Oracle Cloud Infrastructure-Dokumentation

Oracle Database-Features für Oracle Exadata Database Service auf Exascale-Infrastruktur konfigurieren

Erfahren Sie, wie Sie Oracle Multitenant, Tablespace-Verschlüsselung und andere Optionen für Ihre Oracle Exadata Database Service on Exascale Infrastructure-Instanz konfigurieren.

Übergeordnetes Thema: Anleitungen

Oracle Multitenant auf einer Oracle Exadata Database Service auf Exascale-Infrastrukturinstanz verwenden

Erfahren Sie mehr über die Anforderungen für verschiedene Features bei der Verwendung von Mehrmandantenumgebungen in Oracle Exadata Database Service on Exascale Infrastructure.

Wenn Sie eine Oracle Exadata Database Service on Exascale-Infrastrukturinstanz erstellen, wird eine Oracle Multitenant-Umgebung erstellt.

Mit der mehrmandantenfähigen Architektur kann Oracle Database als mehrmandantenfähige Containerdatenbank (CDB) fungieren, die keine, eine oder mehrere integrierbare Datenbanken (PDBs) enthält. Eine PDB ist eine portable Sammlung von Schemas, Schemaobjekten und Nichtschemaobjekten, die sich einem Oracle Net Services-Client als Nicht-CDB darstellt.

Um Oracle Transparent Data Encryption (TDE) in einer integrierbaren Datenbank (PDB) zu verwenden, müssen Sie einen Masterverschlüsselungsschlüssel für die PDB erstellen und aktivieren.

In einer mehrmandantenfähigen Umgebung verfügt jede PDB über einen eigenen Masterverschlüsselungsschlüssel, der in einem einzigen Keystore gespeichert ist, der von allen Containern verwendet wird.

Sie müssen den Master-Verschlüsselungsschlüssel für alle verschlüsselten PDBs exportieren und importieren, die Sie in die CDB der Oracle Exadata Database Service on Exascale-Infrastrukturinstanz integrieren.

Wenn die Quell-PDB verschlüsselt ist, müssen Sie den Masterverschlüsselungsschlüssel exportieren und anschließend importieren.

Sie können alle zur PDB gehörenden TDE-Masterverschlüsselungsschlüssel exportieren und importieren, indem Sie die TDE-Masterverschlüsselungsschlüssel aus einer PDB exportieren und importieren. Export und Import von TDE-Masterverschlüsselungsschlüsseln unterstützen die Integration bzw. Aufhebung der Integration von PDBs. An der Integration und Integrationsaufhebung einer PDB sind alle zu einer PDB gehörenden TDE-Masterverschlüsselungsschlüssel sowie die Metadaten beteiligt.

Siehe "Transparente Datenverschlüsselung mit anderen Oracle-Features verwenden" im Oracle Database Advanced Security Guide.

Siehe "ADMINISTER KEY MANAGEMENT" in Oracle Database-SQL-Sprachreferenz.

So ermitteln Sie, ob Sie einen Verschlüsselungsschlüssel für die PDB erstellen und aktivieren müssen

  1. Rufen Sie SQL*Plus auf, und melden Sie sich bei der Datenbank als Benutzer SYS mit SYSDBA-Berechtigung an.

  2. Setzen Sie den Container auf die PDB:

    SQL> ALTER SESSION SET CONTAINER = pdb;

  3. Fragen Sie V$ENCRYPTION_WALLET wie folgt ab: 

    SQL> SELECT wrl_parameter, status, wallet_type FROM v$encryption_wallet;

    Wenn die Spalte STATUS den Wert OPEN_NO_MASTER_KEY enthält, müssen Sie den Masterverschlüsselungsschlüssel erstellen und aktivieren.

