Datenverschlüsselung in Autonomous AI Database auf dedizierter Exadata-Infrastruktur
Die autonome KI-Datenbank auf dedizierter Exadata-Infrastruktur verwendet eine ständig aktive Verschlüsselung, die Daten im Ruhezustand und während der Übertragung schützt. Alle in Oracle Cloud gespeicherten Daten sowie die zugehörige Netzwerkkommunikation sind standardmäßig verschlüsselt. Die Verschlüsselung kann nicht deaktiviert werden.
Verschlüsselung von Daten im Ruhezustand
Daten im Ruhezustand werden mit TDE (Transparent Data Encryption) verschlüsselt, einer kryptografischen Lösung, die die Verarbeitung, Übertragung und Speicherung von Daten schützt. Jede autonome KI-Datenbank auf dedizierter Exadata-Infrastruktur verfügt über ihren eigenen Verschlüsselungsschlüssel, und die zugehörigen Backups verfügen über eigenen abweichenden Verschlüsselungsschlüssel.
Standardmäßig erstellt und verwaltet die Oracle Autonomous AI Database on Dedicated Exadata Infrastructure alle Masterverschlüsselungsschlüssel, die zum Schutz Ihrer Daten verwendet werden, und speichert diese in einem sicheren PKCS 12-Keystore auf denselben Exadata-Systemen, in denen die Datenbanken gelagert sind. Falls die Sicherheits-Policys Ihres Unternehmens das erfordern, kann Oracle Autonomous AI Database on Dedicated Exadata Infrastructure stattdessen Schlüssel verwenden, die Sie im Oracle Cloud Infrastructure Vault-Service oder Oracle Key Vault erstellen und verwalten, je nachdem, ob Sie Oracle Autonomous AI Database auf dedizierter Exadata-Infrastruktur auf Oracle Cloud oder auf Exadata Cloud@Customer bereitstellen. Weitere Informationen finden Sie unter Masterverschlüsselungsschlüssel verwalten.
Unabhängig davon, ob Sie von Oracle verwaltete oder vom Kunden verwaltete Schlüssel verwenden, können Sie darüber hinaus die in vorhandenen Datenbanken verwendeten Schlüssel bei Bedarf rotieren, um die Sicherheits-Policys Ihres Unternehmens zu erfüllen.
Hinweis: Wenn Sie eine Datenbank klonen, erhält die neue Datenbank eine eigene neue Gruppe von Verschlüsselungsschlüsseln.
Verschlüsselung von Daten während der Übertragung
Clients (Anwendungen und Tools) werden mit Oracle Net Services (auch als SQL*Net bezeichnet) und vordefinierten Datenbankverbindungsservices mit einer autonomen KI-Datenbank verbunden. Oracle Autonomous AI Database on Dedicated Exadata Infrastructure stellt zwei Arten von Datenbankverbindungsservices zur Verfügung, die jeweils über eine eigene Methode zur Verschlüsselung von Daten während der Übertragung zwischen der Datenbank und dem Client verfügen:
-
TCPS-(Secure TCP-)Datenbankverbindungsservices verwenden das branchenübliche TLS 1.2- und TLS 1.3-(Transport Layer Security-)Protokoll für Verbindungen. TLS 1.3 wird jedoch nur auf Oracle Database 23ai oder höher unterstützt.
Wenn Sie eine autonome KI-Datenbank erstellen, wird ein Verbindungs-Wallet generiert, das alle erforderlichen Dateien enthält, die ein Client für die Verbindung mit TCPS verwendet. Sie verteilen dieses Wallet nur an die Clients, denen Sie Datenbankzugriff erteilen möchten, und die clientseitige Konfiguration verwendet Informationen im Wallet, um die Datenverschlüsselung mit symmetrischen Schlüsseln auszuführen.
-
TCP-Datenbankverbindungsservices verwenden das native Netzwerkverschlüsselungskryptosystem, das in Oracle Net Services integriert ist, um Daten während der Übertragung auszuhandeln und zu verschlüsseln. Für diese Aushandlung sind autonome KI-Datenbanken so konfiguriert, dass eine Verschlüsselung mit AES256-, AES192- oder AES128-Kryptografie erforderlich ist.
Da die Verschlüsselung beim Herstellen der Verbindung ausgehandelt wird, benötigen TCP-Verbindungen nicht das für TCPS-Verbindungen erforderliche Verbindungs-Wallet. Der Client benötigt jedoch Informationen zu den Datenbankverbindungsservices. Diese Informationen sind verfügbar, indem Sie in der Oracle Cloud Infrastructure-Konsole auf der Seite Autonome KI-Datenbankdetails der Datenbank auf DB-Verbindung und in der Datei
tnsnames.oraklicken, die in derselben herunterladbaren ZIP-Datei mit den Dateien enthalten ist, die für die Verbindung mit TCPS erforderlich sind.
Sie können Tabellendaten beim Export in Object Storage mit DBMS_CRYPTO-Verschlüsselungsalgorithmen oder einer benutzerdefinierten Verschlüsselungsfunktion verschlüsseln. Die verschlüsselten Daten in Object Storage können auch für die Verwendung in einer externen Tabelle oder beim Import aus Object Storage mit den Verschlüsselungsalgorithmen DBMS_CRYPTO oder einer benutzerdefinierten Verschlüsselungsfunktion entschlüsselt werden. Anweisungen finden Sie unter Daten beim Export in Object Storage verschlüsseln und Daten beim Import aus Object Storage entschlüsseln.