Cifratura dei dati in Autonomous AI Database su un'infrastruttura Exadata dedicata
Autonomous AI Database on Dedicated Exadata Infrastructure utilizza una cifratura sempre attiva che protegge i dati in archivio e in transito. Per impostazione predefinita, tutti i dati memorizzati e le comunicazioni di rete con Oracle Cloud vengono cifrati. Impossibile disattivare la cifratura.
Cifratura dei dati in archivio
I dati in archivio vengono crittografati utilizzando TDE (Transparent Data Encryption), una soluzione crittografica che protegge l'elaborazione, la trasmissione e la memorizzazione dei dati. Ogni Autonomous AI Database on Dedicated Exadata Infrastructure dispone di una propria chiave di cifratura e i relativi backup hanno una propria chiave di cifratura diversa.
Per impostazione predefinita, Oracle Autonomous AI Database sull'infrastruttura Exadata dedicata crea e gestisce tutte le chiavi di cifratura master utilizzate per proteggere i dati, memorizzandole in un keystore PKCS 12 sicuro sugli stessi sistemi Exadata in cui risiedono i database. Se i criteri di sicurezza della tua azienda lo richiedono, Oracle Autonomous AI Database sull'infrastruttura Exadata dedicata può invece utilizzare le chiavi che crei e gestisci nel servizio Oracle Cloud Infrastructure Vault o in Oracle Key Vault, a seconda che tu stia distribuendo Oracle Autonomous AI Database sull'infrastruttura Exadata dedicata su Oracle Cloud o su Exadata Cloud@Customer. Per ulteriori informazioni, vedere Gestisci chiavi di cifratura master.
Inoltre, indipendentemente dal fatto che tu utilizzi chiavi gestite da Oracle o gestite dal cliente, puoi ruotare le chiavi utilizzate nei database esistenti quando necessario per soddisfare i criteri di sicurezza della tua azienda.
Nota: quando si duplica un database, il nuovo database ottiene il nuovo set di chiavi di cifratura.
Cifratura dati in Transit
I client (applicazioni e strumenti) si connettono a un Autonomous AI Database utilizzando Oracle Net Services (noto anche come SQL*Net) e servizi di connessione al database predefiniti. Oracle Autonomous AI Database on Dedicated Exadata Infrastructure fornisce due tipi di servizi di connessione al database, ciascuno con la propria tecnica per la cifratura dei dati in transito tra il database e il client:
-
I servizi di connessione al database TPS (TCP sicuro) utilizzano i protocolli TLS 1.2 e TLS 1.3 (Transport Layer Security) standard del settore per le connessioni. Tuttavia, TLS 1.3 è supportato solo su Oracle Database 23ai o versioni successive.
Quando si crea un Autonomous AI Database, viene generato un wallet di connessione contenente tutti i file necessari per la connessione di un client mediante TCPS. Si distribuisce questo wallet solo ai client a cui si desidera concedere l'accesso al database e la configurazione lato client utilizza le informazioni nel wallet per eseguire la cifratura dei dati a chiave simmetrica.
-
I servizi di connessione al database TCP utilizzano il cryptosystem di cifratura della rete nativa integrato in Oracle Net Services per negoziare e cifrare i dati durante la trasmissione. Per questa negoziazione, i database AI autonomi sono configurati in modo da richiedere la cifratura utilizzando la crittografia AES256, AES192 o AES128.
Poiché la cifratura viene negoziata quando viene stabilita la connessione, le connessioni TCP non richiedono il wallet di connessione richiesto per le connessioni TCPS. Tuttavia, il client necessita di informazioni sui servizi di connessione al database. Queste informazioni sono disponibili facendo clic su Connessione DB nella pagina Dettagli database AI autonomo del database nella console di Oracle Cloud Infrastructure e nel file
tnsnames.oraincluso nello stesso file zip scaricabile contenente i file necessari per la connessione mediante TCPS.
Puoi cifrare i dati delle tabelle durante l'esportazione nello storage degli oggetti utilizzando algoritmi di cifratura DBMS_CRYPTO o una funzione di cifratura definita dall'utente. I dati cifrati nello storage degli oggetti possono essere decifrati anche per l'uso in una tabella esterna o durante l'importazione dallo storage degli oggetti utilizzando gli algoritmi di cifratura DBMS_CRYPTO o una funzione di cifratura definita dall'utente. Per istruzioni, vedere Cifra dati durante l'esportazione nello storage degli oggetti e Decifra dati durante l'importazione dallo storage degli oggetti.