Cryptage de données dans Autonomous Database on Dedicated Exadata Infrastructure

Autonomous Database on Dedicated Exadata Infrastructure utilise un cryptage permanent qui protège les données au repos et en transit. Toutes les données stockées dans Oracle Cloud et les communications réseau avec Oracle Cloud sont cryptées par défaut. Vous ne pouvez pas désactiver le cryptage.

Rubriques connexes

Cryptage des données au repos

Les données au repos sont cryptées à l'aide du cryptage transparent des données, une solution cryptographique qui protège le traitement, la transmission et le stockage des données. Chaque instance Autonomous Database on Dedicated Exadata Infrastructure dispose de sa propre clé de cryptage, et de sa propre clé de cryptage.

Par défaut, Oracle Autonomous Database crée et gère toutes les clés de cryptage maître utilisées pour protéger les données, et les stocke dans un fichier de clés PKCS 12 sécurisé sur les systèmes Exadata sur lesquels résident les bases de données. Si les stratégies de sécurité de votre entreprise l'exigent, Oracle Autonomous Database peut utiliser à la place des clés que vous créez et gérez dans le service Oracle Cloud Infrastructure Vault ou Oracle Key Vault, selon que vous déployez Oracle Autonomous Database sur Oracle Cloud ou sur Exadata Cloud@Customer. Pour plus d'informations, reportez-vous à Gestion des clés de cryptage maître.

De plus, que vous utilisiez des clés gérées par Oracle ou par le client, vous pouvez effectuer une rotation des clés utilisées dans les bases de données existantes si nécessaire afin de respecter les stratégies de sécurité de votre entreprise.

Remarques :

Lorsque vous clonez une base de données, la nouvelle base de données obtient son nouvel ensemble de clés de cryptage.

Cryptage des données en transit

Les clients (applications et outils) se connectent à une instance Autonomous Database à l'aide d'Oracle Net Services (également connu sous le nom de SQL*Net) et de services de connexion de base de données prédéfinis. Oracle Autonomous Database fournit deux types de service de connexion de base de données, chacun avec sa propre technique de cryptage des données en transit entre la base de données et le client :

  • Les services de connexion à la base de données TCPS (TCP sécurisé) utilisent les protocoles standard TLS 1.2 et TLS 1.3 (Transport Layer Security) pour les connexions. Cependant, TLS 1.3 n'est pris en charge que sur Oracle Database 23ai ou version ultérieure.

    Lorsque vous créez une base de données autonome, un portefeuille de connexion est généré, contenant tous les fichiers nécessaires à la connexion d'un client à l'aide de TCPS. Distribuez ce portefeuille uniquement aux clients auxquels vous souhaitez accorder l'accès à la base de données. La configuration côté client utilise les informations du portefeuille pour effectuer le cryptage des données par clé symétrique.

  • Les services de connexion de base de données TCP utilisent le système de cryptage de réseau natif intégré à Oracle Net Services afin de négocier et de crypter les données lors de la transmission. Pour cette négociation, les instances Autonomous Database sont configurées pour exiger un cryptage à l'aide de la cryptographie AES256, AES192 ou AES128.

    Le cryptage étant négocié lors de l'établissement de la connexion, les connexions TCP ne nécessitent pas le portefeuille de connexion requis pour les connexions TCPS. Le client a néanmoins besoin d'informations sur les services de connexion de base de données. Pour obtenir ces informations, cliquez sur Connexion de base de données sur la page Détails de l'instance Autonomous Database de la base de données dans la console Oracle Cloud Infrastructure et dans le fichier tnsnames.ora inclus dans le même fichier ZIP téléchargeable contenant les fichiers nécessaires à la connexion à l'aide de TCPS.

Vous pouvez crypter les données de table lors de l'export vers Object Storage à l'aide d'algorithmes de cryptage DBMS_CRYPTO ou d'une fonction de cryptage définie par l'utilisateur. Les données cryptées dans Object Storage peuvent également être décryptées pour être utilisées dans une table externe ou lors de l'import à partir d'Object Storage à l'aide des algorithmes de cryptage DBMS_CRYPTO ou d'une fonction de cryptage définie par l'utilisateur. Pour obtenir des instructions, reportez-vous à Cryptage des données lors de l'export vers Object Storage et à Décryptage des données lors de l'import à partir d'Object Storage.