Upload
buiphuc
View
238
Download
5
Embed Size (px)
Citation preview
Technical White paper - SAP環境における表領域暗号化実装手順
Copyright © 2011, FUJITSU LIMITED. All Rights Reserved
Copyright © 2011, Oracle. All Rights Reserved
2011/09/01
富士通株式会社 富士通-SAP コンピテンスセンター 河原 哲也 [email protected]
日本オラクル株式会社 岩崎 護 [email protected]
Technical White paper SAP環境における表領域暗号化実装手順
Oracle 11g R2 Advanced Security Transparent Data Encryptionの使用
コンテンツ
はじめに
1. 前提条件
2. 実装手順
3. 性能検証
Appendix
Technical White paper - SAP環境における表領域暗号化実装手順
Page 2 of 20 Copyright © 2011, FUJITSU LIMITED. All Rights Reserved
Copyright © 2011, Oracle. All Rights Reserved
はじめに 昨今、個人情報漏えいや内部統制などにおける対策のひとつとして、データベース・セキュリティーにおける格納データの暗号化要件が高まっています。格納データを暗号化することで、データファイルやバックアップメディアが盗まれた場合でも、情報が漏えいする可能性が低くなります。 これらの課題を解決する、Oracle Databaseの Transparent Data Encryption(透過的なデータ暗号化。以降、TDE)機能は、アプリケーションを修正する必要なく、従来通りにシームレスな運用が可能です。また、データはディスクに書き込まれる際に自動的に暗号化され、アプリケーションで読み取る際に自動的に復号されます。鍵管理機能により、暗号化鍵の作成・管理・保護といった複雑な作業も必要ありません。 本資料では、SAP on Oracle Database 11g R2における TDEの実装手順および性能への影響について実機検証の結果に基づいて解説します。TDEについての一般的な機能紹介や技術情報などはオラクル社ホームページなどでご確認ください。なお、TDEには、Oracle 10g R2以降で実装されている列暗号化と 11g R1から実装された表領域暗号化がありますが、本資料では特に、暗号化ハードウェア・アクセラレーション*1により性能への影響の少ない表領域暗号化について記載しています。 *1 AES-NI機能搭載のインテル・サーバーにインストールすることで、ハードウェア・アクセラレーション機能のない CPU と比べて、暗号化のデータ・スループットは最大で 10倍、復号のデータ・スループットは最大で 8倍(出典:http://download.intel.com/jp/business/japan/pdf/323587-001JA.pdf ホワイトペーパー インテル AES-NIを使用した記号のセキュリティー保護 )
Technical White paper - SAP環境における表領域暗号化実装手順
Page 3 of 20 Copyright © 2011, FUJITSU LIMITED. All Rights Reserved
Copyright © 2011, Oracle. All Rights Reserved
この文書はあくまで参考資料であり、 掲載されている情報は予告なしに変更されることがあります。 万一、誤植などにお気づきの場合は、富士通株式会社と日本オラクル株式会社までお知らせください。 富士通株式会社と日本オラクル株式会社は本書の内容に関していかなる保証もしません。 また、本書の内容に関連したいかなる損害についても責任を負いかねます。 本書に掲載された全ての製品名、サービス名、商号およびロゴは各社のそれぞれの商標またはサービスマークです。商標、サービスマークには、必ずしも商標表示(™、®)を付記しておりません。 •SAP、R/3、SAP NetWeaver、Duet、PartnerEdge、ByDesign、SAP BusinessObjects Explorer、StreamWork、および本サイトに記載されたその他の SAP 製品、サービス、ならびにそれぞれのロゴは、ドイツおよびその他の国々における SAP AG の商標または登録商標です。 •Oracleは米国 Oracle Corporation の登録商標です。 •その他名称については、各社の登録商標または商標です。
Technical White paper - SAP環境における表領域暗号化実装手順
Page 4 of 20 Copyright © 2011, FUJITSU LIMITED. All Rights Reserved
Copyright © 2011, Oracle. All Rights Reserved
目次
はじめに 2
目次 4
1. 前提条件 5
1.1 Oracle Databaseのバージョン .................................................................................................................................... 5
1.2 初期化パラメータ ....................................................................................................................................................... 5
1.3 Oracle Advanced Security ............................................................................................................................................ 5
1.4 BR*Toolsのバージョン ................................................................................................................................................ 5
1.5 SAP Kernel リリース .................................................................................................................................................... 5
2. 実装手順 6
2.1 Encryption Wallet の作成 .......................................................................................................................................... 6
2.1.1 Walletの格納先の確認 ........................................................................................................................................... 6
2.1.2 Oracle Net 構成ファイルの修正 .............................................................................................................................. 6
