Documentazione di Oracle Cloud Infrastructure

Configurare le funzioni di Oracle Database per Oracle Exadata Database Service su infrastruttura Exascale

Scopri come configurare Oracle Multitenant, la cifratura delle tablespace e altre opzioni per l'istanza di Oracle Exadata Database Service su Exascale Infrastructure.

Argomento padre: Guida alle procedure

Uso di Oracle Multitenant su un'istanza di Oracle Exadata Database Service su infrastruttura Exascale

Scopri i requisiti per diverse funzioni quando utilizzi ambienti multi-tenant in Oracle Exadata Database Service sull'infrastruttura Exascale.

Quando si crea un'istanza di Oracle Exadata Database Service sull'infrastruttura Exascale, viene creato un ambiente Oracle Multitenant.

L'architettura multi-tenant consente a Oracle Database di funzionare come un container database (CDB) multi-tenant che include zero, uno o più pluggable database (PDB). Un PDB è una raccolta portatile di schemi, oggetti di schema e oggetti non di schema che viene visualizzata in un client Oracle Net Services come database non CDB.

Per utilizzare la cifratura dei dati trasparente (TDE) Oracle in un pluggable database (PDB), è necessario creare e attivare una chiave di cifratura master per il PDB.

In un ambiente multi-tenant, ogni PDB dispone della propria chiave di cifratura master memorizzata in un singolo keystore utilizzato da tutti i contenitori.

È necessario esportare e importare la chiave di cifratura master per qualsiasi PDB cifrato collegato al CDB dell'istanza dell'infrastruttura Oracle Exadata Database Service su Exascale.

Se il PDB di origine è cifrato, è necessario esportare la chiave di cifratura principale, quindi importarla.

È possibile esportare e importare tutte le chiavi di cifratura principali TDE che appartengono al PDB esportando e importando le chiavi di cifratura principali TDE da un PDB. L'esportazione e l'importazione delle chiavi di cifratura principali TDE supportano le operazioni di scollegamento e collegamento del PDB. Durante lo scollegamento e il collegamento di un PDB, vengono coinvolte tutte le chiavi di cifratura principali TDE che appartengono a un PDB, nonché i metadati.

Vedere "Using Transparent Data Encryption with Other Oracle Features" nel manuale Oracle Database Advanced Security Guide per Oracle Dattabase 19c o "Using Oracle Virtual Private Database to Control Data Access" per Oracle AI Database 26ai.

Vedere "ADMINISTER KEY MANAGEMENT" in Oracle Database SQL Language Reference.

Argomenti correlati

Argomento padre: Configura le funzioni di Oracle Database per Oracle Exadata Database Service su infrastruttura Exascale

Per determinare se è necessario creare e attivare una chiave di cifratura per il PDB

  1. Richiamare SQL*Plus ed eseguire il login al database come utente SYS con privilegi SYSDBA.

  2. Impostare il contenitore sul PDB:

    SQL> ALTER SESSION SET CONTAINER = pdb;

  3. Eseguire la query V$ENCRYPTION_WALLET come indicato di seguito. 

    SQL> SELECT wrl_parameter, status, wallet_type FROM v$encryption_wallet;

    Se la colonna STATUS contiene il valore OPEN_NO_MASTER_KEY, è necessario creare e attivare la chiave di cifratura master.

Per creare e attivare la chiave di cifratura master in un PDB

  1. Impostare il contenitore sul PDB:

    SQL> ALTER SESSION SET CONTAINER = pdb;

  2. Creare e attivare una chiave di cifratura master nel PDB eseguendo il comando seguente:

    SQL> ADMINISTER KEY MANAGEMENT SET KEY USING TAG 'tag' FORCE KEYSTORE IDENTIFIED BY keystore-password WITH BACKUP USING 'backup_identifier';

    Nel comando precedente:

    • keystore-password è la password del keystore. Per impostazione predefinita, la password del keystore viene impostata sul valore della password di amministrazione specificata al momento della creazione del database.
    • La clausola USING TAG 'tag' facoltativa può essere utilizzata per associare una tag alla nuova chiave di cifratura principale.
    • La clausola WITH BACKUP e la clausola USING 'backup_identifier' facoltativa possono essere utilizzate per creare un backup del keystore prima della creazione della nuova chiave di cifratura master.

    Vedere anche ADMINISTER KEY MANAGEMENT nella guida Oracle Database SQL Language Reference for Release19, 18 o 12.2.

