Datenverschlüsselung in Autonomous Database on Dedicated Exadata Infrastructure
Autonomous Database on Dedicated Exadata Infrastructure verwendet immer aktivierte Verschlüsselung, mit der Daten im Ruhezustand und bei der Übertragung geschützt werden. Alle in Oracle Cloud gespeicherten Daten sowie die zugehörige Netzwerkkommunikation sind standardmäßig verschlüsselt. Die Verschlüsselung kann nicht deaktiviert werden.
Verwandte Themen
Verschlüsselung von Daten im Ruhezustand
Daten im Ruhezustand werden mit TDE (Transparent Data Encryption) verschlüsselt, einer kryptografischen Lösung, die die Verarbeitung, Übertragung und Speicherung von Daten schützt. Jede Autonomous Database on Dedicated Exadata Infrastructure verfügt über einen eigenen Verschlüsselungsschlüssel, und die zugehörigen Backups verfügen über einen eigenen anderen Verschlüsselungsschlüssel.
Standardmäßig erstellt und verwaltet Oracle Autonomous Database alle Masterverschlüsselungsschlüssel zum Schutz Ihrer Daten und speichert diese in einem sicheren PKCS 12-Keystore auf denselben Exadata-Systemen, auf denen die Datenbanken gespeichert sind. Wenn die Sicherheits-Policys Ihres Unternehmens dies erfordern, kann Oracle Autonomous Database stattdessen Schlüssel verwenden, die Sie im Oracle Cloud Infrastructure Vault-Service oder in Oracle Key Vault erstellen und verwalten, je nachdem, ob Sie Oracle Autonomous Database auf Oracle Cloud oder auf Exadata Cloud@Customer bereitstellen. Weitere Informationen finden Sie unter Masterverschlüsselungsschlüssel verwalten.
Unabhängig davon, ob Sie von Oracle verwaltete oder vom Kunden verwaltete Schlüssel verwenden, können Sie darüber hinaus die in vorhandenen Datenbanken verwendeten Schlüssel bei Bedarf rotieren, um die Sicherheits-Policys Ihres Unternehmens zu erfüllen.
Hinweis:
Wenn Sie eine Datenbank klonen, erhält die neue Datenbank ein eigenes neues Set von Verschlüsselungsschlüsseln.Verschlüsselung von Daten während der Übertragung
Clients (Anwendungen und Tools) melden sich mit Oracle Net Services (auch als SQL*Net bezeichnet) und vordefinierten Datenbankverbindungsservices bei einer Autonomous Database an. Oracle Autonomous Database stellt zwei Arten von Datenbankverbindungsservices bereit, die jeweils eine eigene Methode zum Verschlüsseln von Daten während der Übertragung zwischen der Datenbank und dem Client verwenden:
-
TCPS-(Secure TCP-)Datenbankverbindungsservices verwenden das branchenübliche TLS 1.2- und TLS 1.3-(Transport Layer Security-)Protokoll für Verbindungen. TLS 1.3 wird jedoch nur auf Oracle Database 23ai oder höher unterstützt.
Wenn Sie eine autonome Datenbank erstellen, wird ein Verbindungs-Wallet generiert, das alle erforderlichen Dateien enthält, die ein Client für die Verbindung mit TCPS benötigt. Sie verteilen dieses Wallet nur an die Clients, denen Sie Datenbankzugriff erteilen möchten, und die clientseitige Konfiguration verwendet Informationen im Wallet, um die Datenverschlüsselung mit symmetrischen Schlüsseln auszuführen.
-
TCP-Datenbankverbindungsservices verwenden das native Netzwerkverschlüsselungssystem, das in Oracle Net Services integriert ist, um Daten während der Übertragung auszuhandeln und zu verschlüsseln. Für diese Aushandlung sind Autonomous Databases so konfiguriert, dass eine Verschlüsselung mit der Kryptografie AES256, AES192 oder AES128 erforderlich ist.
Da die Verschlüsselung beim Herstellen der Verbindung ausgehandelt wird, benötigen TCP-Verbindungen nicht das für TCPS-Verbindungen erforderliche Verbindungs-Wallet. Der Client benötigt jedoch Informationen zu den Datenbankverbindungsservices. Diese Informationen sind verfügbar, indem Sie auf der Seite Autonomous Database-Details der Datenbank in der Oracle Cloud Infrastructure-Konsole und in der Datei
tnsnames.ora
auf DB-Verbindung klicken, die in derselben herunterladbaren ZIP-Datei enthalten ist, in der die Dateien enthalten sind, die für die Verbindung mit TCPS erforderlich sind.
Sie können Tabellendaten beim Export in Object Storage mit DBMS_CRYPTO
-Verschlüsselungsalgorithmen oder einer benutzerdefinierten Verschlüsselungsfunktion verschlüsseln. Die verschlüsselten Daten in Object Storage können auch zur Verwendung in einer externen Tabelle oder beim Import aus Object Storage mit den Verschlüsselungsalgorithmen DBMS_CRYPTO
oder einer benutzerdefinierten Verschlüsselungsfunktion entschlüsselt werden. Anweisungen finden Sie unter Daten beim Export in Object Storage verschlüsseln und Daten beim Import aus Object Storage entschlüsseln.