correcto no cifrado LTO 6 agregar escritura a datos cifrados ir hasta EOD y escribir Correcto no cifrado LTO 6 agregar escritura a datos cifrados leer hasta EOD y escribir Error LTO 5 agregar escritura a datos no cifrados ir hasta EOD y escribir Correcto no cifrado LTO 5 agregar escritura a datos no cifrados leer hasta EOD y escribir Correcto no cifrado LTO 5 agregar escritura a datos cifrados ir hasta EOD y escribir Correcto no cifrado LTO 5 agregar escritura a datos cifrados leer hasta EOD y escribir Error Tabla 5 8 Comportamiento de cifrado para unidad LTO 6 inscrita para cifrado Leer datos no cifrados de LTO 6 Comportamiento de la unidad Funcionalidad Correcto no cifrado Leer datos cifrados de LTO 6 Error Escribir en LTO 6 desde BOT Correcto no cifrado Leer datos no cifrados de LTO 6 Leer datos cifrados de LTO 6 Correcto no cifrado
36. rsonal autorizado disponible para organizar y aceptar la entrega El dispositivo de gesti n de claves KMA de OKM se considera un elemento seguro e Aseg rese de que exista un plan para desechar o reciclar el material de embalaje Pedido de componentes e Cap tulo 6 Realizaci n de pedidos 12 2 Descripcion general de OKM OKM proporciona seguridad de datos mediante el cifrado de los datos almacenados cifrado basado en dispositivos Crea almacena y gestiona claves de cifrado OKM admite sistemas abiertos y plataformas empresariales En las siguientes secciones se describen los conceptos y los componentes de la soluci n OKM e Est ndares de cifrado admitidos e Dispositivo de gesti n de claves KMA e GUI de OKM e CLI de OKM e Cluster de OKM e Agentes e Unidades de datos claves pol ticas de claves y grupos de claves e Roles de usuario e Integraci n de IBM ICSF 2 1 Estandares de cifrado admitidos OKM se basa en los siguientes estandares de la industria e FIPS PUB 140 2 requisitos de seguridad para m dulos criptogr ficosFIPS PUB 46 3 est ndar de cifrado de datosFIPS PUB 171 gesti n de claves e NIST 800 57 parte 1 recomendaciones para la gesti n de claves e IEEE 1619 1 est ndar para el cifrado de cintas completo IEEE 1619 2 est ndar para el cifrado de discos en proceso IEEE 1619 3 est ndar para la gesti n de claves en curso e Criterios comunes CC e ISO IEC 1779 t cnic
37. rtamiento de cifrado de la unidad de cinta serie T Tipo de unidad de cinta Cintas no cifradas Cintas cifradas No inscrita para cifrado Totalmente compatible Sin capacidad de lectura escritura ni e Lectura escritura y conexi n conexi n Se puede volver a escribir desde el inicio de la cinta BOT Inscrita para cifrado Capacidad de lectura nicamente Totalmente compatible e Sin capacidad de conexi n Lectura con las claves correctas Se puede volver a escribir desde el inicio de la Escritura con la clave de escritura actual cinta BOT 5 4 Comportamiento de cifrado de unidades LTO Nota nicamente los medios LTO 4 LTO 4 y LTO 4 WORM tienen capacidad de cifrado en las unidades de cinta LTO 4 Tabla 5 3 Comportamiento de cifrado para unidad LTO 4 no inscrita para cifrado Comportamiento de la unidad Funcionalidad Leer datos no cifrados de LTO 4 Correcto no cifrado Leer datos cifrados de LTO 4 Error Escribir en LTO 4 desde BOT Correcto no cifrado Leer cinta LTO 3 Correcto no cifrado LTO 4 agregar escritura a datos no cifrados ir hasta EOD y escribir Correcto no cifrado LTO 4 agregar escritura a datos no cifrados leer hasta EOD y escribir Correcto no cifrado LTO 4 agregar escritura a datos cifrados ir hasta EOD y escribir Correcto no cifrado 32 Comportamiento de cifrado de unidades LTO Comportamiento de la unidad Funcionalidad LTO 4 agregar es
38. ryptographic Accelerator SCA6000 6 2 Kit de accesorios del conmutador Tabla 6 2 N meros de pedido del kit de accesorios del conmutador Numero de pedido Descripci n Kit de accesorios del conmutador SAK Incluye un conmutador gestionado de 24 puertos cables y herramientas de montaje 7104584 6 3 Cables Ethernet Tabla 6 3 N meros de pedido de cables Ethernet Numero de pedido Descripci n CABLE10187033 Z N Cable Ethernet CAT5e de 8 ft CABLE10187034 Z N Cable Ethernet CAT5e de 35 ft CABLE10187037 Z N Cable Ethernet CAT5e de 55 ft 6 4 Cables de alimentaci n Tabla 6 4 N meros de referencia de cables de alimentaci n Cable de Equivalente PTO Descripci n Amperios Tensi n Cable alimentaci n ATO 333A 25 10 AR X312F N Cable de alimentaci n Argentina 2 5 m 10 IRAM2073 10 A C13 250 180 1999 02 Capitulo 6 Realizaci n de pedidos 41 Cables de alimentaci n m IEC309 IP44 10 A C13 Cable de Equivalente PTO Descripci n Amperios Tensi n Cable alimentaci n ATO 333A 25 10 AU X386L N Cable de alimentaci n Australia 2 5 m 10 250 180 1998 02 SA3112 10 A C13 333A 25 10 BR X333A 25 10 BR N Cable de alimentaci n Brasil 2 5 m 10 250 180 2296 01 NBR14136 10 A C13 333A 25 10 CH X314L N Cable de alimentaci n Suiza 2 5 m 10 250 180 1994 02 SEV1011 10 A C13 333A 25 10 CN X328L Cable de alimenta
