Chiffrement dans le service de base de données autonome sur une infrastructure Exadata dédiée

Autonomous Database sur une infrastructure Exadata dédiée utilise le chiffrement permanent qui protège les données au repos et en transit. Toutes les données stockées et les communications réseau avec Oracle Cloud sont chiffrées par défaut. Le chiffrement ne peut pas être désactivé.

Rubriques connexes

Chiffrement des données au repos

Les données au repos sont chiffrées à l'aide du chiffrement transparent des données (TDE), une solution cryptographique qui protège le traitement, la transmission et le stockage des données. Chaque infrastructure Autonomous Database sur une infrastructure Exadata dédiée a sa propre clé de chiffrement et ses sauvegardes ont leur propre clé de chiffrement différente.

Par défaut, Oracle Autonomous Database crée et gère toutes les clés de chiffrement principales utilisées pour protéger vos données, en les stockant dans un magasin de clés PKCS 12 sécurisé sur les systèmes Exadata où résident les bases de données. Si les politiques de sécurité de votre entreprise l'exigent, Oracle Autonomous Database peut utiliser les clés que vous créez et gérez dans le service de chambre forte pour Oracle Cloud Infrastructure ou Oracle Key Vault, selon que vous avez déployé Oracle Autonomous Database sur Oracle Cloud ou sur Exadata Cloud@Customer. Pour plus d'informations, voir Gérer les clés de chiffrement principales.

De plus, que vous utilisiez des clés gérées par Oracle ou gérées par le client, vous pouvez effectuer une rotation des clés utilisées dans les bases de données existantes, lorsque les politiques de sécurité de votre entreprise l'exigent.

Note :

Lorsque vous clonez une base de données, la nouvelle base reçoit son propre nouveau jeu de clés de chiffrement.

Chiffrement des données en transit

Les clients (applications et outils) se connectent à une base de données Autonomous Database à l'aide d'Oracle Net Services (également appelé SQL*Net) et de services de connexion à la base de données prédéfinis. Oracle Autonomous Database fournit deux types de service de connexion à la base de données, chacun utilisant sa propre technique pour chiffrer les données en transit entre la base de données et le client :

  • Les services de connexion à la base de données TCPS (Secure TCP) utilisent les protocoles TLS 1.2 et TLS 1.3 (Transport Layer Security) standard pour les connexions. Toutefois, TLS 1.3 n'est pris en charge que sur Oracle Database 23ai ou une version ultérieure.

    Lorsque vous créez une base de données autonome, un portefeuille de connexions est généré, contenant tous les fichiers nécessaires pour qu'un client puisse se connecter à l'aide de TCPS. Vous ne distribuez ce portefeuille qu'aux clients auxquels vous souhaitez accorder l'accès à la base de données. La configuration côté client utilise les informations du portefeuille pour effectuer le chiffrement des données à clé symétrique.

  • Les services TCP Database Connection utilisent le système de chiffrement réseau natif intégré à Oracle Net Services pour négocier et chiffrer les données lors de la transmission. Pour cette négociation, les bases de données Autonomous Database sont configurées pour exiger le chiffrement à l'aide de la cryptographie AES256, AES192 ou AES128.

    Comme le chiffrement est négocié lorsque la connexion est établie, les connexions TCP n'ont pas besoin du portefeuille de connexions requis pour les connexions TCPS. Toutefois, le client a besoin d'informations sur les services de connexion à la base de données. Ces informations sont disponibles en cliquant sur Connexion à la base de données dans la page Détails de la base de données Autonomous Database de la console Oracle Cloud Infrastructure et dans le fichier tnsnames.ora inclus dans le même fichier zip téléchargeable contenant les fichiers nécessaires à la connexion à l'aide de TCPS.

Vous pouvez chiffrer les données de table lors de l'exportation vers le stockage d'objets à l'aide d'algorithmes de chiffrement DBMS_CRYPTO ou d'une fonction de chiffrement définie par l'utilisateur. Les données chiffrées dans le stockage d'objets peuvent également être déchiffrées pour une utilisation dans une table externe ou lors de l'importation à partir du stockage d'objets à l'aide des algorithmes de chiffrement DBMS_CRYPTO ou d'une fonction de chiffrement définie par l'utilisateur. Pour obtenir des instructions, voir Chiffrer les données lors de l'exportation vers le stockage d'objets et Déchiffrer les données lors de l'importation à partir du stockage d'objets.