So erstellen und aktivieren Sie den Masterverschlüsselungsschlüssel in einer PDB

  1. Setzen Sie den Container auf die PDB:

    SQL> ALTER SESSION SET CONTAINER = pdb;

  2. Erstellen und aktivieren Sie einen Masterverschlüsselungsschlüssel in der PDB, indem Sie den folgenden Befehl ausführen:

    SQL> ADMINISTER KEY MANAGEMENT SET KEY USING TAG 'tag' FORCE KEYSTORE IDENTIFIED BY keystore-password WITH BACKUP USING 'backup_identifier';

    Im vorherigen Befehl gilt:

    • keystore-password ist das Keystore-Kennwort. Standardmäßig wird das Keystore-Kennwort auf den Wert des Administrationskennworts gesetzt, das beim Erstellen der Datenbank angegeben wurde.
    • Die optionale Klausel USING TAG 'tag' kann verwendet werden, um ein Tag mit dem neuen Masterverschlüsselungsschlüssel zu verknüpfen.
    • Mit der Klausel WITH BACKUP und der optionalen Klausel USING 'backup_identifier' können Sie ein Keystore-Backup erstellen, bevor der neue Masterverschlüsselungsschlüssel erstellt wird.

    Informationen hierzu finden Sie auch unter ADMINISTER KEY MANAGEMENT in Oracle Database-SQL-Sprachreferenz für Release 19, 18 oder 12.2.

    Hinweis

    Um Schlüsselverwaltungsvorgänge zu ermöglichen, während der Keystore verwendet wird, enthalten Oracle Database 12c Release 2 und höher die Option FORCE KEYSTORE für den Befehl ADMINISTER KEY MANAGEMENT. Diese Option ist auch für Oracle Database 12c Release 1 mit dem Bundle-Patch von Oktober 2017 oder später verfügbar.

    Wenn Sie Oracle Database 12c Release 1 ohne installiertes Bundle Patch von Oktober 2017 oder später verwenden, können Sie die folgenden alternativen Schritte ausführen:

    1. Keystore schließen.
    2. Kennwortbasierten Keystore öffnen.
    3. Masterverschlüsselungsschlüssel in der PDB erstellen und aktivieren, indem Sie ADMINISTER KEY MANAGEMENT ohne die Option FORCE KEYSTORE verwenden.
    4. Keystore zur automatischen Anmeldung aktualisieren, indem Sie ADMINISTER KEY MANAGEMENT mit der Option CREATE AUTO_LOGIN KEYSTORE FROM KEYSTORE verwenden.

  3. Fragen Sie V$ENCRYPTION_WALLET erneut ab, um zu verifizieren, dass die Spalte STATUS auf OPEN gesetzt ist: 

    SQL> SELECT wrl_parameter, status, wallet_type FROM v$encryption_wallet;

  4. Fragen Sie V$INSTANCE ab, und beachten Sie den Wert in der Spalte HOST_NAME, der den Datenbankserver mit den neu aktualisierten Keystore-Dateien angibt: 

    SQL> SELECT host_name FROM v$instance;

  5. Kopieren Sie die aktualisierten Keystore-Dateien auf alle anderen Datenbankserver.

    Um den aktualisierten Keystore zu verteilen, müssen Sie die folgenden Aktionen auf jeden Datenbankserver ausführen, der die aktualisierten Keystore-Dateien nicht enthält:

    1. Melden Sie sich beim Root-Container an, und fragen Sie V$ENCRYPTION_WALLET ab. Notieren Sie sich den Keystore-Speicherort aus der Spalte WRL_PARAMETER: 

      SQL> SELECT wrl_parameter, status FROM v$encryption_wallet;

    2. Kopieren Sie die aktualisierten Keystore-Dateien.

      Sie müssen alle aktualisierten Keystore-Dateien von einem bereits aktualisierten Datenbankserver kopieren. Verwenden Sie den Keystore-Speicherort aus der Spalte WRL_PARAMETER von V$ENCRYPTION_WALLET.

