Exadata Cloud Machineデータベースで作成する新規の表領域はすべて、デフォルトで暗号化されます。
Oracle Database 11gデータベースの場合、データベース・デプロイメントと一緒に作成された表領域は暗号化されません。
Oracle Database 12cリリース1のデータベース(12.1.0.2)では、データベース・デプロイメントと一緒に作成された表領域は暗号化されません。 これには、ルート・コンテナ(CDB$ROOT)、シード・プラガブル・データベース(PDB$SEED)、およびユーザーが作成した最初のプラガブル・データベースの表領域が含まれます。
Oracle Database 12cリリース2のデータベース(12.2.0.1)では、データベース・デプロイメントと一緒に作成されたUSERS表領域のみが暗号化されます。 ルート・コンテナ内の非USERS表領域(CDB$ROOT)、シード・プラガブル・データベース(PDB$SEED)、および最初にユーザーが作成したプラガブル・データベースなど、他の表領域は暗号化されません。
トピック
ユーザー作成された表領域は、デフォルトで暗号化されます。
デフォルトでは、SQLのCREATE TABLESPACEコマンド、またはCREATE TABLESPACEコマンドを実行する任意のツールを使用して作成される、新しい表領域はすべて、AES128暗号化アルゴリズムで暗号化されます。 デフォルトの暗号化を使用するためにUSING 'encrypt_algorithm'句を含める必要はありません。
CREATE TABLESPACEコマンドにUSING 'encrypt_algorithm' 句を含めることにより、サポートされている別のアルゴリズムを指定できます。 Oracle Database 11g とOracle Database 12cでサポートされているアルゴリズムは、AES256、AES192、AES128および3DES168です。
ソフトウェア・キーストア (Oracle Database 11gではOracleウォレットと呼ばれる)、マスター暗号化鍵、および暗号化をデフォルトで有効にするかどうかの制御を管理できます。
マスター暗号化鍵の管理
表領域の暗号化では、2層式の鍵ベースのアーキテクチャを使用して表領域を透過的に暗号化(および復号化)します。 マスター暗号化鍵は、外部のセキュリティ・モジュール(ソフトウェア・キーストア)内で保管されます。 このマスター暗号化鍵を使用して表領域の暗号化鍵を暗号化し、これを使用して表領域でデータを暗号化および復号化します。
Exadata Cloud Machine上にデータベース・デプロイメントが作成されると、ローカルのソフトウェア・キーストアが作成されます。 キーストアは計算ノードのローカルにあり、デプロイメント・プロセス中に指定した管理パスワードによって保護されます。 自動ログインのソフトウェア・キーストアは、データベースが起動されたときに自動的に開かれます。
ADMINISTER KEY MANAGEMENT SQL文を使用してマスター暗号化鍵を変更(回転)できます。 次に例を示します。
SQL> ADMINISTER KEY MANAGEMENT SET ENCRYPTION KEY USING TAG 'tag'
IDENTIFIED BY password WITH BACKUP USING 'backup';
keystore altered.
リリース12.2または12.1の「Oracle Database上級セキュリティ・ガイド」の「TDEマスター暗号化キーの管理」またはリリース11.2の「Oracle Database上級セキュリティ管理者ガイド」の「マスター暗号化キーの設定とリセット」を参照してください。
デフォルトの表領域の暗号化の制御
ENCRYPT_NEW_TABLESPACES初期化パラメータは、新しい表領域のデフォルトの暗号化を制御します。 Exadata Cloud Machineデータベースで、このパラメータをCLOUD_ONLYに設定します。
このパラメータの値は、次のとおりです。
| 値 | 説明 |
|---|---|
|
|
別のアルゴリズムが |
|
|
別のアルゴリズムが |
|
|
表領域は透過的には暗号化されず、 |