39. s Cap tulo 4 Redes de OKM 27 Configuraci n del enrutamiento de red Figura 4 2 Configuraci n de conmutadores gestionados Red de servicio Unidades E de cinta Servicio Oracle Key KMA 1 Conmutador Conmutador Manager EN Zr nie no gestionado Red de gestion de Cluster zei de OKM Unidades de cinta Servicio Conmutador Conmutador KMA 2 T gestionado no gestionado gregado aa __E a a a A a U d 4 3 Configuraci n del enrutamiento de red La configuraci n de enrutamiento de un dispositivo de gesti n de claves afecta las respuestas de las solitudes de detecci n de unidades de cinta Si existen errores en la configuraci n de enrutamiento puede proporcionarse informaci n de cluster err nea a las unidades de cinta Como consecuencia las unidades intentan comunicarse con dispositivos de gesti n de claves a los cuales no pueden acceder mediante la red Al planificar la red de OKM tenga en cuenta lo siguiente e Use la opci n de men de red de la consola del dispositivo de gesti n de claves para configurar una ruta entre los sitios No configure una ruta predeterminada Nota Oracle no recomienda comenzar con una topolog a de red de servicio de varios sitios Al planificar una red de servicio de varios sitios determine un esquema de direcciones de la subred para las unidades y los puertos de servicio del dispositivo de gesti n de claves Debe ev
40. servicio privada e Los dispositivos de gesti n de claves y los agentes pueden agruparse l gicamente para crear un sitio donde los agentes hacen referencia a los dispositivos de gesti n de claves dentro del sitio al cual est n asignados 2 7 Unidades de datos claves pol ticas de claves y grupos de claves Unidades de datos Las unidades de datos representan los datos cifrados por los agentes Para las unidades de cinta una unidad de datos es un cartucho de cinta Claves Las claves son los valores reales de las claves material de claves y los metadatos asociados Pol ticas de claves Las pol ticas de claves definen los par metros que rigen las claves Esto incluye par metros de ciclo de vida como per odo de cifrado y per odo criptogr fico y par metros de importaci n exportaci n por ejemplo importaci n permitida exportaci n permitida Grupos de claves Los grupos de claves asocian claves y pol ticas de claves Cada grupo de claves tiene una pol tica de claves y est asignado a los agentes Los agentes pueden recuperar solamente las claves que est n asignadas a uno de los grupos de claves permitidos del agente Los agentes tambi n tienen un grupo de claves predeterminado Cuando un agente crea una clave la asigna a una unidad de datos la clave se coloca en el grupo de claves predeterminado del agente Nota Para que el sistema funcione debe definir al menos una pol tica de claves y un grupo d
41. ta en un cluster Las unidades de cinta recuperan claves del cluster del dispositivo de gesti n de claves mediante la detecci n el equilibrio de cargas y el failover 2 5 1 1 Detecci n Las unidades de cinta agentes env an una solicitud de detecci n de cluster a un dispositivo de gesti n de claves El dispositivo de gesti n de claves que recibe la solicitud de detecci n de cluster proporciona la siguiente informaci n a cada dispositivo de gesti n de claves e Direcci n IP IPv4 e IPv6 e Nombre del sitio e ID del dispositivo de gesti n de claves 1 s 2 kii ene x ss Pueden realizarse excepciones con la aprobacion de los servicios de soporte los servicios profesionales y el Departamento de Ingenieria 16 Cluster de OKM e Nombre del dispositivo de gesti n de claves e Versi n del dispositivo de gesti n de claves ayuda a determinar la compatibilidad de FIPS para las unidades de cinta admitidas e Estado del dispositivo de gesti n de claves o Responde indica si el dispositivo de gesti n de claves est respondiendo en la red o Bloqueado indica si el dispositivo de gesti n de claves est bloqueado Las unidades de cinta recuperan peri dicamente esta informaci n como parte de una operaci n de cinta no cuando la unidad de cinta est inactiva y siempre la solicitan como parte de la inscripci n y cada vez que se realiza la IPL de la unidad Cuando la unidad detecta un nuevo estado de respuesta para