2.1.3 Walletの格納先の再確認 ....................................................................................................................................... 6
2.1.4 マスター鍵の作成 ................................................................................................................................................... 7
2.1.5 Encryption Wallet のアクセス権限変更 ................................................................................................................... 7
2.1.6 Encryption Walletステータスの確認 ........................................................................................................................ 8
2.1.7 Encryption Walletのバックアップ ............................................................................................................................. 8
2.1.8 Auto-Open Walletの設定 ........................................................................................................................................ 8
2.2 暗号化された新規表領域の作成............................................................................................................................... 9
2.3 既存表領域に属するテーブルを新規表領域へ移動(テーブル再編成) ................................................................... 12
2.4 既存表領域を削除し、新規表領域を既存表領域名にリネーム................................................................................ 14
2.5 統計情報の更新 ...................................................................................................................................................... 16
2.6 最終確認 ................................................................................................................................................................. 16
3. 性能検証 17
3.1 検証方法 ................................................................................................................................................................. 17
3.2 検証結果 ................................................................................................................................................................. 18
Appendix 19
Technical White paper - SAP環境における表領域暗号化実装手順
Page 5 of 20 Copyright © 2011, FUJITSU LIMITED. All Rights Reserved
Copyright © 2011, Oracle. All Rights Reserved
1. 前提条件 表領域暗号化は SAP NetWeaverの ABAPスタックと Javaスタックにおけるすべての SAPアプリケーションデータを暗号化することができます。 表領域暗号化を使用するための前提条件として以下を満たしていることを確認してください。
1.1 Oracle Databaseのバージョン
Oracle Database 11.2.0.1 以降である必要があります。 AES-NIを使うためには Oracle Database 11.2.0.2にパッチ番号 10080579 - HW ACCELERATED ENCRYPTION NEEDS TO BE ENABLE BY DEFAULT が適用されている必要があります。
1.2 初期化パラメータ
COMPATIBLE=”11.2.0” が設定されている必要があります。以下の SQL文を実行して確認してください。
SQL> show parameter compatible;
NAME TYPE VALUE ------------------------------------ ----------- ------------------------------ compatible string 11.2.0
1.3 Oracle Advanced Security
SAP環境の Oracle Databaseライセンス(ASFU)には Oracle Advanced Securityが含まれているので追加費用なしで利用可能です。
1.4 BR*Toolsのバージョン
BR*Toolsは Oracle 11g R2をフルサポートしているリリース 7.20を推奨します。詳細は SAP Note 1430669 - BR*Tools support for Oracle 11gをご確認ください。
1.5 SAP Kernel リリース
Oracle 11g R2をサポートする SAP Kernel 6.40_EX2、7.x 以降に対応した SAPアプリケーションであれば表領域暗号化を利用できます。
Technical White paper - SAP環境における表領域暗号化実装手順
Page 6 of 20 Copyright © 2011, FUJITSU LIMITED. All Rights Reserved
Copyright © 2011, Oracle. All Rights Reserved
2. 実装手順 以下の流れで実装します。
1. Encryption Wallet の作成 2. 暗号化された新規表領域の作成 3. 既存表領域に属するテーブルを新規表領域へ移動(テーブル再編成) 4. 既存表領域を削除し、新規表領域を既存表領域名にリネーム 5. 統計情報の更新
2.1 Encryption Wallet の作成
SAP環境のWalletは以下に作成する必要があります。 クラスタ環境の場合は運用ノードで作成したものを待機ノードへコピーするか、もしくは両ノードで実施してください。 ・Unix/Linux:$ORACLE_HOME/dbs 例:/oracle/<SID>/112_64/dbs ・Windows:%ORACLE_HOME%¥database 例:D:¥oracle¥<SID>¥112_64¥database
2.1.1 Walletの格納先の確認
現在のWalletの格納先を確認します。
SQL> select * from v$encryption_wallet;
