Documentación de Oracle Cloud Infrastructure

Configuración de funciones de Oracle Database para Oracle Exadata Database Service en infraestructura de Exascale

Descubra cómo configurar Oracle Multitenant, el cifrado de tablespaces y otras opciones para la instancia de Oracle Exadata Database Service en la infraestructura de Exascale.

Tema principal: Guías de procedimientos

Uso de Oracle Multitenant en una instancia de Oracle Exadata Database Service en la infraestructura de Exascale

Obtenga información sobre los requisitos para diferentes funciones al utilizar entornos multi-inquilino en Oracle Exadata Database Service on Exascale Infrastructure.

Al crear una instancia de Oracle Exadata Database Service en la infraestructura de Exascale, se crea un entorno de Oracle Multitenant.

La arquitectura multicliente permite que Oracle Database funcione como una base de datos de contenedores multicliente (CDB) que incluye cero, una o varias bases de datos conectables (PDB). Una PDB es una recopilación portátil de esquemas, objetos de esquema y objetos no de esquema que le aparece a un cliente Oracle Net Services como una base de datos sin contenedor.

Para utilizar Oracle Transparent Data Encryption (TDE) en una base de datos conectable (PDB), debe crear y activar una clave de cifrado maestra para la PDB.

En un entorno multiinquilino, cada PDB tiene su propia clave de cifrado maestra, que se almacena en un único almacén de claves que utilizan todos los contenedores.

Debe exportar e importar la clave de cifrado maestra para todas las bases de datos conectadas a la CDB de la instancia de infraestructura de Exascale de Oracle Exadata Database Service.

Si la PDB de origen está cifrada, debe exportar la clave de cifrado maestra y, a continuación, importarla.

Puede exportar e importar todas las claves de cifrado maestras de TDE que pertenezcan a la PDB exportando e importando las claves de cifrado maestras de TDE desde una PDB. La exportación e importación de claves de cifrado maestras de TDE soportan las operaciones de conexión y desconexión de PDB. Durante la desconexión y conexión de una PDB, están implicadas todas las claves de cifrado maestras de TDE que pertenecen a una PDB, así como los metadatos.

Consulte "Uso del Cifrado de Datos Transparente con Otras Funciones de Oracle" en la Guía de Seguridad Avanzada de Oracle Database.

Consulte "Gestión de claves de administrador" en Oracle Database SQL Language Reference.

Determinación de si se necesita crear y activar una clave de cifrado para la PDB

  1. Llame a SQL*Plus y conéctese a la base de datos como usuario SYS con privilegios SYSDBA.

  2. Defina el contenedor en la PDB:

    SQL> ALTER SESSION SET CONTAINER = pdb;

  3. Realice una consulta en V$ENCRYPTION_WALLET de la siguiente forma: 

    SQL> SELECT wrl_parameter, status, wallet_type FROM v$encryption_wallet;

    Si la columna STATUS contiene el valor OPEN_NO_MASTER_KEY, debe crear y activar la clave de cifrado maestra.

Creación y activación de la clave de cifrado maestra en una PDB

  1. Defina el contenedor en la PDB:

    SQL> ALTER SESSION SET CONTAINER = pdb;

  2. Para crear y activar una clave de cifrado maestra en la PDB, ejecute el siguiente comando:

    SQL> ADMINISTER KEY MANAGEMENT SET KEY USING TAG 'tag' FORCE KEYSTORE IDENTIFIED BY keystore-password WITH BACKUP USING 'backup_identifier';

    En el comando anterior:

    • keystore-password es la contraseña del almacén de claves. Por defecto, la contraseña del almacén de claves está definida en el valor de la contraseña de administración especificada cuando se creó la base de datos.
    • La cláusula opcional USING TAG 'tag' se puede utilizar para asociar una etiqueta a la nueva clave de cifrado maestra.
    • La cláusula WITH BACKUP y la cláusula opcional USING 'backup_identifier' se pueden utilizar para crear una copia de seguridad del almacén de claves antes de que se cree la nueva clave de cifrado maestra.

    Consulte también ADMINISTER KEY MANAGEMENT en Oracle Database SQL Language Reference para la versión19, 18 o 12.2.

    Nota

    Para activar las operaciones de gestión de claves mientras el almacén de claves está en uso, Oracle Database 12c versión 2 y las versiones posteriores incluyen la opción FORCE KEYSTORE para el comando ADMINISTER KEY MANAGEMENT. Esta opción también está disponible para Oracle Database 12c versión 1 con el paquete de parches de octubre de 2017 o posteriores.

