1. Oracle DatabaseのためのOracle GoldenGateの使用
  2. 「クラシック・キャプチャを使用する場合の追加構成ステップ」
  3. クラシック・キャプチャ・モードでのOracle TDEデータの構成
  4. TDEサポートのクラシック・キャプチャの構成
  5. Oracleセキュリティ担当者のタスク

Oracleセキュリティ担当者のタスク

  1. Oracle GoldenGateでは、HSMともソフトウェア・ウォレットを使用する必要があります。HSMのみのモードを現在使用している場合は、次のステップに従って、HSMとウォレットのモードに移行します。

    1. 次の例に示すように、sqlnet.oraファイル構成を変更します(ウォレット・ディレクトリは、Oracle Databaseの所有者によってアクセス可能な(rwx)ディスク上の任意の場所が可能です)。次の例は、ベスト・プラクティスの場所(my_db$ORACLE_SID)を示します。 

      ENCRYPTION_WALLET_LOCATION=
 (SOURCE=(METHOD=HSM)(METHOD_DATA=
   (DIRECTORY=/etc/oracle/wallets/my_db)))

    2. Oracle Databaseの所有者としてorapki (またはWallet Manager)にログインし、sqlnet.oraファイルに指定した場所に自動ログイン・ウォレットを作成します。ウォレットのパスワードを求められたら、HSMパスワードと同じパスワード(またはHSM接続文字列)を指定します。これらの2つのパスワードは同じにする必要があります。 

      cd /etc/oracle/wallets/my_db
orapki wallet create -wallet . -auto_login[_local]

      ノート:

      Oracle Database所有者には、ウォレットの完全なオペレーティング・システム権限が必要です。

    3. 次のエントリを空のウォレットに追加して、'auto-open' HSMを有効にします。

      mkstore -wrl . -createEntry ORACLE.TDE.HSM.AUTOLOGIN non-empty-string

  2. ORACLEGGのエントリをウォレットに作成します。ORACLEGGは、このキーの名前にする必要があります。このキーのパスワードは、共通キーを共有する必要がありますが、このパスワードをコマンドラインから入力しないでください。かわりに、入力を求められるまで待ちます。 

    mkstore -wrl ./ -createEntry ORACLE.SECURITY.CL.ENCRYPTION.ORACLEGG
Oracle Secret Store Tool : Version 11.2.0.3.0 - Production
Copyright (c) 2004, 2011, Oracle and/or its affiliates. All rights reserved.
Your secret/Password is missing in the command line
Enter your secret/Password: sharedsecret
Re-enter your secret/Password: sharedsecret
Enter wallet password: hsm/wallet_password

  3. ORACLEGGのエントリを確認します。 

    mkstore -wrl . -list
Oracle Secret Store Tool : Version 11.2.0.3.0 - Production
Copyright (c) 2004, 2011, Oracle and/or its affiliates. All rights reserved.
Enter wallet password: hsm/wallet_password
Oracle Secret Store entries:
ORACLE.SECURITY.CL.ENCRYPTION.ORACLEGG

  4. SYSDBAシステム権限を持つユーザーとしてSQL*Plusにログインします。

  5. ウォレットを閉じ、再度開きます。 

    SQL> alter system set encryption wallet close identified by "hsm/wallet_password";
System altered.
SQL> alter system set encryption wallet open identified by "hsm/wallet_password";
System altered.

    これによってパスワードが自動オープン・ウォレットに挿入されるため、HSMに保存されたTDEマスター暗号化キーを使用して暗号化されたデータにアクセスする際、パスワードは不要です。

  6. ログ・ファイルを切り替えます。

    alter system switch logfile;
System altered.

  7. Oracle RAC環境で、各ノードでウォレットのコピーを使用している場合、ここでコピーを作成し、各ウォレットを再度開きます。

ノート:

共有の場所にある1つのウォレットを、すべてのOracle RACノード間でアクセスが同期化された状態で使用することをお薦めします。

親トピック: TDEサポートのクラシック・キャプチャの構成