WRL_TYPE WRL_PARAMETER STATUS -------------------------------------------------------------------- File /oracle/admin/SID/wallet CLOSED
2.1.2 Oracle Net 構成ファイルの修正
<ORACLE_HOME>/network/admin および<TNS_ADMIN>(/sapmnt/<SID>/profile/oracle など)にある sqlnet.ora を次のように修正します。 ENCRYPTION_WALLET_LOCATION = (SOURCE = (METHOD = FILE)(METHOD_DATA = (DIRECTORY = <wallet_location> ))) <wallet_location>は前述のようにプラットフォームに応じて修正してください。1行で記載することを推奨します。
2.1.3 Walletの格納先の再確認
Walletの格納先が変わったことを確認します。
SQL> select * from v$encryption_wallet;
WRL_TYPE WRL_PARAMETER STATUS ----------------- -------------------------------------- ------------- File /oracle/ <SID>/112_64/dbs CLOSED
Technical White paper - SAP環境における表領域暗号化実装手順
Page 7 of 20 Copyright © 2011, FUJITSU LIMITED. All Rights Reserved
Copyright © 2011, Oracle. All Rights Reserved
2.1.4 マスター鍵の作成
データベースサーバーで ora<sid>ユーザーで次のコマンドを実行してマスター鍵を作成します。 orasid > brspace -f mdencr -a create
------------------------------------------------------------------------------- Options for managing data encryption for database SID 1 * Database wallet file (wallet) .................... [/oracle/SID/112_64/dbs/ewallet.p12] 2 * Database wallet status (status) .................. [NOT_AVAIL] 3 * Number of encrypted tables/columns (tab_col) ..... [0/0] 4 * Number of encrypted tablespaces/tables (tsp_tab) . [0/0] 5 * Manage encryption action (action) ................ [create] 6 # Encrypted tables for re-key (table) .............. [] 7 ? Wallet password (password) ....................... [] 8 # New wallet password (newpass) .................... [] 9 # Encryption algorithm (algorithm) ................. [] 10 # Force re-key action (force) ...................... [no] 11 - SQL command (command) ............................ [alter system set encryption key identified by ""] Standard keys: c - cont, b - back, s - stop, r - refr, h - help -------------------------------------------------------------------------------
7項のWallet passwordを設定して、cを押し実行します。Walletの格納先に Encryption Walletファイル ewallet.p12が作成されることを確認してください。Wallet passwordはセキュリティー上から SYSや SYSTEMなどの DBAユーザーのパスワードと異なる強固なものを設定します。
2.1.5 Encryption Wallet のアクセス権限変更
セキュリティーの観点から以下のコマンドを実行し Encryption Walletのアクセス権限を変更します。
orasid > cd /oracle/<SID>/112_64/dbs orasid > chmod 600 ewallet.p12
Technical White paper - SAP環境における表領域暗号化実装手順
Page 8 of 20 Copyright © 2011, FUJITSU LIMITED. All Rights Reserved
Copyright © 2011, Oracle. All Rights Reserved
2.1.6 Encryption Walletステータスの確認
次のコマンドで Encryption Walletのステータスが OPENになっていることを確認します。
orasid > brspace -f mdencr -a show
------------------------------------------------------------------------------- Options for managing data encryption for database SID 1 * Database wallet file (wallet) .................... [/oracle/SID/112_64/dbs/ewallet.p12] 2 * Database wallet status (status) .................. [OPEN] 3 * Number of encrypted tables/columns (tab_col) ..... [0/0] 4 * Number of encrypted tablespaces/tables (tsp_tab) . [0/0] 5 * Manage encryption action (action) ................ [show] 6 # Encrypted tables for re-key (table) .............. [] 7 # Wallet password (password) ....................... [] 8 # New wallet password (newpass) .................... [] 9 # Encryption algorithm (algorithm) ................. []
10 # Force re-key action (force) ...................... [no] 11 # SQL command (command) ............................ []
Standard keys: c - cont, b - back, s - stop, r - refr, h - help
-------------------------------------------------------------------------------
2.1.7 Encryption Walletのバックアップ
次のコマンドで Encryption Walletのバックアップが取得できます。
orasid > brspace -f mdencr -a save Walletの格納先に ewallet.cpyとしてコピーが、/oracle/<SID>/sapwallet配下にディレクトリが作られその中に ewallet.sveとしてバックアップが作成されます。