    Si la base de datos de Oracle Database 12c versión 1 no tiene instalado el paquete de parches de octubre de 2017 o posteriores, puede realizar los siguientes pasos alternativos:

    1. Cierre el almacén de claves.
    2. Abra el almacén de claves basado en contraseña.
    3. Utilice ADMINISTER KEY MANAGEMENT sin la opción FORCE KEYSTORE para crear y activar una clave de cifrado maestra en la PDB.
    4. Actualice el almacén de claves de conexión automática mediante ADMINISTER KEY MANAGEMENT con la opción CREATE AUTO_LOGIN KEYSTORE FROM KEYSTORE.

  3. Vuelva a realizar la consulta V$ENCRYPTION_WALLET para verificar que la columna STATUS está definida en OPEN: 

    SQL> SELECT wrl_parameter, status, wallet_type FROM v$encryption_wallet;

  4. Realice la consulta V$INSTANCE y anote el valor de la columna HOST_NAME, que identifica el servidor de base de datos que contiene los archivos del almacén de claves recién actualizados: 

    SQL> SELECT host_name FROM v$instance;

  5. Copie los archivos del almacén de claves actualizado en el resto de servidores de base de datos.

    Para distribuir el almacén de claves actualizado, debe realizar las siguientes acciones en cada servidor de base de datos que no contenga los archivos del almacén de claves actualizado:

    1. Conéctese al contenedor raíz y realice la consulta V$ENCRYPTION_WALLET. Tome nota de la ubicación del almacén de claves que aparece en la columna WRL_PARAMETER: 

      SQL> SELECT wrl_parameter, status FROM v$encryption_wallet;

    2. Copie los archivos del almacén de claves actualizado.

      Debe copiar todos los archivos del almacén de claves actualizado de un servidor de base de datos que ya esté actualizado. Utilice la ubicación de almacén de claves que aparece en la columna WRL_PARAMETER de V$ENCRYPTION_WALLET.

    Abra el almacén de claves actualizado:
    SQL> ADMINISTER KEY MANAGEMENT SET KEYSTORE open FORCE KEYSTORE IDENTIFIED BY keystore-password CONTAINER=all;
    Nota

    Para activar las operaciones de gestión de claves mientras el almacén de claves está en uso, Oracle Database 12c versión 2 y las versiones posteriores incluyen la opción FORCE KEYSTORE para el comando ADMINISTER KEY MANAGEMENT. Esta opción también está disponible para Oracle Database 12c versión 1 con el paquete de parches de octubre de 2017 o posteriores.

    Si la base de datos de Oracle Database 12c versión 1 no tiene instalado el paquete de parches de octubre de 2017 o posteriores, puede realizar los siguientes pasos alternativos:

    1. Cierre el almacén de claves antes de copiar los archivos del almacén de claves actualizado.
    2. Copie los archivos del almacén de claves actualizado.
    3. Abra el almacén de claves actualizado utilizando ADMINISTER KEY MANAGEMENT sin la opción FORCE KEYSTORE.

  6. Realice la consulta GV$ENCRYPTION_WALLET para verificar que la columna STATUS está definida en OPEN en todas las instancias de base de datos: 

    SQL> SELECT wrl_parameter, status, wallet_type FROM gv$encryption_wallet;

Para exportar e importar una clave de cifrado maestra

  1. Exporte la clave de cifrado maestra.
    1. Llame a SQL*Plus y conéctese a la PDB.

    2. Ejecute el siguiente comando:

      SQL> ADMINISTER KEY MANAGEMENT EXPORT ENCRYPTION KEYS WITH SECRET "secret" TO 'filename' IDENTIFIED BY keystore-password;
  2. Importe la clave de cifrado maestra.
    1. Llame a SQL*Plus y conéctese a la PDB.

    2. Ejecute el siguiente comando:

      SQL> ADMINISTER KEY MANAGEMENT IMPORT ENCRYPTION KEYS WITH SECRET "secret" FROM 'filename' IDENTIFIED BY keystore-password;

Gestión del cifrado de tablespaces

Obtener información sobre cómo se implanta el cifrado de tablespaces en Oracle Exadata Database Service en la infraestructura de Exascale

Por defecto, todos los tablespaces nuevos que se crean en una base de datos de Exadata están cifrados.