    Nota

    Per abilitare le operazioni di gestione delle chiavi mentre il keystore è in uso, Oracle Database 12c Release 2 e successive include l'opzione FORCE KEYSTORE del comando ADMINISTER KEY MANAGEMENT. Questa opzione è disponibile anche per Oracle Database 12c Release 1 con la patch bundle di ottobre 2017 o versione successiva.

    Se nel database Oracle Database 12c Release 1 non è installata la patch bundle di ottobre 2017 o versione successiva, è possibile eseguire i passi alternativi riportati di seguito.

    1. Chiudere il keystore.
    2. Aprire il keystore basato su password.
    3. Creare e attivare una chiave di cifratura master nel PDB utilizzando ADMINISTER KEY MANAGEMENT senza l'opzione FORCE KEYSTORE.
    4. Aggiornare il keystore di login automatico utilizzando l'opzione ADMINISTER KEY MANAGEMENT con l'opzione CREATE AUTO_LOGIN KEYSTORE FROM KEYSTORE.

  3. Eseguire nuovamente la query V$ENCRYPTION_WALLET per verificare che la colonna STATUS sia impostata su OPEN: 

    SQL> SELECT wrl_parameter, status, wallet_type FROM v$encryption_wallet;

  4. Eseguire la query V$INSTANCE e prendere nota del valore nella colonna HOST_NAME, che identifica il database server che contiene i file del keystore appena aggiornati: 

    SQL> SELECT host_name FROM v$instance;

  5. Copiare i file keystore aggiornati in tutti gli altri database server.

    Per distribuire il keystore aggiornato, è necessario eseguire le seguenti azioni su ogni database server che non contiene i file del keystore aggiornati:

    1. Connettersi al contenitore radice ed eseguire la query V$ENCRYPTION_WALLET. Prendere nota della posizione del keystore contenuta nella colonna WRL_PARAMETER: 

      SQL> SELECT wrl_parameter, status FROM v$encryption_wallet;

    2. Copiare i file keystore aggiornati.

      È necessario copiare tutti i file keystore aggiornati da un database server già aggiornato. Utilizzare la posizione del keystore osservata nella colonna WRL_PARAMETER di V$ENCRYPTION_WALLET.

    Aprire il keystore aggiornato:
    SQL> ADMINISTER KEY MANAGEMENT SET KEYSTORE open FORCE KEYSTORE IDENTIFIED BY keystore-password CONTAINER=all;
    Nota

    Per abilitare le operazioni di gestione delle chiavi mentre il keystore è in uso, Oracle Database 12c Release 2 e successive include l'opzione FORCE KEYSTORE del comando ADMINISTER KEY MANAGEMENT. Questa opzione è disponibile anche per Oracle Database 12c Release 1 con la patch bundle di ottobre 2017 o versione successiva.

    Se nel database Oracle Database 12c Release 1 non è installata la patch bundle di ottobre 2017 o versione successiva, è possibile eseguire i passi alternativi riportati di seguito.

    1. Chiudere il keystore prima di copiare i file del keystore aggiornati.
    2. Copiare i file keystore aggiornati.
    3. Aprire il keystore aggiornato utilizzando ADMINISTER KEY MANAGEMENT senza l'opzione FORCE KEYSTORE.

  6. Eseguire la query GV$ENCRYPTION_WALLET per verificare che la colonna STATUS sia impostata su OPEN in tutte le istanze di database: 

    SQL> SELECT wrl_parameter, status, wallet_type FROM gv$encryption_wallet;

Per esportare e importare una chiave di cifratura master

  1. Esportare la chiave di cifratura principale.
    1. Richiamare SQL*Plus ed eseguire il login al PDB.

    2. Eseguire il seguente comando:

      SQL> ADMINISTER KEY MANAGEMENT EXPORT ENCRYPTION KEYS WITH SECRET "secret" TO 'filename' IDENTIFIED BY keystore-password;
  2. Importare la chiave di cifratura principale.
    1. Richiamare SQL*Plus ed eseguire il login al PDB.

    2. Eseguire il seguente comando:

      SQL> ADMINISTER KEY MANAGEMENT IMPORT ENCRYPTION KEYS WITH SECRET "secret" FROM 'filename' IDENTIFIED BY keystore-password;

Gestione della cifratura della tablespace

Scopri come la cifratura delle tablespace viene implementata in Oracle Exadata Database Service sull'infrastruttura Exascale

Per impostazione predefinita, tutte le nuove tablespace create in un database Exadata vengono cifrate.