2.1.8 Auto-Open Walletの設定
orapkiコマンドで Auto-Open Encryption Walletを作成します。ローカルの Auto-Open Wallet(別のサーバーに移動できない)を作成する場合は下段のコマンドで作成してください。 orasid > orapki wallet create -wallet <wallet_location> -auto_login -pwd <wallet_password> orasid > orapki wallet create -wallet <wallet_location> -auto_login_local -pwd <wallet_password> Walletの格納先に cwallet.ssoが作られていることを確認します。
Technical White paper - SAP環境における表領域暗号化実装手順
Page 9 of 20 Copyright © 2011, FUJITSU LIMITED. All Rights Reserved
Copyright © 2011, Oracle. All Rights Reserved
2.2 暗号化された新規表領域の作成
以下のコマンドで既存表領域内のテーブルを移行するための暗号化された表領域を作成します。 暗号化対象はユーザーデータが格納される以下の表領域を検討してください。 ・PSAPSR3:SAP標準テーブル ・PSAPSR3<REL>:リリース依存の SAP標準テーブル ・PSAPSR3USR:Zから始まるユーザーアドオンテーブル ・PSAPTEMP:一時表領域(必要に応じて) 新規表領域名は分かりやすい名前にします。 例えば、PSAPSR3TDE、PSAPSR3702TDE、PSAPSR3USRTDEなど。
orasid > brspace -u / -f tscreate -t <新規表領域名> -d both -l <既存表領域名> -encryption yes
------------------------------------------------------------------------------- Main options for creation of tablespace in database SID 1 - Tablespace name (tablespace) ......... [PSAPSR3TDE] 2 - Tablespace contents (contents) ....... [data] 3 - Segment space management (space) ..... [auto] 4 - Database owner of tablespace (owner) . [SAPSR3] 5 - Table data class / tabart (class) .... [PSAPSR3] 6 - Data type in tablespace (data) ....... [both] 7 # Joined index/table tablespace (join) . [] 8 ~ Uniform size in MB (uniform) ......... [] 9 - Tablespace compression (compress) .... [no] 10 - Tablespace encryption (encrypt) ...... [yes] 11 ~ Encryption algorithm (algorithm) ..... [] Standard keys: c - cont, b - back, s - stop, r - refr, h - help
------------------------------------------------------------------------------
10項が yesになっていることを確認します。 暗号化アルゴリズムを変更する場合は 11項を入力します。3DES168、AES128、AES192、AES256から選択できます。デフォルトは AES128です。 圧縮をかける場合は 9項を yesに設定します。すべての入力事項を確認したら cを押して先へ進みます。
Technical White paper - SAP環境における表領域暗号化実装手順
Page 10 of 20 Copyright © 2011, FUJITSU LIMITED. All Rights Reserved
Copyright © 2011, Oracle. All Rights Reserved
-------------------------------------------------------------------------------
Space options for creation of tablespace PSAPSR3TDE (1. file) 1 - Tablespace file name (file) .......... [/oracle/SID/sapdata4/sr3tde_1/sr3tde.data1] 2 ~ Raw disk / link target (rawlink) ..... [] 3 - File size in MB (size) ............... [30] 4 - File autoextend mode (autoextend) .... [yes] 5 - Maximum file size in MB (maxsize) .... [10000] 6 - File increment size in MB (incrsize) . [20] 7 - SQL command (command) ................ [create tablespace PSAPSR3TDE extent management local autoallocate segment space management auto encryption using 'AES128' default compress for oltp storage (encrypt) datafile '/oracle/SID/sapdata4/sr3tde_1/sr3tde.data1' size 30M autoextend on next 20M maxsize 10000M] Standard keys: c - cont, b - back, s - stop, r - refr, h - help
------------------------------------------------------------------------------- 1項でデータファイルの格納先、3項でデータサイズ、5項の最大ファイルサイズなど必要事項を修正して、c を押し先へ進みます。データファイルを複数作る場合は途中の選択肢で y を押しこの作業を繰り返してください。データサイズの合計が既存表領域のデータ容量を満たすように注意してください。すべてのデータファイルの設定が済んだら c を押し暗号化された表領域を作成します。 本作業を必要な表領域分繰り返してください。
Technical White paper - SAP環境における表領域暗号化実装手順
Page 11 of 20 Copyright © 2011, FUJITSU LIMITED. All Rights Reserved
Copyright © 2011, Oracle. All Rights Reserved
参考までに、brspaceの show tablespacesで表示した結果から抜粋したものを載せておきます。Encr列が指定した暗号化アルゴリズムになっていることを確認します。
-------------------------------------------------------------------------------
List of database tablespaces
Pos. Tablespace Type Status ExtMan. SegMan. Backup Files/AuExt. Compr. Encr.
