Cifrado de datos en Autonomous Database on Dedicated Exadata Infrastructure
Autonomous Database on Dedicated Exadata Infrastructure utiliza un cifrado siempre activado que protege los datos estáticos y en tránsito. Por defecto, se cifran todos los datos almacenados y la comunicación de red con Oracle Cloud. El cifrado no se puede desactivar.
Temas relacionados
Cifrado de datos estáticos
Los datos estáticos se cifran mediante cifrado de datos transparente (TDE), una solución criptográfica que protege el procesamiento, la transmisión y el almacenamiento de datos. Cada Autonomous Database on Dedicated Exadata Infrastructure tiene su propia clave de cifrado, y sus copias de seguridad tienen su propia clave de cifrado diferente.
Por defecto, Oracle Autonomous Database crea y gestiona todas las claves de cifrado maestras que se utilizan para proteger los datos, almacenándolas en un almacén de claves PKCS 12 seguro en los mismos sistemas de Exadata en los que residen las bases de datos. Si las políticas de seguridad de su compañía lo requieren, Oracle Autonomous Database puede utilizar en su lugar las claves que cree y gestione en el servicio Oracle Cloud Infrastructure Vault u Oracle Key Vault, en función de si va a desplegar Oracle Autonomous Database en Oracle Cloud o en Exadata Cloud at Customer. Para obtener más información, consulte Gestión de claves de cifrado maestras.
Además, independientemente de si utiliza claves gestionadas por Oracle o por el cliente, puede rotar las claves que se utilizan en las bases de datos existentes cuando sea necesario para cumplir las políticas de seguridad de la compañía.
Note:
Al clonar una base de datos, la nueva base de datos obtiene su propio nuevo juego de claves de cifrado.Cifrado de datos en tránsito
Los clientes (aplicaciones y herramientas) se conectan a una instancia de Autonomous Database mediante Oracle Net Services (también conocido como SQL*Net) y servicios de conexión a base de datos predefinidos. Oracle Autonomous Database proporciona dos tipos de servicios de conexión a base de datos, cada uno con su propia técnica para el cifrado de datos en tránsito entre la base de datos y el cliente:
-
Los servicios de conexión a base de datos de TPS (TCP seguro) utilizan el protocolo TLS 1.2 y TLS 1.3 (seguridad de capa de transporte) estándar del sector para las conexiones. Sin embargo, TLS 1.3 solo está soportado en Oracle Database 23ai o posterior.
Al crear una base de datos autónoma, se genera una cartera de conexión que contiene todos los archivos necesarios para que un cliente se conecte mediante TCPS. Distribuya esta cartera solo a los clientes a los que desee otorgar acceso a la base de datos, y la configuración del cliente utilizará la información de la cartera para realizar el cifrado de datos de clave simétrica.
-
Servicios de conexión a base de datos TCP utilice el criptosistema de cifrado de red nativa integrado en Oracle Net Services para negociar y cifrar los datos durante la transmisión. Para esta negociación, las Autonomous Database se configuran para requerir cifrado mediante criptografía AES256, AES192 o AES128.
Dado que el cifrado se negocia cuando se realiza la conexión, las conexiones TCP no necesitan la cartera de conexión necesaria para las conexiones TCPS. Sin embargo, el cliente necesita la información sobre los servicios de conexión a la base de datos. Esta información está disponible haciendo clic en Conexión de base de datos en la página Detalles de Autonomous Database de la base de datos en la consola de Oracle Cloud Infrastructure y en el archivo
tnsnames.oraque se incluye en el mismo archivo zip descargable que contiene los archivos necesarios para conectarse mediante TCPS.
Puede cifrar los datos de la tabla al exportar a Object Storage mediante algoritmos de cifrado DBMS_CRYPTO o una función de cifrado definida por el usuario. Los datos cifrados en Object Storage también se pueden descifrar para utilizarlos en una tabla externa o al importarlos desde Object Storage mediante los algoritmos de cifrado DBMS_CRYPTO o una función de cifrado definida por el usuario. Consulte Cifrado de datos durante la exportación a Object Storage y Descifrado de datos durante la importación desde Object Storage para obtener instrucciones.