透過的データ暗号化の使用

Oracle Globally Distributed AI Databaseは透過的データ暗号化(TDE)をサポートしていますが、TDEを有効にして分散データベース内のチャンクを正常に移動するには、すべてのシャードで、暗号化された表領域に対して同じ暗号化キーを共有して使用する必要があります。

分散データベースは、複数の独立したデータベースと1つのシャード・カタログ・データベースで構成されます。TDEが正しく機能するように、特にシャード間でデータを移動するときに一定の制限が適用されます。データが暗号化されているときにシャード間のチャンク移動が機能するように、すべてのシャードで同じ暗号化キーを使用する必要があります。

これを実現するには、次の2つの方法があります。

• シャード・カタログから暗号化キーを作成してエクスポートし、すべてのシャードに個々にキーをインポートしてアクティブ化します。

• ウォレットを共有の場所に格納し、シャード・カタログおよびすべてのシャードで同じウォレットを使用します。

次のTDE文は、シャードDDLを有効にしたシャード・カタログに対して実行されると、シャードに自動的に伝播されます。

• ADMINISTER KEY MANAGEMENT SET KEYSTORE [OPEN|CLOSE] IDENTIFIED BY password

• ADMINISTER KEY MANAGEMENT SET KEY IDENTIFIED BY password

• ADMINISTER KEY MANAGEMENT USE KEY IDENTIFIED BY password

• ADMINISTER KEY MANAGEMENT CREATE KEYSTORE IDENTIFIED BY password

TDEの詳細は、透過的データ暗号化の概要を参照してください

Oracle Globally Distributed AI DatabaseでのOracle Key Vaultの使用

セキュリティおよび利便性を大幅に向上させ、シャード間でウォレットおよびキーをコピーする際の人的ミスを回避するために、Oracle Key Vault (OKV)クラスタを分散データベースとともにデプロイすることをお薦めします。

シャード・カタログ・データベースに作成したすべてのTDEマスター・キーは、すべてのシャードですぐに使用でき、キーおよびウォレットはコピーされず、シャードでのキーの更新の遅延による意図しない停止時間は発生しません。分散データベースがOracle RACまたはOracle Data Guard (あるいはその両方)で構成されている場合、OKVの利点はさらに魅力的になり、すべてのプライマリおよびスタンバイのOracle RACインスタンスは、新しいキーに瞬時にアクセスできます。

分散データベースが、グローバルに分散されたリージョンにまたがるオンプレミス、あるいはOCI、Azure、AWSまたはGoogle Cloudにデプロイされている場合、Oracle Key Vaultはどこにでもデプロイでき、必要な場所でローカル・キー管理や"独自のキーの保持"を実現し、クラウド・ネイティブのキー管理サイロ間の複雑な(または不可能な)キー交換を排除できます。

制限事項

Oracle Globally Distributed AI DatabaseでのTDEの使用には、次の制限事項があります。

• GDSCTL MOVE CHUNKが機能するには、すべてのシャード・データベース・ホストが同じプラットフォーム上に存在する必要があります。

• MOVE CHUNKでは、データ転送中にパフォーマンスに影響を及ぼす可能性がある圧縮を使用できません。

• 表領域レベルでの暗号化のみがサポートされます。特定の列に対する暗号化はサポートされません。