Oracleセキュリティ担当者のタスク
-
Oracle GoldenGateでは、HSMともソフトウェア・ウォレットを使用する必要があります。HSMのみのモードを現在使用している場合は、次のステップに従って、HSMとウォレットのモードに移行します。
-
次の例に示すように、
sqlnet.ora
ファイル構成を変更します(ウォレット・ディレクトリは、Oracle Databaseの所有者によってアクセス可能な(rwx)ディスク上の任意の場所が可能です)。次の例は、ベスト・プラクティスの場所(my_db
は$ORACLE_SID
)を示します。ENCRYPTION_WALLET_LOCATION= (SOURCE=(METHOD=HSM)(METHOD_DATA= (DIRECTORY=/etc/oracle/wallets/my_db)))
-
Oracle Databaseの所有者として
orapki
(またはWallet Manager)にログインし、sqlnet.ora
ファイルに指定した場所に自動ログイン・ウォレットを作成します。ウォレットのパスワードを求められたら、HSMパスワードと同じパスワード(またはHSM接続文字列)を指定します。これらの2つのパスワードは同じにする必要があります。cd /etc/oracle/wallets/my_db orapki wallet create -wallet . -auto_login[_local]
ノート:
Oracle Database所有者には、ウォレットの完全なオペレーティング・システム権限が必要です。
-
次のエントリを空のウォレットに追加して、'auto-open' HSMを有効にします。
mkstore -wrl . -createEntry ORACLE.TDE.HSM.AUTOLOGIN
non-empty-string
-
-
ORACLEGG
のエントリをウォレットに作成します。ORACLEGG
は、このキーの名前にする必要があります。このキーのパスワードは、共通キーを共有する必要がありますが、このパスワードをコマンドラインから入力しないでください。かわりに、入力を求められるまで待ちます。mkstore -wrl ./ -createEntry ORACLE.SECURITY.CL.ENCRYPTION.ORACLEGG Oracle Secret Store Tool : Version 11.2.0.3.0 - Production Copyright (c) 2004, 2011, Oracle and/or its affiliates. All rights reserved. Your secret/Password is missing in the command line Enter your secret/Password:
sharedsecret
Re-enter your secret/Password:sharedsecret
Enter wallet password:hsm/wallet_password
-
ORACLEGG
のエントリを確認します。mkstore -wrl . -list Oracle Secret Store Tool : Version 11.2.0.3.0 - Production Copyright (c) 2004, 2011, Oracle and/or its affiliates. All rights reserved. Enter wallet password:
hsm/wallet_password
Oracle Secret Store entries: ORACLE.SECURITY.CL.ENCRYPTION.ORACLEGG -
SYSDBA
システム権限を持つユーザーとしてSQL*Plusにログインします。 -
ウォレットを閉じ、再度開きます。
SQL> alter system set encryption wallet close identified by "
hsm/wallet_password
"; System altered. SQL> alter system set encryption wallet open identified by "hsm/wallet_password
"; System altered.これによってパスワードが自動オープン・ウォレットに挿入されるため、HSMに保存されたTDEマスター暗号化キーを使用して暗号化されたデータにアクセスする際、パスワードは不要です。
-
ログ・ファイルを切り替えます。
alter system switch logfile; System altered.
-
Oracle RAC環境で、各ノードでウォレットのコピーを使用している場合、ここでコピーを作成し、各ウォレットを再度開きます。
ノート:
共有の場所にある1つのウォレットを、すべてのOracle RACノード間でアクセスが同期化された状態で使用することをお薦めします。
親トピック: TDEサポートのクラシック・キャプチャの構成