    Öffnen Sie den aktualisierten Keystore:
    SQL> ADMINISTER KEY MANAGEMENT SET KEYSTORE open FORCE KEYSTORE IDENTIFIED BY keystore-password CONTAINER=all;
    Hinweis

    Um Schlüsselverwaltungsvorgänge zu ermöglichen, während der Keystore verwendet wird, enthalten Oracle Database 12c Release 2 und höher die Option FORCE KEYSTORE für den Befehl ADMINISTER KEY MANAGEMENT. Diese Option ist auch für Oracle Database 12c Release 1 mit dem Bundle-Patch von Oktober 2017 oder später verfügbar.

    Wenn Sie Oracle Database 12c Release 1 ohne installiertes Bundle Patch von Oktober 2017 oder später verwenden, können Sie die folgenden alternativen Schritte ausführen:

    1. Schließen Sie den Keystore, bevor Sie die aktualisierten Keystore-Dateien kopieren.
    2. Kopieren Sie die aktualisierten Keystore-Dateien.
    3. Öffnen Sie den aktualisierten Keystore, indem Sie ADMINISTER KEY MANAGEMENT ohne die Option FORCE KEYSTORE verwenden.

  6. Fragen Sie GV$ENCRYPTION_WALLET ab, um zu verifizieren, dass die Spalte STATUS für alle Datenbankinstanzen auf OPEN gesetzt ist: 

    SQL> SELECT wrl_parameter, status, wallet_type FROM gv$encryption_wallet;

So exportieren und importieren Sie einen Masterverschlüsselungsschlüssel

  1. Exportieren Sie den Masterverschlüsselungsschlüssel.
    1. Rufen Sie SQL*Plus auf, und melden Sie sich bei der PDB an.

    2. Führen Sie den folgenden Befehl aus:

      SQL> ADMINISTER KEY MANAGEMENT EXPORT ENCRYPTION KEYS WITH SECRET "secret" TO 'filename' IDENTIFIED BY keystore-password;
  2. Importieren Sie den Masterverschlüsselungsschlüssel.
    1. Rufen Sie SQL*Plus auf, und melden Sie sich bei der PDB an.

    2. Führen Sie den folgenden Befehl aus:

      SQL> ADMINISTER KEY MANAGEMENT IMPORT ENCRYPTION KEYS WITH SECRET "secret" FROM 'filename' IDENTIFIED BY keystore-password;

Tablespace-Verschlüsselung verwalten

Erfahren Sie, wie die Tablespace-Verschlüsselung in Oracle Exadata Database Service on Exascale Infrastructure implementiert wird

Standardmäßig werden alle neuen Tablespaces, die Sie in einer Exadata-Datenbank erstellen, verschlüsselt.

Die Tablespaces, die anfänglich bei der Datenbankerstellung erstellt werden, werden jedoch möglicherweise nicht standardmäßig verschlüsselt.

  • Bei Datenbanken, die Oracle Database 12c Release 2 oder höher verwenden, werden nur die USERS-Tablespaces verschlüsselt, die anfänglich beim Erstellen der Datenbank erstellt wurden. Es werden keine anderen Tablespaces verschlüsselt, einschließlich der Nicht-USERS-Tablespaces in:
    • dem Root-Container (CDB$ROOT).
    • der vordefinierten integrierbaren Datenbank (PDB$SEED).
    • der ersten PDB, die bei Erstellung der Datenbank erstellt wurde.
  • Bei Datenbanken, die Oracle Database 12c Release 1 oder Oracle Database 11g verwenden, werden keine der anfänglich beim Erstellen der Datenbank erstellten Tablespaces verschlüsselt.

Weitere Informationen zur Implementierung der Tablespace-Verschlüsselung in Exadata sowie zu den Auswirkungen auf verschiedene Deployment-Szenarios finden Sie unter:

Oracle Database Tablespace-Verschlüsselungsverhalten in Oracle Cloud (Dok.-ID 2359020.1).

Verschlüsselte Tablespaces erstellen

Vom Benutzer erstellte Tablespaces sind standardmäßig verschlüsselt.