Sin embargo, es posible que los tablespaces que se generan inicialmente cuando se crea la base de datos no estén cifrados por defecto.

  • Para las bases de datos que utilizan Oracle Database 12c versión 2 o versiones posteriores, solo están cifrados los tablespaces de USERS generados inicialmente cuando se creó la base de datos. Los demás tablespaces no están cifrados, incluidos los tablespaces que no son de USERS de:
    • El contenedor raíz (CDB$ROOT).
    • La base de datos conectable inicial (PDB$SEED).
    • La primera PDB, que se genera cuando se crea la base de datos.
  • Para las bases de datos que utilizan Oracle Database 12c versión 1 u Oracle Database 11g, ninguno de los tablespaces generados inicialmente cuando se creó la base de datos están cifrados.

Para obtener más información sobre la implementación del cifrado de tablespaces en Exadata y sobre cómo influye en distintos escenarios de despliegue, consulte:

Comportamiento de cifrado de tablespace de Oracle Database en Oracle Cloud (ID de documento 2359020.1).

Creación de tablespaces cifrados

Los tablespaces creados por el usuario están cifrados por defecto.

Por defecto, los tablespaces nuevos creados mediante el comando SQL CREATE TABLESPACE se cifran con el algoritmo de cifrado AES128. No es necesario incluir la cláusula USING 'encrypt_algorithm' para utilizar el cifrado por defecto.

Puede especificar otro algoritmo soportado incluyendo la cláusula USING 'encrypt_algorithm' en el comando CREATE TABLESPACE. Los algoritmos soportados son AES256, AES192, AES128 y 3DES168.

Gestión del cifrado de tablespaces

Puede gestionar el almacén de claves de software (conocido como cartera de Oracle en Oracle Database 11g) y la clave de cifrado maestra, así como controlar si el cifrado está activado por defecto.

Gestión de la clave de cifrado maestra

El cifrado de tablespaces utiliza una arquitectura de dos niveles basada en claves para cifrar (y descifrar) de forma transparente los tablespaces. La clave de cifrado maestra se almacena en un módulo de seguridad externo (almacén de claves de software). Esta clave de cifrado maestra se utiliza para cifrar la clave de cifrado del tablespace que, a su vez, se utiliza para cifrar y descifrar los datos del tablespace.

Cuando se crea una base de datos en una instancia de Exadata Cloud Service, se crea un almacén de claves de software local. El almacén de claves es local para los nodos de cálculo y está protegido por la contraseña de administración especificada durante el proceso de creación de la base de datos. El almacén de claves de software de conexión automática se abre automáticamente cuando se inicia la base de datos.

Puede cambiar (rotar) la clave de cifrado maestra utilizando la sentencia ADMINISTER KEY MANAGEMENT SQL. Por ejemplo: 

SQL> ADMINISTER KEY MANAGEMENT SET ENCRYPTION KEY USING TAG 'tag'
IDENTIFIED BY password WITH BACKUP USING 'backup';
keystore altered.

Consulte "Gestión de la clave de cifrado maestra de TDE" en Oracle Database Advanced Security Guide.

Control del cifrado de tablespaces por defecto

El parámetro de inicialización ENCRYPT_NEW_TABLESPACES controla el cifrado por defecto de los nuevos tablespaces. En las bases de datos de Exadata, este parámetro está definido en CLOUD_ONLY por defecto.

Los valores de este parámetro son los siguientes.

Valor Descripción
ALWAYS Durante la creación, los tablespaces se cifran de forma transparente con el algoritmo AES128 a menos que se especifique un algoritmo diferente en la cláusula ENCRYPTION.
CLOUD_ONLY Los tablespace creados en una base de datos de Exadata se cifran de forma transparente con el algoritmo AES128 a menos que se especifique un algoritmo diferente en la cláusula ENCRYPTION. Para bases de datos que no estén en la nube, los tablespaces solo se cifran si se especifica la cláusula ENCRYPTION. ENCRYPTION es el valor por defecto.
DDL Durante la creación, los tablespaces no se cifran de forma transparente por defecto y solo se cifran si se especifica la cláusula ENCRYPTION.
Nota

Con Oracle Database 12c versión 2 (12.2) o versiones posteriores, ya no es posible crear un tablespace no cifrado en una base de datos de Exadata. Se devuelve un mensaje de error si define ENCRYPT_NEW_TABLESPACES en DDL y emite un comando CREATE TABLESPACE sin especificar una cláusula ENCRYPTION.