Cifratura dei dati in Autonomous Database sull'infrastruttura Exadata dedicata

Autonomous Database sull'infrastruttura Exadata dedicata utilizza una cifratura sempre attiva che protegge i dati in archivio e in transito. Per impostazione predefinita, tutti i dati memorizzati e le comunicazioni di rete con Oracle Cloud vengono cifrati. Impossibile disattivare la cifratura.

Argomenti correlati

Cifratura dei dati a riposo

I dati in archivio vengono cifrati utilizzando TDE (Transparent Data Encryption), una soluzione crittografica che protegge l'elaborazione, la trasmissione e la memorizzazione dei dati. Ogni Autonomous Database on Dedicated Exadata Infrastructure dispone di una propria chiave di cifratura e i relativi backup dispongono di una propria chiave di cifratura diversa.

Per impostazione predefinita, Oracle Autonomous Database crea e gestisce tutte le chiavi di cifratura master utilizzate per proteggere i dati, memorizzandoli in un keystore PKCS 12 sicuro negli stessi sistemi Exadata in cui risiedono i database. Se i criteri di sicurezza della tua azienda lo richiedono, Oracle Autonomous Database può invece utilizzare le chiavi create e gestite nel servizio Oracle Cloud Infrastructure Vault o in Oracle Key Vault, a seconda che si stia distribuendo Oracle Autonomous Database su Oracle Cloud o su Exadata Cloud@Customer. Per ulteriori informazioni, vedere Gestire le chiavi di cifratura principali.

Inoltre, indipendentemente dal fatto che tu utilizzi chiavi gestite da Oracle o gestite dal cliente, puoi ruotare le chiavi utilizzate nei database esistenti quando necessario per soddisfare i criteri di sicurezza della tua azienda.

Nota

Quando si duplica un database, il nuovo database ottiene il proprio nuovo set di chiavi di cifratura.

Cifratura dei dati in transito

I client (applicazioni e strumenti) si connettono a un Autonomous Database utilizzando Oracle Net Services (noto anche come SQL*Net) e i servizi di connessione al database predefiniti. Oracle Autonomous Database fornisce due tipi di servizi di connessione al database, ciascuno con la propria tecnica per la cifratura dei dati in transito tra il database e il client:

  • I servizi di connessione al database TPS (TCP sicuro) utilizzano i protocolli TLS 1.2 e TLS 1.3 (Transport Layer Security) standard del settore per le connessioni. Tuttavia, TLS 1.3 è supportato solo su Oracle Database 23ai o versioni successive.

    Quando crei un database autonomo, viene generato un wallet di connessione che contiene tutti i file necessari affinché un client si connetta utilizzando TCPS. Questo wallet viene distribuito solo ai client a cui si desidera concedere l'accesso al database e la configurazione lato client utilizza le informazioni nel wallet per eseguire la cifratura dei dati a chiave simmetrica.

  • I servizi di connessione al database TCP utilizzano il sistema di cifratura di rete nativa integrato in Oracle Net Services per negoziare e cifrare i dati durante la trasmissione. Per questa negoziazione, gli Autonomous Database sono configurati per richiedere la cifratura mediante la crittografia AES256, AES192 o AES128.

    Poiché la cifratura viene negoziata quando viene stabilita la connessione, le connessioni TCP non richiedono il wallet di connessione necessario per le connessioni TCPS. Tuttavia, il client ha bisogno di informazioni sui servizi di connessione al database. Queste informazioni sono disponibili facendo clic su Connessione al database nella pagina Dettagli Autonomous Database del database nella console di Oracle Cloud Infrastructure e nel file tnsnames.ora incluso nello stesso file zip scaricabile contenente i file necessari per la connessione mediante TCPS.

Puoi cifrare i dati delle tabelle durante l'esportazione nello storage degli oggetti utilizzando algoritmi di cifratura DBMS_CRYPTO o una funzione di cifratura definita dall'utente. I dati cifrati nello storage degli oggetti possono anche essere decifrati per l'uso in una tabella esterna o durante l'importazione dallo storage degli oggetti utilizzando gli algoritmi di cifratura DBMS_CRYPTO o una funzione di cifratura definita dall'utente. Per istruzioni, vedere Cifra dati durante l'esportazione nello storage degli oggetti e Decifra dati durante l'importazione dallo storage degli oggetti.