Total[KB] Used[%] Free[KB] MaxSize[KB] ExtSize[KB] FreeExt. Largest[KB]
1 - PSAPSR3 DATA ONLINE LOCAL AUTO NO 16/16 OLTP NO
32768000 91.25 2865984 163840000 8294400 5 8192000+:935936:757760:661504:501568
2 - PSAPSR3702 DATA ONLINE LOCAL AUTO NO 14/14 OLTP NO
47861760 95.12 2336512 143360000 7864320 14 7454720+:409600+:403456:322560:256000
3 - PSAPSR3702TDE DATA ONLINE LOCAL AUTO NO 3/3 OLTP AES128
56623104 0.01 56620032 100660224 8294400 15 8294400+:4063232:4063232:4063232:4063232
4 - PSAPSR3TDE DATA ONLINE LOCAL AUTO NO 2/2 OLTP AES128
41943040 0.00 41940992 67106816 7864320 12 7864320+:4063232:4063232:4063232:4063232
5 - PSAPSR3USR DATA ONLINE LOCAL AUTO NO 1/1 OLTP NO
30720 4.17 29440 10240000 10209280 1 10209280+:29440:0:0:0
6 - PSAPSR3USRTDE DATA ONLINE LOCAL AUTO NO 1/1 OLTP AES128
1048576 0.10 1047552 33553408 32504832 1 32504832+:1047552:0:0:0
7 - PSAPTEMP TEMP ONLINE LOCAL MANUAL NO 1/1 NO NO
1433600 0.00 1433600 10240000 8806400 0 8806400+:0:0:0:0
8 - PSAPUNDO UNDO ONLINE LOCAL MANUAL NO 1/1 NO NO
8785920 0.01 8784896 10240000 1454080 87 4063232:2020352:1454080+:658432:283072
9 - SYSAUX DATA ONLINE LOCAL AUTO NO 1/1 NO NO
430080 94.46 23808 10240000 9809920 17 9809920+:21504:384:384:256
10 - SYSTEM DATA ONLINE LOCAL MANUAL NO 1/1 NO NO
1013760 98.54 14848 10240000 9226240 2 9226240+:14336:512:0:0
Standard keys: c - cont, b - back, s - stop, r - refr, h - help
-------------------------------------------------------------------------------
Technical White paper - SAP環境における表領域暗号化実装手順
Page 12 of 20 Copyright © 2011, FUJITSU LIMITED. All Rights Reserved
Copyright © 2011, Oracle. All Rights Reserved
2.3 既存表領域に属するテーブルを新規表領域へ移動(テーブル再編成)
テーブル再編成で既存表領域から暗号化された新規表領域へ暗号化対象のテーブルを移動します。 テーブル再編成については SAP Note 646681 - Reorganizing tables with BRSPACEを確認してください。 本資料では、一例として ERP 6.0 EHP5の環境で実施した内容を記載します。 以下のコマンドでオンライン再編成を実行します。
orasid > brspace -u / -f tbreorg -s <既存表領域名> -t “*” -n <新規表領域名> -p <並列数>
------------------------------------------------------------------------------- Options for reorganization of tables: SAPSR3./1CN/CPASAP00001,... (77258 tables) 1 * Reorganization action (action) ............ [reorg] 2 - Table reorganization mode (mode) .......... [online] 3 - Create DDL statements (ddl) ............... [yes] 4 ~ New destination tablespace (newts) ........ [PSAPSR3TDE] 5 ~ Separate index tablespace (indts) ......... [] 6 - Parallel threads (parallel) ............... [4] 7 ~ Table/index parallel degree (degree) ...... [] 8 ~ Category of initial extent size (initial) . [] 9 ~ Sort by fields of index (sortind) ......... [] 10 # Index for IOT conversion (iotind) ......... [FIRST] 11 - Compression action (compress) ............. [none] 12 # LOB compression degree (lobcompr) ......... [medium] Standard keys: c - cont, b - back, s - stop, r - refr, h - help -------------------------------------------------------------------------------
