Ya está disponible Oracle Key Vault 18.2

Ya está disponible para su descarga, instalación o actualización la versión 18.2 de Oracle Key Vault. OKV, como es denominado comúnmente, es una plataforma para la gestión de claves  de manera robusta, segura y totalmente compatible con los estándares del mercado. Permite almacenar, administrar y compartir de manera simple  “objetos de seguridad” tales como: claves de encriptación, Oracle Wallets,  Java Key Store(JKS), Java Cryptography Extension KeyStore (JCEKS) y credentialstores. Esto convierte a OKV en una excelente opción para centralizar las claves de seguridad de manera robusta en un ambiente principalmente nutrido de productos del Oracle Stack.

Desde el punto del DBA, sin lugar a dudas, es un producto que facilita muchísimo la gestión centralizada a nivel “corporativo” de las claves utilizadas por las bases de datos Oracle (también MySQL) tanto en ambientes on-premises como híbridos.  Según mi opinión, esto hace buenos aportes tanto al mundo de la administración (DBA) como al de la seguridad corporativa y gestión de riesgos.

Con la versión previa de Oracle Key Vault (18.1) se introdujo además una arquitectura de cluster “multimaster” que permite que distintos nodos geográficamente distribuidos brinden servicio, lo cual mejora notablemente la disponibilidad de las “claves”.

Con este nuevo release (18.2) se incorporan mejoras en la administración y seguridad del producto así como también una implementación más sencilla.

Dentro de estas mejoras y nuevas funcionalidades podemos encontrar:

1.) Rotación del certificado para el servidor OKV

OKV 18.2 introduce la capacidad de poder rotar los certificados del servidor OKV sin ningún tipo de “downtime” ni  intervención del lado de la base de datos, eliminando así la necesidad de actualizar los certificados de forma manual y volver a tener que enrolar  todos los “endpoints”.

2.) Auto-expiring Persistent Cache

Además de reducir la carga en el clúster de OKV, la opción de memoria cache persistente, proporciona acceso a las claves incluso si ocurriesen fallas en la red. El caché persistente en OKV 18.2 ahora está protegido por una contraseña generada automáticamente, limitando cualquier uso fuera de la base de datos que actualmente está en ejecución. Luego de reiniciar la base de datos, se re-crea automáticamente un nuevo caché, protegido por una nueva password aleatoria.

3.) Despliegue más seguro de los clientes OKV

Después de desplegar un cliente OKV, los instaladores se eliminan automáticamente para impedir un uso no autorizado de los mismos.

En definitiva, OKV 18.2 continúa en la línea de proponer una solución de lo más sólida, escalable, segura y que además resuelve muchos de los issues que se presentan en la administración de claves para bases de datos Oracle que utilizan Transparent Data Encryption (TDE). Desde luego es una buena alternativa a tener en cuenta en el diseño de arquitecturas de seguridad de bases de datos, ya que además puede ser utilizado en ambientes heterogéneos ya que incorporan otro tipos de productos.

Como siempre (y principalmente en productos relacionados con la seguridad) sugiero a quienes ya tiene implementado el software, probar y actualizar a la última versión lo más rápido posible.

Para profundizar con más detalle las novedades de la nueva versión.

https://docs.oracle.com/en/database/oracle/key-vault/18.2/okvrn/index.html

Descargar OKV 18.2 desde Oracle Software Delivery Cloud para instalaciones nuevas, o aplicar el parche 30675657 para actualizar los servidores OKV 12.2 o 18.1 ya productivos a la última versión.