Configuración de Optim High Performance para entornos de Db2 cifrados
Este capítulo describe los parámetros que pueden ser necesarios para configurar Optim™ High Performance Unload para entornos encriptados Db2®.
- los que se basan en el uso de un archivo de almacén de claves local para el almacenamiento de la clave de cifrado,
- los configurados de tal modo que la clave de cifrado está almacenada en un almacén de claves centralizado en un servidor KMIP,
- los configurados de tal modo que la clave de cifrado está almacenada en un almacén de claves de PKCS#11 gestionado por un material de HSM.
Configuración de almacén de claves
Cuando se ejecuta Optim High Performance Unload contra un entorno de cifrado de Db2, necesita determinar la configuración del almacén de claves asociado, para poder acceder a las claves de cifrado necesarias para descargar datos de este entorno en modo nativo.
Si Optim High Performance Unload se ejecuta contra una base de datos activa, determina la configuración del almacén de claves a partir del propio gestor de bases de datos de Db2, a través de la configuración de sus parámetros llamados KEYSTORE_TYPE y KEYSTORE_LOCATION.
Si Optim High Performance Unload se ejecuta contra una copia de seguridad en modo no autónomo, la configuración del almacén de claves se determina a partir del contenido de la copia de seguridad, en el que se encuentra esta información correspondiente al momento en que se ha realizado la copia de seguridad.
Si Optim High Performance Unload se ejecuta contra una copia de seguridad en modo independiente, la configuración del almacén de claves se determina a partir del archivo de configuración del almacén de claves ( db2hpu.cfg ), en el que se debe configurar el tipo y la ubicación del almacén de claves, mediante el ajuste de los parámetros llamados " keystore_type " y " keystore_file ", respectivamente.
Como resultado, en todos los casos, Optim High Performance Unload puede beneficiarse de la configuración exacta ya realizada a nivel de Db2 en relación con el almacén de claves que se utilizará para el soporte de cifrado nativo.
Uso de OpenSSL
En algunas condiciones, debe instalarse un paquete OpenSSL 64 bits en el equipo en el que se ejecuta Optim High Performance Unload se ejecuta.
El componente criptográfico OpenSSL se utiliza de forma predeterminada para el descifrado de datos y el hash de datos. El interés de utilizar este componente para esta característica reside en que los niveles lo suficientemente recientes pueden reconocer y optimizar la aceleración de hardware de CPU incorporada siempre que sea posible. En consecuencia, ofrece un rendimiento mucho mejor y mucho menos consumo de recursos al ejecutar el producto en un entorno Db2 cifrado. Si la versión de OpenSSL aplicada no cuenta con esta capacidad, se debe actualizar a un nivel que sí la tenga. Se puede inhabilitar el uso de OpenSSL para el descifrado de datos y el hash de datos estableciendo el parámetro openssl_crypto_usage en 'no' en el archivo de configuración db2hpu.cfg. Se recomienda hacerlo si no se puede actualizar OpenSSL a un nivel adecuado: la razón es que los niveles de OpenSSL que no admiten la aceleración de hardware de la CPU incorporada tienen un mal rendimiento para el descifrado de datos, en comparación con la función de cifrado implementada en Optim High Performance Unload sí mismo.
El componente OpenSSL SSL/TLS se utiliza para conectarse a un servidor KMIP al ejecutar el producto en un entorno de cifrado que gestiona un almacén de claves centralizado. Para obtener una clave de cifrado desde un almacén de claves centralizado gestionado por un servidor KMIP, se debe establecer una conexión SSL segura con este servidor para las comunicaciones de red subyacentes. En Optim High Performance Unload, la implementación del protocolo SSL se basa en el uso de OpenSSL. Por lo tanto, para poder utilizar Optim High Performance Unload en un entorno Db2 cifrado y configurado con un almacén de claves centralizado, es imprescindible tener instalado OpenSSL en el equipo en cuestión para que funcione correctamente.
Cuando se necesita OpenSSL para el Optim High Performance Unload uso, sus bibliotecas asociadas deben estar ubicadas en uno de los directorios del sistema, para Optim High Performance Unload encontrarlas correctamente cuando sea necesario.
El uso de OpenSSL se basa en dos bibliotecas que forman parte de la misma: la biblioteca ssl y la biblioteca criptográfica. En plataformas AIX , se busca en estas bibliotecas utilizando los nombres libssl.a y libcrypto.a respectivamente. En plataformas Linux y Windows, estas bibliotecas pueden tener nombres diferentes, según el nivel de OpenSSL aplicado. En estas plataformas, Optim High Performance Unload reconoce internamente una lista de nombres para estas bibliotecas, y su búsqueda se intenta con todos estos nombres. Sin embargo, la búsqueda puede fallar igualmente si las bibliotecas están instaladas mediante archivos que tienen nombres que no están en estas listas. En tal caso, se pueden configurar los nombres de archivo adecuados para su máquina en el archivo de configuración db2hpu.cfg , estableciéndolos con los parámetros denominados openssl_api_ssl y openssl_api_crypto.