圧縮をしている場合、BR1904W Uncompressed table partitions will be moved into a compressed tablespace PSAPSR3TDE unless you change the 'compress' option to 'ctablob|ctablob_only' もしくは BR1904W Uncompressed table partitions will be moved into a compressed tablespace PSAPSR3TDE unless you change the 'compress' option to 'ctab|ctab_only' と指示されるので 11 項に ctablob もしくは ctab を入力し、c を押してテーブルのオンライン再編成を実行します。 オンライン再編成を実行するには、LONG フィールドがある場合は以下のコマンドであらかじめ LOB フィールドに変換しておく必要があります。今回はテーブル PLAN_TABLEが該当していたため実施しています。
orasid > brspace -u / -f tbreorg -a long2lob -t "*"
Technical White paper - SAP環境における表領域暗号化実装手順
Page 13 of 20 Copyright © 2011, FUJITSU LIMITED. All Rights Reserved
Copyright © 2011, Oracle. All Rights Reserved
また、一部のテーブルについてはオンライン再編成で skip(例えば以下のように 255以上の列を持つテーブルなど)されるもの、もしくは失敗するものがあります。
BR1962W Table SAPSR3.RSEUMOD has more than 255 columns BR1111I Reorganization of table SAPSR3.RSEUMOD will be skipped
その場合は、再度以下のコマンドを実行し、2項を offlineに修正し、オフライン再編成(alter table move)を実行します。なお、オフライン再編成は SAPを止めておく必要があるので注意してください。
orasid > brspace -u / -f tbreorg -s <既存表領域名> -t “*” -n <新規表領域名> -p <並列数> -------------------------------------------------------------------------------
Options for reorganization of tables: SAPSR3.CVERS,... (57 tables) 1 * Reorganization action (action) ............ [reorg] 2 - Table reorganization mode (mode) .......... [offline] 3 # Create DDL statements (ddl) ............... [yes] 4 ~ New destination tablespace (newts) ........ [PSAPSR3TDE] 5 ~ Separate index tablespace (indts) ......... [] 6 - Parallel threads (parallel) ............... [4] 7 ~ Table/index parallel degree (degree) ...... [] 8 ~ Category of initial extent size (initial) . [] 9 # Sort by fields of index (sortind) ......... [] 10 # Index for IOT conversion (iotind) ......... [FIRST] 11 - Compression action (compress) ............. [ctab] 12 # LOB compression degree (lobcompr) ......... [medium] Standard keys: c - cont, b - back, s - stop, r - refr, h - help
------------------------------------------------------------------------------- テーブル再編成が終わったら以下のコマンドを実行し、BR1046W No objects found for showingが表示され既存表領域にすべてテーブルがなくなった(新規表領域にすべて移動した)ことを確認します。
orasid > brspace -p initSID.sap –s 20 -l E -f dbshow -c tbinfo -s <既存表領域名> 本作業を必要な表領域分繰り返してください。
Technical White paper - SAP環境における表領域暗号化実装手順
Page 14 of 20 Copyright © 2011, FUJITSU LIMITED. All Rights Reserved
Copyright © 2011, Oracle. All Rights Reserved
2.4 既存表領域を削除し、新規表領域を既存表領域名にリネーム
以下のコマンドを実行して既存表領域を削除します。
orasid > brspace -u / -f tsdrop -t <既存表領域名>
------------------------------------------------------------------------------- Options for dropping of tablespace PSAPSR3 1 * Number of files in tablespace (files) . [16] 2 * Total tablespace size in MB (size) .... [32000] 3 - Force tablespace drop (force) ......... [no] 4 - SQL command (command) ................. [drop tablespace PSAPSR3] Standard keys: c - cont, b - back, s - stop, r - refr, h - help
------------------------------------------------------------------------------- なお、テーブルスペース PSAPSR3USR は SAPSR3 ユーザーのデフォルト表領域になっているため、削除する前に以下のSQL文でデフォルト表領域を新規表領域に変更しておきます。
