Cifrado de Datos en Autonomous AI Database on Dedicated Exadata Infrastructure
La base de datos de IA autónoma en una infraestructura de Exadata dedicada utiliza un cifrado siempre activo que protege los datos estáticos y en tránsito. Por defecto, se cifran todos los datos almacenados y la comunicación de red con Oracle Cloud. El cifrado no se puede desactivar.
Cifrado de datos estáticos
Los datos estáticos se cifran mediante cifrado de datos transparente (TDE), una solución criptográfica que protege el procesamiento, la transmisión y el almacenamiento de datos. Cada base de datos de IA autónoma en una infraestructura de Exadata dedicada tiene su propia clave de cifrado, y sus copias de seguridad tienen su propia clave de cifrado diferente.
Por defecto, Oracle Autonomous AI Database en una infraestructura de Exadata dedicada crea y gestiona todas las claves de cifrado maestras que se utilizan para proteger los datos, almacenándolas en un almacén de claves PKCS 12 seguro en los mismos sistemas de de Exadata en el que residen las bases de datos. Si las políticas de seguridad de su empresa lo requieren, Oracle Autonomous AI Database on Dedicated Exadata Infrastructure puede usar claves que cree y gestione en el servicio Oracle Cloud Infrastructure Vault u Oracle Key Vault, según si está desplegando Oracle Autonomous AI Database en Dedicated Exadata Infrastructure en Oracle Cloud o en Exadata Cloud@Customer. Para obtener más información, consulte Gestión de claves de cifrado maestras.
Además, independientemente de si utiliza claves gestionadas por Oracle o por el cliente, puede rotar las claves que se utilizan en las bases de datos existentes cuando sea necesario para cumplir las políticas de seguridad de la compañía.
Nota: al clonar una base en la que la nueva base se obtiene su propio nuevo juego de claves de cifrado.
Cifrado de datos en tránsito
Los clientes (aplicaciones y herramientas) se conectan a una base de datos de IA autónoma mediante Oracle Net Services (también conocido como SQL*Net) y servicios de conexión de base de datos predefinidos. Oracle Autonomous AI Database en una infraestructura de Exadata dedicada proporciona dos tipos de servicios de conexión a base de Datos, cada una con su propia técnica para cifrar datos en tránsito entre la base de Datos y el cliente:
-
Los servicios de conexión a base de datos de TPS (TCP seguro) utilizan el protocolo TLS 1.2 y TLS 1.3 (seguridad de capa de transporte) estándar del sector para las conexiones. Sin embargo, TLS 1.3 solo está soportado en Oracle Database 23ai o posterior.
Al crear una base de datos de IA autónoma, se genera una cartera de conexión que contiene todos los archivos necesarios para la conexión de un cliente mediante TCPS. Distribuya esta cartera solo a los clientes a los que desee otorgar acceso a la base de datos, y la configuración del cliente utilizará la información de la cartera para realizar el cifrado de datos de clave simétrica.
-
Servicios de conexión de base de datos TCP utilice el sistema de cifrado de red nativa integrado en Oracle Net Services para negociar y cifrar la información durante la transmisión. Para esta negociación, las bases de datos de IA autónomas se configuran para requerir cifrado mediante criptografía AES256, AES192 o AES128.
Dado que el cifrado se negocia cuando se realiza la conexión, las conexiones TCP no necesitan la cartera de conexión necesaria para las conexiones TCPS. Sin embargo, el cliente necesita la información sobre los servicios de conexión a la base de datos. Esta información está disponible haciendo clic en la Conexión de base de Datos en la página Detalles de Base de Datos de IA autónoma de la base de Datos en la consola de la instancia de Oracle Cloud Infrastructure y en el archivo
tnsnames.oraque se incluye en el mismo archivo zip descargable y que contiene los archivos necesarios para conectarse mediante TCPS.
Puede cifrar los datos de la tabla al exportar a Object Storage mediante algoritmos de cifrado DBMS_CRYPTO o una función de cifrado definida por el usuario. Los datos cifrados de Object Storage también se pueden descifrar para su uso en una tabla externa o al importar desde Object Storage mediante los algoritmos de cifrado DBMS_CRYPTO o una función de cifrado definida por el usuario. Consulte Cifrado de datos al exportar a Object Storage y Descifrado de datos al importar desde Object Storage para obtener instrucciones.