Cryptage de données dans la base de données Autonomous AI sur une infrastructure Exadata dédiée
La base de données Autonomous AI sur une infrastructure Exadata dédiée utilise un cryptage permanent qui protège les données au repos et en transit. Toutes les données stockées dans Oracle Cloud et les communications réseau avec Oracle Cloud sont cryptées par défaut. Vous ne pouvez pas désactiver le cryptage.
Cryptage des données au repos
Les données au repos sont cryptées à l'aide du cryptage transparent des données, une solution cryptographique qui protège le traitement, la transmission et le stockage des données. Chaque base de données Autonomous AI sur une infrastructure Exadata dédiée possède sa propre clé de cryptage, et ses sauvegardes ont leur propre clé de cryptage différente.
Par défaut, Oracle Autonomous AI Database sur une infrastructure Exadata dédiée crée et gère toutes les clés de cryptage maître utilisées pour protéger les données, en les stockant dans un fichier de clés PKCS 12 sécurisé sur les systèmes Exadata sur lesquels résident les bases de données. Si les stratégies d'entreprise en matière de sécurité l'exigent, Oracle Autonomous AI Database on Dedicated Exadata Infrastructure peut utiliser à la place des clés que vous créez et gérez dans le service Oracle Cloud Infrastructure Vault ou Oracle Key Vault, selon que vous déployez Oracle Autonomous AI Database sur une infrastructure Exadata dédiée sur Oracle Cloud ou sur Exadata Cloud@Customer. Pour plus d'informations, reportez-vous à Gestion des clés de cryptage maître.
De plus, que vous utilisiez des clés gérées par Oracle ou par le client, vous pouvez effectuer une rotation des clés utilisées dans les bases de données existantes si nécessaire afin de respecter les stratégies de sécurité de votre entreprise.
Remarque : lorsque vous clonez une base de données, la nouvelle base de données obtient son propre nouvel ensemble de clés de cryptage.
Cryptage des données en transit
Les clients (applications et outils) se connectent à une base de données Autonomous AI à l'aide d'Oracle Net Services (également appelé SQL*Net) et de services de connexion de base de données prédéfinis. Oracle Autonomous AI Database sur une infrastructure Exadata dédiée fournit deux types de services de connexion de base de données, chacun avec sa propre technique de cryptage des données en transit entre la base de données et le client :
-
Les services de connexion à la base de données TCPS (TCP sécurisé) utilisent les protocoles standard TLS 1.2 et TLS 1.3 (Transport Layer Security) pour les connexions. Cependant, TLS 1.3 n'est pris en charge que sur Oracle Database 23ai ou version ultérieure.
Lorsque vous créez une base de données Autonomous AI, un portefeuille d'accès est généré, contenant tous les fichiers nécessaires à l'utilisation de TCPS pour la connexion d'un client. Distribuez ce portefeuille uniquement aux clients auxquels vous souhaitez accorder l'accès à la base de données. La configuration côté client utilise les informations du portefeuille pour effectuer le cryptage des données par clé symétrique.
-
Les services de connexion de base de données TCP utilisent le cryptosystème de cryptage de réseau natif intégré à l'Oracle Net Services afin de négocier et d'encrypter les données lors la transmission. Pour cette négociation, les bases de données Autonomous AI sont configurées pour exiger un cryptage à l'aide de la cryptographie AES256, AES192 ou AES128.
Le cryptage étant négocié lors de l'établissement de la connexion, les connexions TCP ne nécessitent pas le portefeuille de connexion requis pour les connexions TCPS. Le client a néanmoins besoin d'informations sur les services de connexion de base de données. Pour obtenir ces informations, cliquez sur Connexion de base de données sur la page Détails de base de données Autonomous AI de la base de données dans la console Oracle Cloud Infrastructure et dans le fichier
tnsnames.orainclus dans le même fichier ZIP téléchargeable contenant les fichiers nécessaires à la connexion à l'aide de TCPS.
Vous pouvez crypter les données de table lors de l'export vers Object Storage à l'aide d'algorithmes de cryptage DBMS_CRYPTO ou d'une fonction de cryptage définie par l'utilisateur. Les données cryptées dans Object Storage peuvent également être décryptées pour une utilisation dans une table externe ou lors de l'import à partir d'Object Storage à l'aide des algorithmes de cryptage DBMS_CRYPTO ou d'une fonction de cryptage définie par l'utilisateur. Pour obtenir des instructions, reportez-vous à Cryptage des données lors de l'export vers Object Storage et à Décryptage des données lors de l'import à partir d'Object Storage.