42. tion de claves La red del procesador de servicio ELOM o ILOM debe tener el arbol de expansion apagado o desactivado 4 2 Conmutadores gestionados Oracle recomienda utilizar un conmutador gestionado para conectar los dispositivos de gestion de claves a las unidades de cinta en redes de servicio privadas Un conmutador gestionado proporciona conectividad a los conmutadores de unidad de cinta no gestionados y a los enrutadores para la red de servicio de rea amplia Los conmutadores gestionados mejoran el mantenimiento gracias a un mejor diagn stico y resoluci n de problemas de la red de servicio y pueden minimizar puntos nicos de error en la red de servicio mediante el uso de conexiones redundantes y el protocolo de arbol de expansion 4 2 1 Modelos de conmutadores gestionados admitidos Oracle prueba recomienda y proporciona orientaci n para la configuraci n de lo siguiente 26 Conmutadores gestionados e Conmutador 3COM 4500G de 24 puertos 3CR17761 91 e Extreme Networks Summit X150 24t e Brocade ICX 6430 4 2 2 Agregacion de puertos de servicio del dispositivo de gestion de claves Puede agregar interfaces Ethernet fisicas en una unica interfaz virtual Al agregar estos puertos se ofrece disponibilidad adicional si se produce un fallo en alguno de los puertos el otro puerto mantiene la conectividad Asegurese de que los puertos del conmutador Ethernet est n configurados correctamente Los puertos del conm
43. to cifrado si esta disponible la clave correcta Escribir en LTO 4 desde BOT Correcto cifrado si esta disponible la clave correcta LTO 4 agregar escritura a datos cifrados Correcto cifrado si esta disponible la clave correcta LTO 5 agregar escritura a datos no cifrados ir hasta EOD y escribir HP correcto cifrado si esta disponible la clave correcta IBM error No se permite la combinaci n de datos cifrados y no cifrados en una sola cinta LTO 5 agregar escritura a datos no cifrados leer hasta EOD y escribir LTO 5 agregar escritura a datos cifrados ir hasta EOD y escribir HP correcto cifrado si esta disponible la clave correcta IBM error No se permite la combinaci n de datos cifrados y no cifrados en una sola cinta Correcto cifrado si esta disponible la clave correcta LTO 5 agregar escritura a datos cifrados leer hasta EOD y escribir HP correcto cifrado si esta disponible la clave correcta IBM correcto cifrado si esta disponible la clave correcta pero con clave de lectura anterior LTO 4 agregar escritura a datos no cifrados ir hasta EOD y escribir HP correcto cifrado si esta disponible la clave correcta IBM error No se permite la combinaci n de datos cifrados y no cifrados en una sola cinta LTO 4 agregar escritura a datos no cifrados leer hasta EOD y escribir HP correcto cifrado si esta disponible la clave correcta IBM erro
44. tucho Consola remota de cinta 1No todas las aplicaciones usan IPv6 por ejemplo DNS Por lo tanto atin se requiere IPv4 Capitulo 4 Redes de OKM 25 Conmutadores gestionados 4 1 1 Red de gestion Esta red de gesti n conecta el dispositivo de gesti n de claves a la GUI de OKM y a otros dispositivos de gestion de claves del cluster para una replicaci n entre pares La red de gestion puede ser local remota o una combinaci n de ambas Se espera que los clientes proporcionen la red de gestion Use una conexi n Gigabit Ethernet para una replicaci n y un rendimiento ptimos Para una mayor seguridad y para aislar el trafico LAN puede utilizar redes de area local virtuales VLAN para conectarse a la red de gesti n 4 1 2 Red de servicio La red de servicio conecta los dispositivos de gesti n de claves a los agentes Aisla las recuperaciones de claves de otro trafico de red De manera opcional se pueden agregar interfaces de red de servicio del dispositivo de gestion de claves consulte Secci n 4 2 2 Agregaci n de puertos de servicio del dispositivo de gestion de claves 4 1 3 Procesador de servicio La conexi n del procesador de servicio permite acceder a Integrated Lights Out Manager ILOM en servidores Netra SPARC T4 1 0 a Embedded Lights Out Manager ELOM en servidores Sun Fire El representante de soporte de Oracle accede a ILOM ELOM para la configuraci n inicial del dispositivo de ges