Standardmäßig werden alle Tablespaces, die mit dem Befehl SQL CREATE TABLESPACE erstellt werden, mit dem AES128-Verschlüsselungsalgorithmus verschlüsselt. Sie müssen die Klausel USING 'encrypt_algorithm' nicht aufnehmen, um die Standardverschlüsselung zu verwenden.

Sie können einen anderen unterstützten Algorithmus angeben, indem Sie die Klausel USING 'encrypt_algorithm' in den Befehl CREATE TABLESPACE aufnehmen. Die Algorithmen AES256, AES192, AES128 und 3DES168 werden unterstützt.

Tablespace-Verschlüsselung verwalten

Sie können den Software-Keystore (in Oracle Database 11g als Oracle Wallet bezeichnet) und den Masterverschlüsselungsschlüssel verwalten und kontrollieren, ob die Verschlüsselung standardmäßig aktiviert ist.

Masterverschlüsselungsschlüssel verwalten

Die Tablespace-Verschlüsselung verwendet eine schlüsselbasierte Zwei-Ebenen-Architektur, um Tablespaces transparent zu verschlüsseln (und zu entschlüsseln). Der Masterverschlüsselungsschlüssel wird in einem externen Sicherheitsmodul (Software-Keystore) gespeichert. Mit diesem Masterverschlüsselungsschlüssel wird der Tablespace-Verschlüsselungsschlüssel verschlüsselt, der seinerseits verwendet wird, um Daten im Tablespace zu verschlüsseln und zu entschlüsseln.

Beim Erstellen einer Datenbank in einer Exadata Cloud Service-Instanz wird ein lokaler Software-Keystore erstellt. Der Keystore ist für die Compute Nodes lokal und wird durch das Administrationskennwort geschützt, das beim Erstellen der Datenbank angegeben wird. Der Software-Keystore zur automatischen Anmeldung wird beim Starten der Datenbank automatisch geöffnet.

Sie können den Masterverschlüsselungsschlüssel mit der Anweisung ADMINISTER KEY MANAGEMENT SQL ändern (rotieren). Beispiel: 

SQL> ADMINISTER KEY MANAGEMENT SET ENCRYPTION KEY USING TAG 'tag'
IDENTIFIED BY password WITH BACKUP USING 'backup';
keystore altered.

Siehe "TDE-Masterverschlüsselungsschlüssel verwalten" im Oracle Database Advanced Security Guide.

Tablespace-Standardverschlüsselung steuern

Der Initialisierungsparameter ENCRYPT_NEW_TABLESPACES steuert die standardmäßige Verschlüsselung neuer Tablespaces. In Exadata-Datenbanken ist dieser Parameter standardmäßig auf CLOUD_ONLY gesetzt.

Die Werte dieses Parameters lauten wie folgt.

Wert Beschreibung
ALWAYS Während der Erstellung werden Tablespaces transparent mit dem Algorithmus AES128 verschlüsselt, es sei denn, in der Klausel ENCRYPTION wurde ein anderer Algorithmus angegeben.
CLOUD_ONLY In einer Exadata-Datenbank erstellte Tablespaces werden transparent mit dem Algorithmus AES128 verschlüsselt, es sei denn, in der Klausel ENCRYPTION wurde ein anderer Algorithmus angegeben. Bei Nicht-Cloud-Datenbanken werden Tablespaces nur verschlüsselt, wenn die Klausel ENCRYPTION angegeben ist. ENCRYPTION ist der Standardwert.
DDL Während der Erstellung werden Tablespaces standardmäßig nur transparent verschlüsselt, wenn die Klausel ENCRYPTION angegeben ist.
Hinweis

Bei Oracle Database 12c Release 2 (12.2) oder höher können Sie keine unverschlüsselten Tablespaces mehr in einer Exadata-Datenbank erstellen. Wenn Sie ENCRYPT_NEW_TABLESPACES auf DDL setzen und den Befehl CREATE TABLESPACE ohne die Klausel ENCRYPTION ausgeben, wird eine Fehlermeldung zurückgegeben.