SQL> alter user SAPSR3 default tablespace PSAPSR3USRTDE;
DBAユーザーのデフォルト表領域は以下で確認できます。
SQL> select username,default_tablespace from dba_users;
Technical White paper - SAP環境における表領域暗号化実装手順
Page 15 of 20 Copyright © 2011, FUJITSU LIMITED. All Rights Reserved
Copyright © 2011, Oracle. All Rights Reserved
以下のコマンドを実行して新規表領域を既存表領域名にリネームし、テーブルスペース構造を暗号化実装前と同じにし
ます。
orasid > brspace -u / -f tsalter -a rename -t <新規表領域名> -n <既存表領域名>
------------------------------------------------------------------------------- Options for alter of tablespace PSAPSR3TDE 1 * Current tablespace status (status) . [ONLINE] 2 * Current backup status (backup) ..... [NO] 3 * Alter tablespace action (action) ... [rename] 4 # Set offline mode (mode) ............ [normal] 5 - New tablespace name (name) ......... [PSAPSR3] 6 - Force tablespace alter (force) ..... [no] 7 - SQL command (command) .............. [alter tablespace PSAPSR3TDE rename to PSAPSR3] Standard keys: c - cont, b - back, s - stop, r - refr, h - help
------------------------------------------------------------------------------- 表領域名の変更にはテーブルスペースをオフラインにする必要があるため、SAP システムをあらかじめ停止しておくか、6項の Forceオプションを yesに設定して実行します。 また OS上のデータファイルの名称も本手順の中で変更することができます。
BR1096I Database file '/oracle/SID/sapdata3/sr3tde_1/sr3tde.data1' renamed successfully to '/oracle/SID/sapdata3/sr3_1/sr3.data1'
BR1096I Database file '/oracle/SID/sapdata3/sr3tde_2/sr3tde.data2' renamed successfully to '/oracle/SID/sapdata3/sr3_2/sr3.data2'
Technical White paper - SAP環境における表領域暗号化実装手順
Page 16 of 20 Copyright © 2011, FUJITSU LIMITED. All Rights Reserved
Copyright © 2011, Oracle. All Rights Reserved
2.5 統計情報の更新
以下のコマンドを実行して統計情報を更新します。
orasid > brconnect -u / -c -f stats -t <既存表領域名> -f collect -p <並列数> 本作業を必要な表領域分繰り返してください。
2.6 最終確認
brspaceの show tablespacesで設計通りの構造になっているか確認して、問題なければ表領域暗号化作業は完了です。
-------------------------------------------------------------------------------
List of database tablespaces
Pos. Tablespace Type Status ExtMan. SegMan. Backup Files/AuExt. Compr. Encr.
Total[KB] Used[%] Free[KB] MaxSize[KB] ExtSize[KB] FreeExt. Largest[KB]
1 - PSAPSR3 DATA ONLINE LOCAL AUTO NO 2/2 OLTP AES128
41943040 69.92 12615616 67106816 25163776 6 12581888+:12581888+:4063232:4063232:1691648
2 - PSAPSR3702 DATA ONLINE LOCAL AUTO NO 3/3 OLTP AES128
56623104 76.16 13496704 100660224 30832640 7 679040+:14679040+:4063232:3694592:2620416
3 - PSAPSR3USR DATA ONLINE LOCAL AUTO NO 1/1 OLTP AES128
1048576 0.12 1047296 33553408 32504832 1 32504832+:1047296:0:0:0
4 - PSAPTEMP TEMP ONLINE LOCAL MANUAL NO 1/1 NO NO
1433600 0.00 1433600 10240000 8806400 0 8806400+:0:0:0:0
5 - PSAPUNDO UNDO ONLINE LOCAL MANUAL NO 1/1 NO NO
8785920 0.01 8784896 10240000 1454080 462 4063232:3041536:1454080+:658432:283072
6 - SYSAUX DATA ONLINE LOCAL AUTO NO 1/1 NO NO
614400 93.68 38848 10240000 9625600 11 9625600+:35840:768:512:384
7 - SYSTEM DATA ONLINE LOCAL MANUAL NO 1/1 NO NO
1280000 99.44 7168 10240000 8960000 8 8960000+:6144:256:256:256
Standard keys: c - cont, b - back, s - stop, r - refr, h - help
