Gestionar claves de cifrado
En este artículo, se proporcionan los detalles sobre el cifrado y las claves de cifrado.
Oracle Base Database Service cifra los datos almacenados en tablas y tablespaces mediante el cifrado de datos transparente (TDE).
- Cifrado de datos transparente
- Base Database Service utiliza TDE para cifrar y descifrar todos los tablespaces creados por el usuario.
- Claves de cifrado
- Puede optar por cifrar la base de datos mediante sus propias claves de cifrado ("claves gestionadas por el cliente") o utilizar claves gestionadas por Oracle. Por defecto, Base Database Service utiliza claves gestionadas por Oracle. La clave gestionada por el cliente se almacena en OCI Vault, que es externo al host de la base de datos.
- clave de OCI Vault
- En OCI Vault, las claves de cifrado son entidades lógicas que contienen una o más versiones de clave que se utilizan para el cifrado y el descifrado. OCI Vault puede generar automáticamente estas versiones de clave o importarlas desde un origen externo (Bring-Your-Own-Key).
Para obtener más información, consulte Introducción al cifrado de datos transparente y Gestión de claves de OCI Vault.
Política de IAM necesaria
Si desea utilizar sus propias claves de cifrado para cifrar una base de datos, debe crear un grupo dinámico y asignar políticas específicas al grupo para las claves de cifrado gestionadas por el cliente. Consulte el tema Gestión de grupos dinámicos y Permitir a los administradores de seguridad gestionar almacenes, claves y secretos en Políticas comunes.
Información General
Al crear un nuevo sistema de base de datos, se asignará una clave tanto a la base de datos de contenedor como a la base de datos conectable.
La versión de clave, si se proporciona, solo se utilizará para la base de datos de contenedores y no para su base de datos conectable. A la base de datos conectable se le asignará una nueva versión de clave generada automáticamente. No se pueden asignar versiones de clave específicas a las bases de datos conectables durante la creación.
La base de datos de conexión siempre utilizará la misma clave que la base de datos de contenedor, pero con la misma versión de clave o una diferente.
Puede especificar cualquier versión de clave, incluida la última versión de la clave seleccionada.
Por defecto, la base de datos se configura mediante claves gestionadas por Oracle. Sin embargo, puede elegir configurarlo mediante claves gestionadas por el cliente.
Rotar clave de cifrado
La operación de rotación de clave de cifrado genera una nueva versión de clave para la misma clave.
Puede realizar cualquier número de rotaciones clave. La rotación periódica de claves limita la cantidad de datos cifrados o firmados por una versión de clave. También se mantiene el historial de claves retiradas, lo que le permite rotar la clave y aún así poder descifrar los datos cifrados por una clave anterior.
La clave de rotación en los niveles de base de datos de contenedor y base de datos conectable funciona de forma independiente entre sí. La operación de rotación de claves en una base de datos de contenedores no rotará claves en las bases de datos conectables. Del mismo modo, la rotación de claves en una base de datos conectable no rotará claves en otras bases de datos conectables ni en su base de datos de contenedores.
Para asegurarse de que está utilizando la última versión, rote las claves desde la página de detalles de la base de datos en la consola de OCI en lugar de la página de la consola del servicio Vault.
Note:
La rotación de claves de cifrado no está disponible para las bases de datos que utilizan el cifrado gestionado por Oracle.Para rotar una clave de cifrado mediante la consola de OCI, consulte Rotate Encryption Key for a Database y Rotate Encryption Key for a Pluggable Database.
Asignar versión de clave
Puede crear y asignar nuevas versiones de clave tanto para bases de datos de contenedor como para bases de datos conectables. Solo se puede cambiar la versión de la clave. La clave no se puede cambiar.
Para asignar la versión de clave mediante la consola de OCI, consulte Assign a New Key Version for a Database y Assign a New Key Version for a Pluggable Database.
Cambiar gestión de claves
Puede cambiar de claves gestionadas por Oracle a claves gestionadas por el cliente en bases de datos existentes. Sin embargo, no está soportado el cambio de claves gestionadas por el usuario a claves gestionadas por Oracle.
Cuando se cambia una clave para una base de datos de contenedores, también se aplica automáticamente a una base de datos conectable. La clave de una base de datos de conexión no se puede cambiar de forma independiente. La base de datos de conexión siempre utilizará la misma clave que la de la base de datos de contenedor, pero puede utilizar la misma versión de clave o una diferente.
Al cambiar a claves gestionadas por el cliente, la base de datos de contenedores y todas sus bases de datos conectables deben estar abiertas y todos los tablespaces deben estar en modo de lectura/escritura.
Para cambiar el tipo de gestión de claves mediante la consola de OCI, consulte Cambio del tipo de gestión de claves de una base de datos.
Clonación, Clonación Remota y Reubicación de Base de Datos de Conexión
La base de datos clonada utilizará la misma versión de clave que la base de datos de origen al clonar un sistema de base de datos que utiliza claves de cifrado gestionadas por el cliente.
Las bases de datos de origen y destino deben utilizar la misma clave, pero pueden tener una versión de clave diferente. La operación de clonación o reubicación remota falla si las bases de datos de origen y destino utilizan claves diferentes.
Las claves se rotan en el almacén de claves de destino después de las operaciones de clonación y reubicación remotas. Por lo tanto, se generarán nuevas versiones de clave para la base de datos conectable clonada o reubicada remota en la base de datos destino.