Chiffrement de données dans une base de données avec intelligence artificielle autonome sur une infrastructure Exadata dédiée
Une base de données autonome avec intelligence artificielle sur une infrastructure Exadata dédiée utilise un chiffrement permanent qui protège les données au repos et en transit. Toutes les données stockées et les communications réseau avec Oracle Cloud sont chiffrées par défaut. Le chiffrement ne peut pas être désactivé.
Chiffrement des données au repos
Les données au repos sont chiffrées à l'aide du chiffrement transparent des données (TDE), une solution cryptographique qui protège le traitement, la transmission et le stockage des données. Chaque base de données d'IA autonome sur une infrastructure Exadata dédiée a sa propre clé de chiffrement et ses sauvegardes ont leur propre clé de chiffrement différente.
Par défaut, Oracle Autonomous AI Database sur une infrastructure Exadata dédiée crée et gère toutes les clés de chiffrement principales utilisées pour protéger vos données, en les stockant dans un magasin de clés PKCS 12 sécurisé sur le même système Exadata que celui où résident les bases de données. Si les politiques de sécurité de votre entreprise l'exigent, Oracle Autonomous AI Database sur une infrastructure Exadata dédiée peut utiliser des clés que vous créez et gérez dans le service Oracle Cloud Infrastructure Vault ou Oracle Key Vault, selon que vous déployez Oracle Autonomous AI Database sur une infrastructure Exadata dédiée sur Oracle Cloud ou sur Exadata Cloud@Customer. Pour plus d'informations, voir Gérer les clés de chiffrement principales.
De plus, que vous utilisiez des clés gérées par Oracle ou gérées par le client, vous pouvez effectuer une rotation des clés utilisées dans les bases de données existantes, lorsque les politiques de sécurité de votre entreprise l'exigent.
Note : Lorsque vous clonez une base de données, celle-ci obtient son propre nouveau jeu de clés de chiffrement.
Chiffrement des données en transit
Les clients (applications et outils) se connectent à une base de données d'IA autonome à l'aide d'Oracle Net Services (également appelé SQL*Net) et de services de connexion de base de données prédéfinis. Oracle Autonomous AI Database sur une infrastructure Exadata dédiée fournit deux types de service de connexion à la base de données, chacun utilisant sa propre technique pour chiffrer les données en transit entre la base de données et le client :
-
Les services de connexion à la base de données TCPS (Secure TCP) utilisent les protocoles TLS 1.2 et TLS 1.3 (Transport Layer Security) standard pour les connexions. Toutefois, TLS 1.3 n'est pris en charge que sur Oracle Database 23ai ou une version ultérieure.
Lorsque vous créez une base de données IA autonome, un portefeuille de connexions est généré, contenant tous les fichiers nécessaires à la connexion d'un client à l'aide de TCPS. Vous ne distribuez ce portefeuille qu'aux clients auxquels vous souhaitez accorder l'accès à la base de données. La configuration côté client utilise les informations du portefeuille pour effectuer le chiffrement des données à clé symétrique.
-
Les services de connexion à la base de données TCP utilisent le système de chiffrement natif Network Encryption intégré à Oracle Net Services pour négocier et chiffrer les données lors de leur transmission. Pour cette négociation, les bases de données autonomes d'IA sont configurées pour exiger le chiffrement à l'aide de la cryptographie AES256, AES192 ou AES128.
Comme le chiffrement est négocié lorsque la connexion est établie, les connexions TCP n'ont pas besoin du portefeuille de connexions requis pour les connexions TCPS. Toutefois, le client a besoin d'informations sur les services de connexion à la base de données. Ces informations sont disponibles en cliquant sur Connexion à la base de données dans la page Détails de la base de données d'intelligence artificielle autonome de la console Oracle Cloud Infrastructure et dans le fichier
tnsnames.orainclus dans le même fichier zip téléchargeable contenant les fichiers nécessaires pour se connecter à l'aide de TCPS.
Vous pouvez ainsi chiffrer les données des tables lors de l'exportation vers le service de stockage d'objets à l'aide d'algorithmes de chiffrement DBMS_CRYPTO ou d'une fonction de chiffrement définie par l'utilisateur. Les données chiffrées dans le service de stockage d'objets peuvent également être déchiffrées pour une utilisation dans une table externe ou lors de l'importation à partir du service de stockage d'objets à l'aide des algorithmes de chiffrement DBMS_CRYPTO ou d'une fonction de chiffrement définie par l'utilisateur. Pour obtenir des instructions, voir Chiffrer les données lors de l'exportation vers le stockage d'objets et Décrypter les données lors de l'importation à partir du stockage d'objets.