Datenverschlüsselung in Autonomous AI Database on Dedicated Exadata Infrastructure

Autonomous AI Database on Dedicated Exadata Infrastructure verwendet eine Always-On-Verschlüsselung, mit der Daten im Ruhezustand und während der Übertragung geschützt werden. Alle in Oracle Cloud gespeicherten Daten sowie die zugehörige Netzwerkkommunikation sind standardmäßig verschlüsselt. Die Verschlüsselung kann nicht deaktiviert werden.

Verwandte Themen

Verschlüsselung von Daten im Ruhezustand

Daten im Ruhezustand werden mit TDE (Transparent Data Encryption) verschlüsselt, einer kryptografischen Lösung, die die Verarbeitung, Übertragung und Speicherung von Daten schützt. Jede autonome KI-Datenbank auf dedizierter Exadata-Infrastruktur verfügt über ihren eigenen Verschlüsselungsschlüssel, und die zugehörigen Backups verfügen über eigenen abweichenden Verschlüsselungsschlüssel.

Oracle Autonomous AI Database on Dedicated Exadata Infrastructure erstellt und verwaltet standardmäßig alle Masterverschlüsselungsschlüssel, die zum Schutz Ihrer Daten verwendet werden, und speichert diese in einem sicheren PKCS 12-Keystore auf denselben Exadata-Systemen, in denen die Datenbanken gelagert sind. Wenn Ihre Unternehmens-Sicherheits-Policys dies erfordern, kann Oracle Autonomous AI Database on Dedicated Exadata Infrastructure stattdessen Schlüssel verwenden, die Sie im Oracle Cloud Infrastructure Vault-Service oder Oracle Key Vault erstellen und verwalten, je nachdem, ob Sie Oracle Autonomous AI Database on Dedicated Exadata Infrastructure auf Oracle Cloud oder auf Exadata Cloud@Customer bereitstellen. Weitere Informationen finden Sie unter Masterverschlüsselungsschlüssel verwalten.

Unabhängig davon, ob Sie von Oracle verwaltete oder vom Kunden verwaltete Schlüssel verwenden, können Sie darüber hinaus die in vorhandenen Datenbanken verwendeten Schlüssel bei Bedarf rotieren, um die Sicherheits-Policys Ihres Unternehmens zu erfüllen.

Hinweis:

Wenn Sie eine Datenbank klonen, erhält die neue Datenbank ein eigenes neues Set von Verschlüsselungsschlüsseln.

Verschlüsselung von Daten während der Übertragung

Clients (Anwendungen und Tools) werden mit Oracle Net Services (auch als SQL*Net bezeichnet) und vordefinierten Datenbankverbindungsservices mit einer autonomen KI-Datenbank verbunden. Oracle Autonomous AI Database on Dedicated Exadata Infrastructure stellt zwei Arten von Datenbankverbindungsservices zur Verfügung, die jeweils über eine eigene Methode zum Verschlüsseln der Daten während der Übertragung zwischen der Datenbank und dem Client verfügen:

  • TCPS-(Secure TCP-)Datenbankverbindungsservices verwenden das branchenübliche TLS 1.2- und TLS 1.3-(Transport Layer Security-)Protokoll für Verbindungen. TLS 1.3 wird jedoch nur auf Oracle Database 23ai oder höher unterstützt.

    Wenn Sie eine autonome KI-Datenbank erstellen, wird ein Verbindungs-Wallet generiert, das alle erforderlichen Dateien enthält, die ein Client für die Verbindung mit TCPS verwendet. Sie verteilen dieses Wallet nur an die Clients, denen Sie Datenbankzugriff erteilen möchten, und die clientseitige Konfiguration verwendet Informationen im Wallet, um die Datenverschlüsselung mit symmetrischen Schlüsseln auszuführen.

  • TCP-Datenbankverbindungsservices verwenden das native Netzwerkverschlüsselungskryptosystem, das in Oracle Net Services integriert ist, um Daten während der Übertragung auszuhandeln und zu verschlüsseln. Für diese Aushandlung sind autonome KI-Datenbanken so konfiguriert, dass eine Verschlüsselung mit AES256-, AES192- oder AES128-Kryptografie erforderlich ist.

    Da die Verschlüsselung beim Herstellen der Verbindung ausgehandelt wird, benötigen TCP-Verbindungen nicht das für TCPS-Verbindungen erforderliche Verbindungs-Wallet. Der Client benötigt jedoch Informationen zu den Datenbankverbindungsservices. Klicken Sie auf DB-Verbindung auf der Seite Autonome KI-Datenbank - Details der Datenbank in der Oracle Cloud Infrastructure-Konsole und in der Datei tnsnames.ora, die in derselben herunterladbaren ZIP-Datei mit den Dateien enthalten ist, die für die Verbindung mit TCPS erforderlich sind.

Sie können Tabellendaten beim Export in Object Storage mit DBMS_CRYPTO-Verschlüsselungsalgorithmen oder einer benutzerdefinierten Verschlüsselungsfunktion verschlüsseln. Die verschlüsselten Daten in Object Storage können auch zur Verwendung in einer externen Tabelle oder beim Import aus Object Storage mit den Verschlüsselungsalgorithmen DBMS_CRYPTO oder einer benutzerdefinierten Verschlüsselungsfunktion entschlüsselt werden. Anweisungen finden Sie unter Daten beim Export in Object Storage verschlüsseln und Daten beim Import aus Object Storage entschlüsseln.