45. ue cumplen con FIPS occcccnnnnnconacnnoncnnnnnnnononcnnnccnnnnnnanonoss 31 5 3 Comportamiento de cifrado de la unidad de cinta serie T n 32 5 4 Comportamiento de cifrado de unidades LTO ooooooocccccccccnnncononacnnoncconnnananononos 32 5 5 Preparaci n de unidades de cinta para Cifrado cooccccnnnnonoccconcnnnnnnnanonancnnnannnn 36 5 6 Requisitos de firmware c csessseseeseseseseseseseseseseseseseseseseseseseseseseseseeesees 37 5 7 Requisitos del panel de operador virtual scccccceceseesesseeeeceeeceeeentaaeeeeees 39 6 Realizaci n de pedidos s viii ii ait when eines 41 6 1 Servidor del dispositivo de gesti n de claves oooooooccccccnococonococonocnnncannnancnnnonnos 41 6 2 Kit de accesorios del conmutador cooooonococoncccnnnonononnnnnonccnnncnnononcnnncnncnonannononnnss 41 Bod Gables Ethernet snti at 41 6 4 Cables de alimentaci n iiO AID DEA DS TLD DADO DES LAIAS DAS 41 Lista de figuras 3 1 3 2 3 3 3 4 3 5 4 1 4 2 4 3 Configuraci n de sitio NICO 00 eeeeeeesesseeeeeceeeceseensauccececececeeeesnaaeeeeeeeeeseeneaneass 21 Configuraci n de dos sitios cesecccccececeesesseeececececeseessaaceeceeeceseesencaeeeeeeeseeeeaaeas 22 Configuraci n de recuperaci n ante desastres uuscscenessssssssnnnnnnnnnnesnennennnnne nenne 22 Ejemplo de base de datos 22222220000nnsenennesnennnonnennonennsonsonnonneneonnensonnoononnesen
46. un dispositivo de gesti n de claves actualiza la informaci n del cluster con el nuevo estado 2 5 1 2 Equilibrio de carga Durante operaciones normales de la unidad de cinta la unidad usa la tabla local de informaci n del cluster para seleccionar un dispositivo de gesti n de claves para la recuperaci n de claves Las unidades usan un algoritmo para seleccionar un dispositivo de gesti n de claves del mismo sitio que la unidad Si todos los dispositivos de gesti n de claves dentro de un sitio est n bloqueados o no responden la unidad de cinta intenta acceder a un dispositivo de gesti n de claves de otro sitio Si no se puede acceder a los dispositivos de gesti n de claves de otros sitios se producir el timeout del intento de recuperaci n de claves y se realizar un failover forzado 2 5 1 3 Failover La capacidad de las unidades de cinta de realizar un failover a sitios remotos puede mejorar la confiabilidad y la disponibilidad de la unidad cuando los dispositivos de gesti n de claves locales no funcionan o tardan en responder como en situaciones de timeout causadas por cargas de trabajo intensas Cuando una unidad de cinta no puede comunicarse con ninguno de los dispositivos de gesti n de claves de un cluster la unidad usa un algoritmo para seleccionar un dispositivo de gesti n de claves para un intento de failover Al realizar la selecci n la informaci n de la unidad sobre el estado del cluster se utiliza nuevamente
47. utador deben estar configurados para negociar autom ticamente el modo de duplex completo y la velocidad en gigabits Para obtener instrucciones de configuraci n y agregaci n de puertos de servicio el representante de soporte de Oracle puede consultar el Manual de instalaci n y servicio de OKM solo para uso interno 4 2 3 Creacion de reflejos de puertos Puede crear reflejos de puertos para usar un analizador de red en la red de servicio Los puertos se pueden reflejar en conmutadores Brocade ICX 6430 Para obtener instrucciones de configuraci n el representante de soporte de Oracle puede consultar el Manual de instalaci n y servicio de OKM solo para uso interno 4 2 4 Ejemplo de configuraci n de conmutadores gestionados En la Figura 4 2 Configuraci n de conmutadores gestionados e Si alguno de los dispositivos de gesti n de claves o de los conmutadores gestionados falla las unidades a n tendr n una ruta de comunicaci n al otro dispositivo de gesti n de claves e Los conmutadores gestionados est n conectados a conmutadores no gestionados que contienen rutas redundantes que requieren una configuraci n de rbol de expansi n Los conmutadores gestionados deben admitir el rbol de expansi n siempre que el cableado incluya redundancia e Las interfaces de red de servicio se agregan en una nica interfaz virtual consulte Secci n 4 2 2 Agregaci n de puertos de servicio del dispositivo de gesti n de clave
Download Pdf Manuals
Related Search