透過的データ暗号化およびキーストア

Oracle Databaseでは、Oracle RACノードはキーストア(ウォレット)を共有できます。これにより、すべてのノードにわたってキーストアを手動でコピーし同期化する必要がなくなります。共有ファイル・システム上にキーストアを作成することをお薦めします。これにより、すべてのインスタンスが同じ共有キーストアにアクセスできます。

Oracle RACは、次の方法でキーストアを使用します。

任意の1つのOracle RACインスタンスで実行されるキーストアのオープンやクローズなどの任意のキーストア操作は、他のすべてのOracle RACインスタンスに適用されます。つまり、1つのインスタンスでキーストアをオープンおよびクローズすると、すべてのOracle RACインスタンスでキーストアがオープンおよびクローズされます。
共有ファイル・システムを使用する場合は、すべてのOracle RACインスタンスのENCRYPTION_WALLET_LOCATIONパラメータが、必ず同じ共有キーストアの場所を指すようにします。また、セキュリティ管理者は、適切なディレクトリ権限を割り当てることによって、共有キーストアのセキュリティを確保する必要もあります。
注意:
オペレーティング・システムでOracle Automatic Storage Management Cluster File System (Oracle ACFS)が使用可能な場合は、キーストアをOracle ACFSに格納することをお薦めします。Oracle ASMにOracle ACFSがない場合は、Oracle ASMコンフィギュレーション・アシスタント(ASMCA)を使用して作成してください。次のように、各インスタンスのsqlnet.oraファイルに、マウント・ポイントを追加する必要があります。
```
ENCRYPTION_WALLET_LOCATION=
  (SOURCE = (METHOD = FILE)
    (METHOD_DATA =
      (DIRECTORY = /opt/oracle/acfsmounts/data_keystore)))
```
このファイル・システムは、インスタンスの起動時に自動的にマウントされます。キーストアのオープンとクローズ(およびTDEマスター暗号化鍵の設定またはキー更新およびローテーションを行うコマンド)は、すべてのノード間で同期化されています。
ある1つのインスタンスで実行されるmaster key rekeyは、すべてのインスタンスに適用されます。新しいOracle RACノードは、起動されると、現在のキーストアの状態(オープンまたはクローズ)を認識します。
マスター・キーを設定または変更している場合は、キーストアのADMINISTER KEY MANAGEMENT SET KEYSTORE OPENまたはCLOSE SQL文は発行しないでください。

キーストア用の共有ストレージが存在しないデプロイメントでは、各Oracle RACノードでローカル・キーストアを保持する必要があります。単一ノードでキーストアを作成およびプロビジョニングした後、次のようにキーストアをコピーして他のすべてのノードで使用可能にする必要があります。

暗号化されたキーストアとともに透過的データ暗号化を使用するシステムでは、任意の標準ファイル転送プロトコルを使用できますが、保護されたファイル転送を使用することをお薦めします。
自動ログイン・キーストアとともに透過的データ暗号化を使用するシステムでは、保護されたチャネルを介してファイルを転送することをお薦めします。

キーストアが存在している必要があるディレクトリを指定するには、sqlnet.oraファイルで ENCRYPTION_WALLET_LOCATIONパラメータを設定します。ADMINISTER KEY MANAGEMENT SET KEY SQL文を使用してサーバー・キーが再設定されるまで、透過的データ暗号化の使用中にキーストアのローカル・コピーを同期化する必要はありません。データベース・インスタンスでADMINISTER KEY MANAGEMENT SET KEY文を発行するたびに、ノードに存在するキーストアを再度コピーし、他のすべてのノードで使用可能にする必要があります。次に、各ノードでキーストアを閉じてから再度開く必要があります。不要な管理オーバーヘッドを回避するために、サーバー・マスター・キーのセキュリティが低下したり、キーを再設定しないと重大なセキュリティ問題が発生することが明確な例外的な場合のためにキーの再設定を予約します。