Tuttavia, le tablespace create inizialmente al momento della creazione del database potrebbero non essere cifrate per impostazione predefinita.

  • Per i database che utilizzano Oracle Database 12c Release 2 o successiva, vengono cifrate solo le tablespace USERS create inizialmente al momento della creazione del database. Non vengono cifrate altre tablespace, incluse quelle non USERS, in:
    • Il contenitore radice (CDB$ROOT).
    • Il pluggable database iniziale (PDB$SEED).
    • Il primo PDB creato al momento della creazione del database.
  • Per i database che utilizzano Oracle Database 12c Release 1 o Oracle Database 11g, nessuna delle tablespace create inizialmente al momento della creazione del database viene cifrata.

Per ulteriori informazioni sull'implementazione della cifratura delle tablespace in Exadata e su come influisce sui vari scenari di distribuzione, vedere:

Comportamento di cifratura della tablespace di Oracle Database in Oracle Cloud (ID documento 2359020.1)

Creazione delle tablespace cifrate

Le tablespace create dall'utente vengono cifrate per impostazione predefinita.

Per impostazione predefinita, tutte le nuove tablespace create utilizzando il comando SQL CREATE TABLESPACE vengono cifrate con l'algoritmo di cifratura AES128. Non è necessario includere la clausola USING 'encrypt_algorithm' per utilizzare la cifratura predefinita.

È possibile specificare un altro algoritmo supportato includendo la clausola 'encrypt_algorithm' USING nel comando CREATE TABLESPACE. Gli algoritmi supportati sono AES256, AES192, AES128 e 3DES168.

Gestione della cifratura della tablespace

È possibile gestire il keystore software (noto come wallet Oracle in Oracle Database 11g), la chiave di cifratura master e controllare se la cifratura è abilitata per impostazione predefinita.

Gestione della chiave di cifratura principale

La cifratura delle tablespace utilizza un'architettura basata su chiavi a due livelli per cifrare (e decifrare) in modo trasparente le tablespace. La chiave di cifratura master viene memorizzata in un modulo di sicurezza esterno (keystore software). Questa chiave di cifratura principale viene utilizzata per cifrare la chiave di cifratura della tablespace, che a sua volta viene utilizzata per cifrare e decifrare i dati nella tablespace.

Quando si crea un database in un'istanza di Exadata Cloud Service, viene creato un keystore software locale. Il keystore è locale per i nodi di calcolo ed è protetto dalla password di amministrazione specificata durante il processo di creazione del database. Il keystore del software di login automatico viene aperto automaticamente all'avvio del database.

È possibile modificare (rotazione) la chiave di cifratura master utilizzando l'istruzione ADMINISTER KEY MANAGEMENT SQL. Ad esempio: 

SQL> ADMINISTER KEY MANAGEMENT SET ENCRYPTION KEY USING TAG 'tag'
IDENTIFIED BY password WITH BACKUP USING 'backup';
keystore altered.

Vedere "Managing the TDE Master Encryption Key" nel manuale Oracle Database Advanced Security Guide.

Controllo della cifratura della tablespace predefinita

Il parametro di inizializzazione ENCRYPT_NEW_TABLESPACES controlla la cifratura predefinita delle nuove tablespace. Nei database Exadata, questo parametro è impostato su CLOUD_ONLY per impostazione predefinita.

I valori di questo parametro sono i seguenti.

Valore descrizione;
ALWAYS Durante la creazione, le tablespace vengono cifrate in modo trasparente con l'algoritmo AES128 a meno che non venga specificato un altro algoritmo nella clausola ENCRYPTION.
CLOUD_ONLY Le tablespace create in un database Exadata vengono cifrate in modo trasparente con l'algoritmo AES128 a meno che non venga specificato un algoritmo diverso nella clausola ENCRYPTION. Per i database non cloud, le tablespace vengono cifrate solo se viene specificata la clausola ENCRYPTION. ENCRYPTION è il valore predefinito.
DDL Durante la creazione, le tablespace non vengono cifrate in modo trasparente per impostazione predefinita e vengono cifrate solo se viene specificata la clausola ENCRYPTION.
Nota

Con Oracle Database 12c Release 2 (12.2) o successiva, non è più possibile creare una tablespace non cifrata in un database Exadata. Se si imposta ENCRYPT_NEW_TABLESPACES su DDL e si esegue un comando CREATE TABLESPACE senza specificare una clausola ENCRYPTION, viene restituito un messaggio di errore.