-------------------------------------------------------------------------------
Technical White paper - SAP環境における表領域暗号化実装手順
Page 17 of 20 Copyright © 2011, FUJITSU LIMITED. All Rights Reserved
Copyright © 2011, Oracle. All Rights Reserved
3. 性能検証 オラクル社情報(TDE Best Practices)によると、表領域暗号化による性能への影響は、エンドユーザーから見たレスポンスタイムは 4~8%増加、CPU使用率は 1~5%増加となっています。さらに、Intel Xeon プロセッサー5600番台から搭載されている暗号化ハードウェア・アクセラレーション AES-NI (Advanced Encryption Standard New Instruction)機能を使用した場合、性能への影響をほぼゼロにすることができます。 本資料では、AES-NIなしの以下の環境で表領域暗号化前と表領域暗号化後で同一条件の SAP トランザクションを実施し、処理時間および AWR(Automatic Workload Repository)レポートから表領域暗号化によるデータベースへの性能への影響を比較します。 ・富士通 IAサーバーPRIMERGY RX300 S3 2CPU/4 コア(Intel Xeon プロセッサー 5130(2GHz)、AES-NIなし) 16GB メモリー ・富士通ストレージアレイ ETERNUS 2000 ・SAP ERP 6.0 EHP5 on Red Hat Enterprise Linux/Oracle Database 11.2.0.2
暗号化対象表領域は PSAPSR3、PSAPSR3702、PSAPSR3USR 同表領域は Advanced Compressionにより OLTP表圧縮を実装
3.1 検証方法
ローカルクライアントコピー(Tr-cd:SCCL)を以下の条件で実施します。 ・プロファイル名:SAP_ALL ・ソースクライアント:000 ・ソースクライアントユーザーマスター:000 ・テーブル数:60280 ・削除された行:21 ・コピーする行:6052206
Technical White paper - SAP環境における表領域暗号化実装手順
Page 18 of 20 Copyright © 2011, FUJITSU LIMITED. All Rights Reserved
Copyright © 2011, Oracle. All Rights Reserved
3.2 検証結果
検証結果を以下に示します。 ユーザーから見たレスポンスタイムが 4%増加、CPU使用率が 4%増加で、オラクル社情報とほぼ同結果となっています。 表 1. クライアントコピーの処理時間 [h:mm:ss] 表領域暗号化なし 表領域暗号化あり diff
1回目 2h11m58s 2h16m28s x 1.03
2回目 2h8m19s 2h12m10s x 1.03
3回目 2h5m59s 2h12m22s x 1.05
4回目 2h8m38s 2h13m34s x 1.04
平均 2h8m44s 2h13m39s x 1.04 表 2. CPU使用率 [%] 表領域暗号化なし 表領域暗号化あり diff
1回目 12.92 18.83 + 5.91
2回目 15.84 18.88 + 3.04
3回目 14.61 19.43 + 4.82
4回目 16.83 19.50 + 2.67
平均 15.05 19.16 + 4.11
Technical White paper - SAP環境における表領域暗号化実装手順
Page 19 of 20 Copyright © 2011, FUJITSU LIMITED. All Rights Reserved
Copyright © 2011, Oracle. All Rights Reserved
Appendix SAP Note
740897 - Info about the Oracle license scope; Required Oracle options 974876 - Transparent Data Encryption (TDE) 1279682 - Support for Oracle data encryption in BR*Tools 541538 - FAQ: Reorganization 646681 - Reorganizing tables with BRSPACE
1431798 - Oracle 11.2.0: Database Parameter Settings 1431800 - Oracle 11.2.0: Central Technical Note
Webサイト
Database security: http://www.oracle.com/technetwork/database/security/index.html
TDE FAQ: http://www.oracle.com/technetwork/database/security/tde-faq-093689.html
TDE Best Practices: http://www.oracle.com/technetwork/database/security/twp-transparent-data-encryption-bes-130696.pdf
SAP on Oracle – Security: http://www.sdn.sap.com/irj/sdn/ora?rid=/webcontent/uuid/90b06f0a-b3a4-2910-0c8d-e3f346cd1da6
Technical White paper - SAP環境における表領域暗号化実装手順
Page 20 of 20 Copyright © 2011, FUJITSU LIMITED. All Rights Reserved
Copyright © 2011, Oracle. All Rights Reserved
テクニカル・ホワイトペーパー 2011年 9月 SAP環境における表領域暗号化実装手順 Oracle 11g R2 Advanced Security - Transparent Data Encryptionの使用
富士通株式会社 富士通-SAP コンピテンスセンター 〒105-6125 東京都港区浜松町 2-4-1 世界貿易センタービル Tel: 03-5401-7006 Mail-to: [email protected]
日本オラクル株式会社 Oracle Direct 〒107-0061 東京都港区北青山 2-5-8 オラクル青山センター Tel: 0120-155-096