Cifrado de Datos en Autonomous AI Database on Dedicated Exadata Infrastructure
Autonomous AI Database on Dedicated Exadata Infrastructure utiliza un cifrado siempre activo que protege los datos estáticos y en tránsito. Por defecto, se cifran todos los datos almacenados y la comunicación de red con Oracle Cloud. El cifrado no se puede desactivar.
Temas relacionados
Cifrado de datos estáticos
Los datos estáticos se cifran mediante cifrado de datos transparente (TDE), una solución criptográfica que protege el procesamiento, la transmisión y el almacenamiento de datos. Cada base de datos de IA autónoma en infraestructura de Exadata dedicada tiene su propia clave de cifrado, y sus copias de seguridad tienen su propia clave de cifrado diferente.
By default, Oracle Autonomous AI Database on Dedicated Exadata Infrastructure creates and manages all the master encryption keys used to protect your data, storing them in a secure PKCS 12 keystore on the same Exadata systems where the databases reside. Si las políticas de seguridad de su empresa lo requieren, Oracle Autonomous AI Database on Dedicated Exadata Infrastructure puede utilizar claves que cree y gestione en el servicio Oracle Cloud Infrastructure Vault u Oracle Key Vault, en función de si está desplegando Oracle Autonomous AI Database on Dedicated Exadata Infrastructure en Oracle Cloud o en Exadata Cloud@Customer. Para obtener más información, consulte Gestión de claves de cifrado maestras.
Además, independientemente de si utiliza claves gestionadas por Oracle o por el cliente, puede rotar las claves que se utilizan en las bases de datos existentes cuando sea necesario para cumplir las políticas de seguridad de la compañía.
Note:
Al clonar una base de datos, la nueva base de datos obtiene su propio nuevo juego de claves de cifrado.Cifrado de datos en tránsito
Los clientes (aplicaciones y herramientas) se conectan a una base de datos de IA autónoma mediante Oracle Net Services (también conocida como SQL*Net) y servicios de conexión de base de datos predefinidos. Oracle Autonomous AI Database on Dedicated Exadata Infrastructure proporciona dos tipos de servicios de conexión a base de información, cada una con su propia técnica para cifrar datos en tránsito entre la base de información y el cliente:
-
Los servicios de conexión a base de datos de TPS (TCP seguro) utilizan el protocolo TLS 1.2 y TLS 1.3 (seguridad de capa de transporte) estándar del sector para las conexiones. Sin embargo, TLS 1.3 solo está soportado en Oracle Database 23ai o posterior.
Al crear una base de datos de IA autónoma, se genera una cartera de conexión que contiene todos los archivos necesarios para la conexión de un cliente mediante TCPS. Distribuya esta cartera solo a los clientes a los que desee otorgar acceso a la base de datos, y la configuración del cliente utilizará la información de la cartera para realizar el cifrado de datos de clave simétrica.
-
Servicios de conexión de base de datos TCP utilice el sistema de cifrado de red nativa integrado en Oracle Net Services para negociar y cifrar la información durante la transmisión. Para esta negociación, las base de datos de IA autónoma se configuran para requerir cifrado mediante criptografía AES256, AES192 o AES128.
Dado que el cifrado se negocia cuando se realiza la conexión, las conexiones TCP no necesitan la cartera de conexión necesaria para las conexiones TCPS. Sin embargo, el cliente necesita la información sobre los servicios de conexión a la base de datos. Esta información está disponible haciendo clic enConexión de base de Datos en la página Detalles de base de datos de Autonomous AI de la base de Datos en la Consola de Oracle Cloud Infrastructure y en el archivo
tnsnames.oraque se incluye en el mismo archivo zip descargable y que contiene los archivos necesarios para conectarse mediante TCPS.
Puede cifrar los datos de la tabla al exportar a Object Storage mediante algoritmos de cifrado DBMS_CRYPTO o una función de cifrado definida por el usuario. Los datos cifrados en Object Storage también se pueden descifrar para utilizarlos en una tabla externa o al importarlos desde Object Storage mediante los algoritmos de cifrado DBMS_CRYPTO o una función de cifrado definida por el usuario. Consulte Cifrado de datos durante la exportación a Object Storage y Descifrado de datos durante la importación desde Object Storage para obtener instrucciones.