Oracle Database Cloud Serviceデータベースでは、転送中のデータと保管中のデータに対してデータ・セキュリティが提供されます。 転送中のデータのセキュリティは、ネットワーク暗号化によって実現されます。 保管中のデータのセキュリティは、データベース・データ・ファイルおよびバックアップに格納されたデータの暗号化によって実現されます。
バックアップを含め、Oracle Databaseファイル内のデータは、キー管理フレームワークによって実装される暗号化を使用して保護されます。 ネットワーク上のデータのセキュリティは、Oracle Netのネイティブの暗号化および整合性機能によって提供されます。
Oracle Database Cloud Serviceデータベースには、データベース・データ・ファイル内およびバックアップ内のデータを暗号化するために使用される鍵および資格証明を格納および管理する、キー管理フレームワークが含まれています。
キー管理フレームワークには、透過的データ暗号化(TDE)マスター暗号化鍵を安全に格納するためのキーストア(Oracle Database 11gおよびそれ以前のリリースではウォレットと呼ばれています)と、様々なデータベース・コンポーネントのキーストアおよびキー操作を安全かつ効率的に管理するための管理フレームワークが含まれています。 TDEは、デフォルト表領域暗号化と暗号化されたバックアップに使用される、基盤となるメカニズムです。
TDEは2層の鍵ベース・アーキテクチャを使用して、データを透過的に暗号化および復号化します。 マスター暗号化鍵はソフトウェア・キーストアに格納されます。 表領域暗号化の場合、このマスター暗号化鍵を使用して表領域暗号化鍵が暗号化され、その表領域暗号化鍵を使用して表領域のデータが暗号化および復号化されます。 Oracle Database Cloud Serviceでのデフォルトの表領域暗号化の実装の詳細は、Database Cloud Serviceでの表領域の暗号化の使用を参照してください
Oracle Database Cloud Service上にデータベース・デプロイメントが作成されると、ローカルの自動ログイン・ソフトウェア・キーストアが作成されます。 キーストアは計算ノードにローカルで、システム生成されたパスワードによって保護されます。 自動ログイン・ソフトウェア・キーストアは、アクセス時に自動的に開かれます。
キーストアの場所は、$ORACLE_HOME/network/admin/sqlnet.oraファイル内のENCRYPTION_WALLET_LOCATIONパラメータで指定されます。
OracleキーストアにはリタイアされたTDEマスター暗号化鍵の履歴が格納され、それらのマスター暗号化鍵を変更、および以前のTDEマスター暗号化鍵を使用して暗号化されたデータを復号化できます。
TDEおよびキーストアの詳細は、リリース12.2または12.1のOracle Database Advanced Securityガイドの透過的データ暗号化の概要またはリリース11.2のOracle Database Advanced Security管理者ガイドの透過的データ暗号化を使用した格納済データの保護を参照してください。
Oracle Database Cloud Serviceは、Oracle Netのネイティブの暗号化および整合性機能を使用してデータベースへの接続を保護します。
構成を確認してOracle Netのネイティブの暗号化および整合性の使用を検証する方法の詳細は、「ネットワークの暗号化および整合性の使用」を参照してください。